Häufig gestellte Fragen zu Network Watcher

Network Watcher bietet eine Sammlung von Tools zum Überwachen, Diagnostizieren und Anzeigen von Metriken sowie Aktivieren oder Deaktivieren von Protokollen für IaaS-Ressourcen (Infrastructure-as-a-Service). Dazu gehören virtuelle Maschinen, virtuelle Netzwerke, Anwendungsgateways, Lastenausgleichsmodule und andere Ressourcen in einem virtuellen Azure-Netzwerk. Dabei handelt es sich nicht um eine Lösung für die Überwachung der PaaS-Infrastruktur (Platform-as-a-Service) oder zum Abrufen von Analysen zu Web- oder Mobiltechnologien.

Network Watcher bietet drei große Gruppen von Funktionen:

• Überwachung
  • In der Topologieansicht sehen Sie die Ressourcen in Ihrem virtuellen Netzwerk und die Beziehungen zwischen ihnen.
  • Mit dem Verbindungsmonitor können Sie die Konnektivität und Latenz zwischen Endpunkten innerhalb und außerhalb von Azure überwachen.
• Netzwerkdiagnosetools
  • Mit der IP-Datenflussüberprüfung können Sie Probleme beim Filtern von Datenverkehr auf Ebene einer virtuellen Maschine erkennen.
  • Mit der NSG-Diagnose können Sie Probleme beim Filtern von Datenverkehr auf Ebene einer virtuellen Maschine, einer VM-Skalierungsgruppe oder eines Anwendungsgateways erkennen.
  • Nächster Hop unterstützt Sie beim Überprüfen von Datenverkehrsrouten und Erkennen von Routingproblemen.
  • Die Problembehandlung für Verbindungen ermöglicht eine einmalige Konnektivitäts- und Latenzüberprüfung zwischen einer virtuellen Maschine und einem Bastionhost, Anwendungsgateway oder einer anderen virtuellen Maschine.
  • Mit der Paketerfassung können Sie den Datenverkehr Ihrer virtuellen Maschine erfassen.
  • Die VPN-Problembehandlung führt mehrere Diagnoseprüfungen für VPN-Gateways und -Verbindungen aus, um beim Beheben von Problemen zu helfen.
• Traffic
  • Mit Datenflussprotokollen für Netzwerksicherheitsgruppen (NSGs) und Datenflussprotokollen für virtuelle Netzwerke (VNets) können Sie den Netzwerkdatenverkehr protokollieren, der Ihre Netzwerksicherheitsgruppen und virtuellen Netzwerke durchläuft.
  • Traffic Analytics verarbeitet die Daten Ihrer Datenflussprotokolle für Netzwerksicherheitsgruppen, sodass Sie Ihren Netzwerkdatenverkehr visualisieren, abfragen, analysieren und verstehen können.

Weitere Informationen finden Sie in der Übersicht zu Network Watcher.

Preise zu verschiedenen Network Watcher-Komponenten finden Sie unter Network Watcher Preise.

Weitere Informationen zu den Regionen, die Network Watcher unterstützen, finden Sie unter Network Watcher Regionen.

Eine ausführliche Liste der erforderlichen Berechtigungen für die einzelnen Funktionen von Network Watcher finden Sie unter Erforderliche Berechtigungen der rollenbasierten Zugriffssteuerung von Azure zum Verwenden von Network Watcher-Funktionen.

Der Network Watcher-Dienst wird automatisch für jedes Abonnement aktiviert. Wenn Sie die automatische Aktivierung für Network Watcher deaktiviert haben, müssen Sie Network Watcher manuell aktivieren. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren von Azure Network Watcher.

Die übergeordnete Network Watcher-Ressource wird mit einer eindeutigen Instanz in den einzelnen Regionen bereitgestellt. Standardbenennungsformat: NetworkWatcher_RegionName. Beispiel: „NetworkWatcher_centralus“ ist die Network Watcher-Ressource für die Region „USA, Mitte“. Sie können den Namen der Network Watcher-Instanz mithilfe von PowerShell oder der REST-API anpassen.

Network Watcher muss lediglich einmal pro Region und Abonnement aktiviert werden, damit die zugehörigen Features funktionieren. Ein Network Watcher wird in einer Region aktiviert, indem in dieser Region eine Network Watcher-Instanz erstellt wird.

Die Network Watcher-Ressource stellt den Back-End-Dienst für Network Watcher dar, die vollständig von Azure verwaltet wird. Sie können jedoch die Network Watcher-Ressource erstellen oder löschen, um sie in einer bestimmten Region zu aktivieren oder zu deaktivieren. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren von Azure Network Watcher.

Nein, das Verschieben der Network Watcher-Ressource oder einer ihrer untergeordneten Ressourcen von einer Region in eine andere hinweg wird nicht unterstützt. Weitere Informationen finden Sie unter Unterstützung von Verschiebungsvorgängen für Netzwerkressourcen.

Ja, das Verschieben der Network Watcher-Ressource zwischen Ressourcengruppen wird unterstützt. Weitere Informationen finden Sie unter Unterstützung von Verschiebungsvorgängen für Netzwerkressourcen.

NetworkWatcherRG ist eine Ressourcengruppe, die automatisch für Network Watcher-Ressourcen erstellt wird. Beispielsweise werden regionale Network Watcher-Instanzen und die NSG-Datenflussprotokollressourcen in der Ressourcengruppe NetworkWatcherRG erstellt. Sie können den Namen der Network Watcher-Ressourcengruppe mithilfe von PowerShell, der Azure CLI oder der REST-API anpassen.

Azure Network Watcher speichert keine Kundendaten, außer für den Verbindungsmonitor. Der Verbindungsmonitor speichert Kundendaten, die automatisch von Network Watcher in einer einzelnen Region gespeichert werden, um die Anforderungen an die Datenresidenz in der Region zu erfüllen.

Network Watcher weist die folgenden Grenzwerte auf:

Ja, der Network Watcher-Dienst ist standardmäßig zonenresilient.

Es ist keine Konfiguration erforderlich, um Zonenresilienz zu ermöglichen. Zonenresilienz für Network Watcher-Ressourcen ist standardmäßig verfügbar und wird vom Dienst selbst verwaltet.

Der Network Watcher-Agent ist für alle Network Watcher-Features erforderlich, die Datenverkehr von einer VM generieren oder abfangen.

Die Network Watcher-Erweiterung wird für die Features „Paketerfassung“, „Problembehandlung für Verbindungen“ und „Verbindungsmonitor“ benötigt.

Die aktuelle Version der Network Watcher-Erweiterung ist 1.4.3206.1. Weitere Informationen finden Sie unter Aktualisieren der Azure Network Watcher-Erweiterung auf die neueste Version.

• Linux: Der Network Watcher-Agent verwendet verfügbare Ports ab port 50000, bis er port 65535 erreicht.
• Windows: Der Network Watcher-Agent verwendet die Ports, mit denen das Betriebssystem antwortet, wenn nach verfügbaren Ports abgefragt wird.

Der Network Watcher-Agent erfordert ausgehende TCP-Konnektivität zu 169.254.169.254 über port 80 und zu 168.63.129.16 über port 8037. Der Agent verwendet diese IP-Adressen für die Kommunikation mit der Azure-Plattform.

Nein, klassische VMs werden vom Verbindungsmonitor nicht unterstützt. Weitere Informationen finden Sie unter Plattformgestützte Migration von IaaS-Ressourcen vom klassischen Bereitstellungsmodell zu Azure Resource Manager.

Die Topologie kann von Nicht-Azure zu Azure nur ergänzt werden, wenn sich die Azure-Zielressource und die Verbindungsmonitor-Ressource in derselben Region befinden.

Dieselbe Azure-VM kann nicht mit unterschiedlichen Konfigurationen in demselben Verbindungsmonitor verwendet werden. Beispielsweise wird die Verwendung derselben VM mit einem Filter und ohne einen Filter in demselben Verbindungsmonitor nicht unterstützt.

Die im Dashboard des Verbindungsmonitors angezeigten Probleme werden während der Topologieerkennung oder der Hoperkundung gefunden. Es kann Fälle geben, in denen der eingestellte Schwellenwert für % Verlust oder RTT erreicht wird, aber keine Probleme bei den Hops gefunden werden.

Im Verbindungsmonitor (klassisch) gibt es keine Option zur Protokollauswahl. Tests im Verbindungsmonitor (klassisch) verwenden nur das TCP-Protokoll. Aus diesem Grund erstellen wir bei der Migration eine TCP-Konfiguration in Tests im neuen Verbindungsmonitor.

Es gibt derzeit eine regionale Grenze, wenn ein Endpunkt Azure Monitor und Arc-Agents mit dem zugeordneten Log Analytics-Arbeitsbereich verwendet. Aufgrund dieser Einschränkung muss sich der zugeordnete Log Analytics-Arbeitsbereich in derselben Region wie der Arc-Endpunkt befinden. Daten, die in einzelne Arbeitsbereiche eingelesen werden, können für eine einzelne Ansicht zusammengefasst werden, siehe Abfragedaten in Log Analytics-Arbeitsbereichen, -Anwendungen und -Ressourcen in Azure Monitor.

Mit Datenflussprotokollen können Sie 5-Tupel-Flussinformationen zu Ihrem Azure-IP-Datenverkehr protokollieren, der über eine Netzwerksicherheitsgruppe oder ein virtuelles Azure-Netzwerk durchläuft. Die unbearbeiteten Datenflussprotokolle werden in ein Azure Storage-Konto geschrieben. Von dort aus können Sie sie nach Bedarf weiter verarbeiten, analysieren, abfragen oder exportieren.

Die Daten von Datenflussprotokollen werden außerhalb des Pfads Ihres Netzwerkdatenverkehrs erfasst und wirken sich daher nicht auf den Netzwerkdurchsatz oder die -latenz aus. Sie können Datenflussprotokolle erstellen oder löschen, ohne dass sich dies auf die Netzwerkleistung auswirkt.

Datenflussprotokolle für Netzwerksicherheitsgruppen protokollieren Datenverkehr, der durch eine Netzwerksicherheitsgruppe fließt. Andererseits gibt die NSG-Diagnose alle Netzwerksicherheitsgruppen zurück, die Ihr Datenverkehr durchläuft, sowie die Regeln jeder Netzwerksicherheitsgruppe, die auf diesen Datenverkehr angewandt werden. Mit der NSG-Diagnose können Sie sich vergewissern, dass Ihre Netzwerksicherheitsgruppen-Regeln wie erwartet angewandt werden.

Nein. Datenflussprotokolle für Netzwerksicherheitsgruppen unterstützen keine ESP- und AH-Protokolle.

Nein. Datenflussprotokolle für Netzwerksicherheitsgruppen unterstützen das Internet Control Message-Protokoll nicht.

Ja. Die zugeordnete Datenflussprotokoll-Ressource wird ebenfalls gelöscht. Datenflussprotokolldaten werden im Speicherkonto für den im Datenflussprotokoll konfigurierten Aufbewahrungszeitraum aufbewahrt.

Ja, aber Sie müssen die zugeordnete Datenflussprotokollressource löschen. Nachdem Sie die Netzwerksicherheitsgruppe migriert haben, können Sie die Datenflussprotokolle neu erstellen, um die Datenflussprotokollierung für sie zu aktivieren.

Ja, Sie können ein Speicherkonto aus einem anderen Abonnement verwenden, solange sich dieses Abonnement in derselben Region der Netzwerksicherheitsgruppe befindet und demselben Microsoft Entra-Mandanten der Netzwerksicherheitsgruppe oder des Abonnements des virtuellen Netzwerks zugeordnet ist.

Wenn Sie ein Speicherkonto hinter einer Firewall verwenden möchten, müssen Sie eine Ausnahme für vertrauenswürdige Microsoft-Dienste für den Zugriff auf Ihr Speicherkonto bereitstellen:

1. Navigieren Sie zu dem Speicherkonto, indem Sie den Namen des Speicherkontos in das Suchfeld oben im Portal eingeben.
2. Wählen Sie unter Sicherheit + Netzwerk die Option Netzwerk aus und dann Firewalls und virtuelle Netzwerke.
3. Wählen Sie bei Öffentlicher Netzwerkzugang die Option Aktivierung von ausgewählten virtuellen Netzwerken und IP-Adressen aus. Aktivieren Sie unter Ausnahmen das Kontrollkästchen neben Azure-Dienste auf der Liste der vertrauenswürdigen Dienste für den Zugriff auf dieses Speicherkonto zulassen.
4. Aktivieren Sie Datenflussprotokolle für Netzwerksicherheitsgruppen, indem Sie unter Verwendung des Speicherkontos ein Datenflussprotokoll für Ihre Ziel-Netzwerksicherheitsgruppe erstellen. Weitere Informationen finden Sie unter Erstellen eines Datenflussprotokolls.

Sie können die Speicherprotokolle nach einigen Minuten überprüfen. Es sollte ein aktualisierter Zeitstempel oder eine neue JSON-Datei vorhanden sein.

Die Netzwerküberwachung verfügt über einen integrierten Fallbackmechanismus, der beim Herstellen einer Verbindung mit einem Speicherkonto hinter einer Firewall verwendet wird (Firewall aktiviert). Es versucht, mithilfe eines Schlüssels eine Verbindung mit dem Speicherkonto herzustellen, und wenn dies fehlschlägt, wechselt es zu einem Token. In diesem Fall wird ein 403-Fehler im Speicherkontoaktivitätsprotokoll protokolliert.

Ja. Network Watcher unterstützt das Senden der Daten von Datenflussprotokollen für Netzwerksicherheitsgruppen an ein Speicherkonto, das mit einem privaten Endpunkt aktiviert ist.

Datenflussprotokolle für Netzwerksicherheitsgruppen sind ohne weitere Konfiguration mit Dienstendpunkten kompatibel. Weitere Informationen finden Sie unter Aktivieren eines Dienstendpunkts.

In Datenflussprotokollen der Version 2 wurde des Konzept des Flowzustands eingeführt, gemäß dem Informationen zu übertragenen Bytes und Paketen gespeichert werden. Weitere Informationen finden Sie unter „Datenflussprotokollierung für Netzwerksicherheitsgruppen“ im Abschnitt Protokollformat.

Nein. Eine Schreibschutzsperre für eine Netzwerksicherheitsgruppe verhindert das Erstellen des entsprechenden Datenflussprotokolls für Netzwerksicherheitsgruppen.

Ja. Eine Löschschutzsperre für eine Netzwerksicherheitsgruppe verhindert das Erstellen oder Ändern des entsprechenden Datenflussprotokolls für Netzwerksicherheitsgruppen nicht.

Ja. Sie können Datenflussprotokolle für Netzwerksicherheitsgruppen über Azure Resource Manager-Vorlagen (ARM-Vorlagen) automatisieren. Weitere Informationen finden Sie unter Konfigurieren von NSG-Datenflussprotokollen mithilfe einer ARM-Vorlage (Azure Resource Manager).