如果受監視的應用程式或基礎結構位於防火牆後方,您必須設定網路存取以允許與 Azure 監視器 服務的通訊。
Azure 監視器會使用 服務標籤,提供管理網路存取的動態方式,特別是當您使用 Azure 網路安全性群組、Azure 防火牆或可實作服務標籤的新一代防火牆 (NGFW) 時。 對於混合式或內部部署資源,或不支援服務標籤的網路周邊控制項,請以程式設計方式擷取對等的 IP 位址清單,或將其下載為 JSON 檔案。 如需詳細資訊,請參閱內部 部署服務標籤。
若要涵蓋所有必要的例外狀況,請使用服務標籤 ActionGroup、 ApplicationInsightsAvailability和 AzureMonitor。 服務標籤不會取代客戶的 Azure 資源與其他服務標籤資源之間跨租用戶通訊所需的驗證和驗證檢查。
輸出流量
除非另有說明,否則下列每個 Azure 監視器服務區段都需要輸出流量規則 (目的地)。 例如,可用性監視和動作群組 Webhook 需要輸入防火牆規則 (來源)。
備註
Azure Government 會使用最上層網域 .us , .com而不是 。 比較常見 Azure 服務的 Azure 公共和 Azure 政府端點。
Application Insights 擷取
您必須在防火牆中開啟下列輸出埠,以允許 Application Insights SDK 或 Application Insights 代理程式將資料傳送至入口網站。
備註
IPv6 支援僅限於特定端點:
-
{region].in.applicationinsights.azure.com支援 IPv4 和 IPv6。 -
{region}.livediagnostics.monitor.azure.com目前僅支援IPv4;IPv6 支援正在計劃中。 - 全域擷取端點 不 支援 IPv6,且已棄用。 如需詳細資訊,請參閱 淘汰公告
| 目標 | 主機名稱 | 類型 | 港口 |
|---|---|---|---|
| 遙測 | dc.applicationinsights.azure.comdc.applicationinsights.microsoft.comdc.services.visualstudio.com{region}.in.applicationinsights.azure.com |
全球 全球 全球 區域性 |
443 |
| 即時計量 | live.applicationinsights.azure.comrt.applicationinsights.microsoft.comrt.services.visualstudio.com{region}.livediagnostics.monitor.azure.com一個例子 {region} 是 westus2 |
全球 全球 全球 區域性 |
443 |
Application Insights 代理程式設定
只有在您進行變更時,才需要 Application Insights 代理程式設定。
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| 設定 | management.core.windows.net |
443 |
| 設定 | management.azure.com |
443 |
| 設定 | login.windows.net |
443 |
| 設定 | login.microsoftonline.com |
443 |
| 設定 | secure.aadcdn.microsoftonline-p.com |
443 |
| 設定 | auth.gfx.ms |
443 |
| 設定 | login.live.com |
443 |
| 安裝 |
globalcdn.nuget.org、、 packages.nuget.org 、api.nuget.org/v3/index.jsonnuget.org、api.nuget.org、dc.services.vsallin.net |
443 |
可用性測試
可用性測試需要輸入防火牆存取,最好使用服務標籤和自訂標頭進行設定。 如需詳細資訊,請參閱 防火牆後方的可用性測試。
記錄查詢 API 端點
從 2025 年 7 月 1 日起,Log Analytics 會針對安全通訊強制執行 TLS 1.2 或更高版本。 如需詳細資訊,請參閱 保護傳輸中的記錄數據。
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| 應用程式深入解析 | api.applicationinsights.ioapi1.applicationinsights.ioapi2.applicationinsights.ioapi3.applicationinsights.ioapi4.applicationinsights.ioapi5.applicationinsights.ioapi.applicationinsights.azure.com*.api.applicationinsights.azure.com |
443 |
| 日誌分析 | api.loganalytics.io*.api.loganalytics.ioapi.loganalytics.azure.comapi.monitor.azure.com*.api.monitor.azure.com |
443 |
| Azure 數據總管 | ade.loganalytics.ioade.applicationinsights.ioadx.monitor.azure.com*.adx.monitor.azure.com*.adx.applicationinsights.azure.comadx.applicationinsights.azure.comadx.loganalytics.azure.com*.adx.loganalytics.azure.com |
443 |
記錄擷取 API 端點
從 2026 年 3 月 1 日起,記錄擷取會強制 TLS 1.2 或更高版本進行安全通訊。 如需詳細資訊,請參閱 保護傳輸中的記錄數據。
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| 記錄擷取 API | *.ingest.monitor.azure.comprod.la.ingest.monitor.core.windows.NET*.prod.la.ingestion.msftcloudes.comprod.la.ingestion.msftcloudes.com*.prod.la.ingest.monitor.core.windows.NET |
443 |
Application Insights 分析
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| CDN (內容傳遞網路) | applicationanalytics.azureedge.net |
80,443 |
| 媒體CDN | applicationanalyticsmedia.azureedge.net |
80,443 |
Log Analytics 入口網站
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| Portal | portal.loganalytics.io |
443 |
Application Insights Azure 入口網站 擴充功能
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| Application Insights 擴充功能 | stamp2.app.insightsportal.visualstudio.com |
80,443 |
| Application Insights 擴充功能 CDN | insightsportal-prod2-cdn.aisvc.visualstudio.cominsightsportal-prod2-asiae-cdn.aisvc.visualstudio.cominsightsportal-cdn-aimon.applicationinsights.io |
80,443 |
Application Insights SDK (軟體開發工具包)
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| Application Insights JS SDK CDN | az416426.vo.msecnd.netjs.monitor.azure.com |
80,443 |
動作群組 Webhook
Webhook 需要輸入網路存取。 無需使用 ActionGroup 服務標籤來更新防火牆和網路設定。 或者,您可以使用 Get-AzNetworkServiceTag PowerShell 命令 或其他 服務標籤內部部署 方法來查詢動作群組所使用的目前 IP 位址清單。
以下是具有 ActionGroup 服務標籤的輸入安全性規則範例:
Application Insights Profiler
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| 代理人 | agent.azureserviceprofiler.net*.agent.azureserviceprofiler.netprofiler.monitor.azure.com |
443 |
| Portal | gateway.azureserviceprofiler.netdataplane.diagnosticservices.azure.com |
443 |
| 儲存體 | *.core.windows.net |
443 |
快照偵錯工具
備註
適用於 .NET 和快照集調試程式的 Application Insights Profiler 共用相同的一組 IP 位址。
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| 代理人 | agent.azureserviceprofiler.net*.agent.azureserviceprofiler.netsnapshot.monitor.azure.com |
443 |
| Portal | gateway.azureserviceprofiler.netdataplane.diagnosticservices.azure.com |
443 |
| 儲存體 | *.core.windows.net |
443 |
常見問題
本節提供常見問題的解答。
我可以監視內部網路網頁伺服器嗎?
是的,但您必須允許流量透過防火牆例外狀況或 Proxy 重新導向來傳送至我們的服務。
請參閱 Azure 監視器 所使用的 IP 位址,以檢閱我們完整的服務和 IP 位址清單。
如何? 將流量從我的伺服器重新路由傳送至內部網路上的閘道?
藉由覆寫設定中的端點,將來自伺服器的流量路由傳送至內部網路上的閘道。
Endpoint如果設定中沒有屬性,這些類別會使用 Azure 監視器所使用 IP 位址中記載的預設值。
您的閘道應將流量路由傳送至端點的基位址。 在您的群組態中,將預設值取代為 http://<your.gateway.address>/<relative path>。