本文解答了 Azure 网络观察程序的最常见问题。
常规
什么是网络观察程序?
Azure 网络观察程序提供一系列工具来监视、诊断、查看指标,以及启用或禁用 IaaS(基础结构即服务)资源的日志,其中包括虚拟机、虚拟网络、应用程序网关、负载均衡器,以及 Azure 虚拟网络中的其他资源。 它不是用于监视 PaaS(平台即服务)基础结构或获取 Web/移动分析数据的解决方案。
网络观察程序提供哪些工具?
网络观察程序如何定价?
有关不同 Azure 网络观察程序组件定价的详细信息,请参阅 Azure 网络观察程序定价。
目前哪些区域支持并可以使用 Azure 网络观察程序?
有关哪些区域支持 Azure 网络观察程序,请参阅 Azure 网络观察程序区域。
使用 Azure 网络观察程序需要哪些权限?
请参阅使用 Azure 网络观察程序所需的 Azure RBAC 权限,详细了解 Azure 网络观察程序中每个功能所需的权限列表。
如何启用网络观察程序?
Azure 网络观察程序服务是为每个订阅自动启用的。 如果选择了不自动启用 Azure 网络观察程序,则必须手动启用 Azure 网络观察程序。 有关详细信息,请参阅启用或禁用 Azure 网络观察程序。
网络观察程序部署模型是什么?
网络观察程序父资源是使用每个区域中的唯一实例部署的。 默认命名格式:NetworkWatcher_RegionName。 示例:NetworkWatcher_centralus 是“美国中部”区域的网络观察程序资源。 可以使用 PowerShell 或 REST API 自定义网络观察程序实例的名称。
为何 Azure 在每个区域只允许一个网络观察程序实例?
仅需为每个区域的每个订阅启用网络观察程序一次,即可正常使用其功能。 在区域内创建网络观察程序实例即可在该区域中启用网络观察程序。
如何管理网络观察程序资源?
网络观察程序资源代表网络观察程序的后端服务,由 Azure 完全托管。 不过,可创建或删除网络观察程序资源,以在特定区域中启用或禁用它。 有关详细信息,请参阅启用或禁用 Azure 网络观察程序。
是否可以将网络观察程序实例从一个区域移动到另一个区域?
否,不支持跨区域移动网络观察程序资源或其任何子资源。 有关详细信息,请参阅网络资源的移动操作支持。
是否可以将网络观察程序实例从一个资源组移动到另一个资源组?
是,支持在资源组之间移动网络观察程序资源。 有关详细信息,请参阅网络资源的移动操作支持。
NetworkWatcherRG 是什么?
NetworkWatcherRG 是为 Azure 网络观察程序资源自动创建的资源组。 例如,网络观察程序区域实例和网络安全组流日志资源都是在 NetworkWatcherRG 资源组中创建的。 可以使用 PowerShell、Azure CLI 或 REST API 自定义网络观察程序资源组的名称。
网络观察程序是否会存储客户数据?
Azure 网络观察程序不会存储客户数据,连接监视器除外。 连接监视器可存储客户数据,网络观察程序会自动将该数据存储在单个区域中,以满足区域内数据驻留要求。
网络观察程序的资源限制是怎样的?
网络观察程序具有以下限制:
| 资源 | 限制 |
|---|---|
| 每个订阅每个区域的网络观察程序实例数 | 1 个(一个区域中有一个实例用于支持访问该区域中的服务) |
| 每个订阅在每个区域的连接监视器数量 | 100 |
| 每个连接监视器的最大测试组数量 | 20 |
| 每个连接监视器的最大源和目标数量 | 100 |
| 每个连接监视器的最大测试配置数量 | 20 |
| 每个订阅在每个区域的数据包捕获会话数量 | 10,000 个(只是会话数,不是保存的捕获数) |
| 每个订阅的 VPN 故障排除操作数量 | 1(一次的操作数) |
服务可用性和冗余性
网络观察程序是否具有区域复原能力?
是,网络观察程序服务默认具有区域复原能力。
如何配置网络观察程序服务,使其具有区域复原能力?
无需配置即可启用区域复原能力。 默认情况下,网络观察程序资源的区域复原能力可用,并由服务本身管理。
网络观察程序代理
为什么需要安装网络观察程序代理?
对于任何生成或拦截来自虚拟机的流量的网络观察程序功能,网络观察程序代理都是必需的。
哪些功能需要网络观察程序代理?
连接监视器、数据包捕获和连接故障排除(连接性测试)功能要求具备网络观察程序扩展。
网络观察程序代理的最新版本是什么?
网络观察程序扩展的最新版本为 1.4.3614.3。 有关更多详细信息,请参阅将 Azure 网络观察程序扩展更新到最新版本。
网络观察程序代理使用哪些端口?
-
Linux:网络观察程序代理使用从
port 50000开始直到port 65535的可用端口。 - Windows:网络观察程序代理在查询可用端口时使用操作系统响应的端口。
网络观察程序代理与哪些 IP 地址进行通信?
网络观察程序代理需要通过 port 80 进行的出站 TCP 连接(连接到 169.254.169.254)以及通过 port 8037 进行的出站 TCP 连接(连接到 168.63.129.16)。 该代理使用这些 IP 地址与 Azure 平台进行通信。
连接监视器
连接监视器是否支持经典 VM?
否,连接监视器不支持经典 VM。 有关详细信息,请参阅将 IaaS 资源从经典部署模型迁移到 Azure 资源管理器部署模型。
如果我的拓扑未经修饰或我的跃点缺少信息,会出现什么情况?
仅当目标 Azure 资源和连接监视器资源位于同一区域时,才能从非 Azure 到 Azure 修饰拓扑。
如果连接监视器创建失败并出现“我们不允许为同一 VM 创建不同的终结点”错误,会发生什么情况?
同一 Azure VM 不能用于同一连接监视器中的不同配置。 例如,不支持在同一连接监视器中将同一 VM 用于有筛选器的情况和没有筛选器的情况。
如果测试失败的原因是“没有要显示的内容”,会发生什么情况?
在拓扑发现或跃点探索过程中,发现了连接监视器仪表板上显示的问题。 可能会有这样的情况:达到了为丢失百分比或 RTT 设置的阈值,但未在跃点上发现问题。
将现有连接监视器(经典)迁移到最新的连接监视器时,如果仅使用 TCP 协议迁移外部终结点测试,会发生什么情况?
连接监视器(经典)中没有协议选项。 连接监视器(经典)中的测试仅使用 TCP 协议,这就是在迁移期间我们在新连接监视器的测试中创建 TCP 配置的原因。
对连接监视器使用 Azure Monitor 和 Arc 代理是否有限制?
当终结点将 Azure Monitor 和 Arc 代理与关联的 Log Analytics 工作区配合使用时,当前存在区域边界。 因此,关联的 Log Analytics 工作区必须与 Arc 终结点位于同一区域。 可以将引入到单个工作区中的数据合并为单个视图,请参阅在 Azure Monitor 中跨 Log Analytics 工作区、应用程序和资源查询数据。
流日志
流日志记录有何作用?
通过流日志,可以记录通过网络安全组或 Azure 虚拟网络传递的 Azure IP 流量的 5 元组流信息。 原始流日志将写入 Azure 存储帐户。 在此处,可以根据需要进一步处理、分析、查询或导出它们。
流日志是否会影响网络延迟或性能?
流日志数据是在网络流量路径的外部收集的,因此不会影响网络吞吐量或延迟。 可以创建或删除流日志,而不会对网络性能产生任何影响。
NSG 流日志和 NSG 诊断之间有什么区别?
网络安全组流日志记录了流经网络安全组的流量。 另一方面,NSG 诊断返回流量正在遍历的所有网络安全组,以及应用于此流量的每个网络安全组的规则。 使用 NSG 诊断验证网络安全组规则是否按预期应用。
是否可以使用网络安全组流日志记录 ESP 和 AH 流量?
否,网络安全组流日志不支持 ESP 和 AH 协议。
是否可以使用流日志记录 ICMP 流量?
否,网络安全组流日志和虚拟网络流日志不支持 ICMP 协议。
是否可以删除启用了流日志记录的网络安全组?
是的。 关联的流日志资源也将被删除。 流日志数据按照在流日志中配置的保持期保留在存储帐户中。
是否可以将已启用流日志记录的网络安全组移到其他资源组或订阅?
是的,但你必须删除关联的流日志资源。 迁移网络安全组后,可以重新创建流日志才能在其上启用流日志记录。
是否可以在与启用了流日志的网络安全组或虚拟网络不同的订阅中使用存储帐户?
可以,只要其他订阅与网络安全组位于同一区域,并且与网络安全组或虚拟网络订阅的同一 Microsoft Entra 租户关联,你就可以使用该订阅中的存储帐户。
当存储帐户位于防火墙后面时,如何使用流日志?
若要使用防火墙后面的存储帐户,必须允许受信任的 Azure 服务访问你的存储帐户:
- 在门户顶部的搜索框中输入存储帐户名称,转到相应存储帐户。
- 在“安全 + 网络”下,选择“网络”,然后选择“防火墙和虚拟网络”。
- 在“公共网络访问”中,请选择“从选定的虚拟网络和 IP 地址启用”。 然后在“异常”下,选中“允许受信任的服务列表中的 Azure 服务访问此存储帐户”旁边的复选框。
- 通过使用存储帐户为目标资源创建流日志来启用流日志。 有关详细信息,请参阅创建流日志。
几分钟后即可查看存储日志。 你应会看到已更新的时间戳或已创建的新 JSON 文件。
存储帐户可以拥有多少个保留策略规则?
目前,一个存储帐户支持 100 条规则,每个规则可容纳 10 个 Blob 前缀。 如果达到限制,可以在启用新的虚拟网络流日志时将保留策略设置为 0 ,然后手动为订阅添加保留规则。
若要创建保留策略订阅规则,请执行以下步骤:
- 在门户顶部的搜索框中输入存储帐户名称,转到相应存储帐户。
- 在 “数据管理”下,选择 “生命周期管理”。
- 选择 “+ 添加规则”。
- 在“详细信息”部分中,选择以下设置:规则范围:使用筛选器限制 Blob;Blob 类型:块 Blob;以及 Blob 子类型:基础 Blob。
- 在“基础 Blob”部分中,配置保留设置。
- 在 “筛选器集 ”部分中,将 Blob 前缀 的格式设置为以下内容:
"insights-logs-flowlogflowevent/flowLogResourceID=/<yourSubscriptionId>_NETWORKWATCHERRG" - 选择 并添加。
如果同时具有流日志保留策略规则和订阅级规则,会发生什么情况?
保留期较短的规则优先。
为什么我在存储帐户活动日志中看到一些 403 错误?
网络观察程序内置回退机制,在连接到防火墙后面的存储帐户(防火墙已启用)时使用该机制。 该机制尝试使用密钥连接到存储帐户,如果失败,则会切换到令牌。 在这种情况下,存储帐户活动日志中将记录 403 错误。
网络观察程序是否可以将流日志数据发送到启用了专用终结点的存储帐户?
是,网络观察程序支持将流日志数据发送到启用了专用终结点的存储帐户。
当存储帐户位于服务终结点后面时,如何使用流日志?
流日志与服务终结点兼容,无需任何额外的配置。 有关详细信息,请参阅启用服务终结点。
流日志版本 1 和 2 有何区别?
流日志版本 2 引入了“流状态”的概念,并会存储有关传输的字节和数据包的信息。 有关详细信息,请参阅网络安全组流日志格式。
是否可以为具有只读锁的网络安全组创建流日志?
否,网络安全组上的“只读”锁会阻止创建相应的网络安全组流日志。
是否可以为具有无法删除锁的网络安全组创建流日志?
是,网络安全组上的“无法删除”锁不会阻止创建或修改相应的网络安全组流日志。
是否可以自动执行网络安全组流日志?
是,可以通过 Azure 资源管理器模板(ARM 模板)自动执行网络安全组流日志。 有关详细信息,请参阅使用 Azure 资源管理器 (ARM) 模板配置 NSG 流日志。
流量分析
是否可以为与工作区区域不同的资源启用流日志?
是的,虚拟网络和网络安全组可以位于与 Log Analytics 工作区区域不同的区域中。
是否可以在单个工作区中配置多个网络安全组?
是的。
为什么流量分析不显示已启用流量分析的网络安全组的数据?
在流量分析仪表板的资源选择下拉列表中,必须选择 虚拟网络 资源的资源组,而不是虚拟机或网络安全组的资源组。
为什么某些资源在流量分析中显示为“未知”?
流量分析每隔 6 小时执行资源发现扫描,以识别新的 VM、NIC、虚拟网络和子网。 在最近的发现周期之后创建新的 VM 或 NIC,并在下一次发现之前收集流数据时,流量分析尚无法将流量与已知资源相关联。 因此,这些资源在分析视图中暂时标记为 未知 。
是否可以限制对流量分析创建的数据收集终结点(DCE)资源的公共访问?
是的,可以禁用对数据收集终结点(DCE)资源的公共访问,以阻止其的公共入站流量。 在不将 DCE 资源与 Azure Monitor 专用链接范围相关联的情况下,引入将继续工作。
是否可以使用现有的的工作区?
是的。 如果选择现有工作区,请确保它已迁移到新的查询语言。 如果不想升级工作区,则需要创建新的工作区。 有关 Kusto 查询语言(KQL)的详细信息,请参阅 Azure Monitor 中的日志查询。
我的 Azure 存储帐户是否可以位于一个订阅中,而 Log Analytics 工作区是否位于其他订阅中?
是的,Azure 存储帐户可以位于一个订阅中,Log Analytics 工作区可以位于不同的订阅中。
是否可以将原始日志存储在与用于网络安全组或虚拟网络的订阅不同的订阅中?
是的。 可以配置要发送到不同订阅中的存储帐户的流日志,前提是你具有适当的特权,并且存储帐户位于网络安全组(网络安全组流日志)或虚拟网络(虚拟网络流日志)所在的同一区域。 目标存储帐户必须共享网络安全组或虚拟网络的同一Microsoft Entra 租户。
流日志资源和存储帐户是否可以位于不同的租户中?
否。 所有资源必须位于同一租户中,包括网络安全组(网络安全组流日志)、虚拟网络(虚拟网络流日志)、流日志、存储帐户和 Log Analytics 工作区(如果启用了流量分析)。
是否可以为存储帐户配置与 Log Analytics 工作区不同的保留策略?
是的。
查看流量分析工作簿时,由于“内存不足错误”,数据不会加载。 如何解决此问题以在工作簿中查看我的数据?
流量分析工作簿由 Log Analytics 查询提供支持。 如果查询超出 Log Analytics 的限制,则工作簿可能会显示内存不足错误。 为了提高性能并减少内存不足错误,用户可以使用专用 Log Analytics 群集。
如果删除用于流日志记录的存储帐户,是否会丢失 Log Analytics 工作区中存储的数据?
否。 如果删除用于流日志的存储帐户,则 Log Analytics 工作区中存储的数据不会受到影响。 你仍然可以在 Log Analytics 工作区中查看历史数据(某些指标将受到影响),但在更新流日志以使用其他存储帐户之前,流量分析将不再处理任何新的流日志。
如果由于“找不到”错误而无法为流量分析配置网络安全组,该怎么办?
选择受支持的区域。 如果选择非支持区域,则会收到“找不到”错误。 有关详细信息,请参阅 流量分析支持的区域。
如果我在流日志页中收到状态:“无法加载”,该怎么办?
要使流日志记录正常工作,必须注册 Microsoft.Insights 提供程序。 如果不确定是否已为订阅注册 Microsoft.Insights 提供程序,请参阅管理 NSG 流日志说明,了解如何注册它。
我配置了解决方案。 为什么我在仪表板上看不到任何内容?
仪表板可能需要长达 30 分钟才能首次显示报表。 解决方案必须首先聚合足够的数据,以便派生有意义的见解,然后生成报表。
如果收到此消息:“在所选时间间隔内找不到此工作区中的任何数据,该怎么办。 请尝试更改时间间隔或选择其他工作区。“?
请尝试以下选项:
- 更改上栏中的时间间隔。
- 在上部栏中选择其他 Log Analytics 工作区。
- 如果最近启用了流量分析,请尝试在 30 分钟后访问流量分析。
如果收到以下消息:“正在首次分析 NSG 流日志。 此过程可能需要 20-30 分钟才能完成。 在一段时间后回来检查。“?
你可能会看到此消息,因为:
- 流量分析最近已启用,可能尚未聚合足够的数据,以便其派生有意义的见解。
- 你使用的是 Log Analytics 工作区的免费版本,并且超出了配额限制。 可能需要使用容量更大的工作区。
尝试针对上一个问题的建议解决方案。 如果问题仍然存在,请在
如果我收到此消息:“看起来我们有资源数据(拓扑),没有流信息。 有关详细信息,请单击此处查看资源数据并参阅常见问题解答。“?
你将在仪表板上看到资源信息;但是,不存在与流相关的统计信息。 由于资源之间没有通信流,数据可能不存在。 等待 60 分钟,然后重新检查状态。 如果问题仍然存在,并且您确信资源之间的通信是正常的,请在 Microsoft Q&A 上提交问题。
流量分析如何定价?
流量分析计量。 计量基于服务处理原始流日志数据。 有关详细信息,请参阅网络监视器定价。
Log Analytics 工作区中引入的增强型日志可以免费保留最多 31 天(如果工作区上启用了 Microsoft Sentinel,则最多可免费保留 90 天)。 有关详细信息,请参阅 Azure Monitor 定价。
流量分析处理数据的频率如何?
流量分析的默认处理间隔为 60 分钟,但可以按 10 分钟间隔选择加速处理。 有关详细信息,请参阅 流量分析中的数据聚合。
使用我的工作区创建的其他资源有哪些?
流量分析在与工作区相同的资源组中创建和管理数据收集规则 (DCR) 和数据收集终结点 (DCE) 资源,其前缀为 NWTA。 如果对这些资源执行任何操作,流量分析可能无法按预期运行。 有关详细信息,请参阅 流量分析中的数据聚合。 有关详细信息,请参阅 Azure Monitor 中的数据收集规则 和 Azure Monitor 中的数据收集终结点。
是否可以对流量分析创建的 DCE 和 DCR 资源应用锁?
不建议将锁应用于流量分析创建的 DCR 和 DCE 资源,因为这些资源由服务管理。 删除相关流日志时不会清理锁定的资源。 如果对这些资源执行任何操作,流量分析可能无法按预期运行。 有关详细信息,请参阅 流量分析中的数据聚合。
流量分析如何确定 IP 是恶意的?
流量分析依赖于Microsoft内部威胁情报系统来认为 IP 是恶意的。 这些系统使用各种遥测源,例如 Microsoft 产品和服务、Microsoft 的反数字犯罪部门 (DCU)、Microsoft 安全响应中心 (MSRC) 和外部馈送,并在此基础上构建智能。 其中一些数据是微软内部数据。 如果已知 IP 被标记为恶意 IP,请创建支持工单以了解详细信息。
如何针对流量分析数据设置警报?
流量分析没有对警报的内置支持。 但是,由于流量分析数据存储在 Log Analytics 中,因此可以编写自定义查询并对其设置警报。 执行以下步骤:
启用了网络安全外围的 Log Analytics 工作区是否支持流量分析?
否,目前不受支持。 如果 Log Analytics 工作区部署在网络安全外围后面,流量分析将无法从中引入数据。
网络诊断工具
应用程序网关的网络诊断工具是否有任何限制?
是的。 连接故障排除和 NSG 诊断不支持专用应用程序网关部署。 有关详细信息,请参阅专用应用程序网关部署。