Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Durch Azure RBAC-Berechtigungen (rollenbasierte Zugriffssteuerung) können Sie Mitgliedern Ihrer Organisation nur bestimmte Aktionen zuweisen, die sie benötigen, um die ihnen übertragenen Aufgaben durchzuführen.
Um Azure Network Watcher-Funktionen zu verwenden, muss das Konto, mit dem Sie sich bei Azure anmelden, dem Besitzer, dem Mitwirkenden oder dem integrierten Netzwerkmitwirkenden zugewiesen oder einer benutzerdefinierten Rolle zugewiesen werden, die die für die Netzwerküberwachungsfunktion aufgeführten Aktionen enthält, die Sie verwenden möchten.
Wichtig
Der Netzwerkmitwirkende schließt die folgenden Aktionen nicht ein:
- Microsoft.Storage/*-Aktionen, die in Zusätzliche Aktionen oder Datenflussprotokollen aufgeführt sind.
- Microsoft.Compute/*-Aktionen, die in Zusätzliche Aktionen aufgeführt sind.
- Microsoft.OperationalInsights/workspaces/*-, Microsoft.Insights/dataCollectionRules/*- oder Microsoft.Insights/dataCollectionEndpoints/*-Aktionen, die unter Datenverkehrsanalyse aufgelistet sind.
Informationen zum Überprüfen von Rollen, die einem Benutzer für ein Abonnement zugewiesen sind, finden Sie unter Auflisten von Azure-Rollenzuweisungen mithilfe des Azure-Portals. Wenn die Rollenzuweisungen nicht angezeigt werden, wenden Sie sich an den jeweiligen Abonnementadministrator.
In den folgenden Abschnitten sind die mindestens erforderlichen Berechtigungen für die Verwendung der Netzwerküberwachung und deren Funktionen aufgeführt. Eine vollständige Liste der zugehörigen Azure-Berechtigungen finden Sie unter Microsoft.Network-Berechtigungen, Microsoft.Compute-Berechtigungen, Microsoft.Storage-Berechtigungen, Microsoft.Insights-Berechtigungen und Microsoft.OperationalInsights-Berechtigungen.
Netzwerküberwachung
| Aktion | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/read | Network Watcher abrufen |
| Microsoft.Network/networkWatchers/write | Network Watcher erstellen oder aktualisieren |
| Microsoft.Network/networkWatchers/delete | Network Watcher löschen |
Verbindungsmonitor
| Aktion | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Verbindungsmonitor starten |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Verbindungsmonitor anhalten |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Verbindungsmonitor abfragen |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Verbindungsmonitor abrufen |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Erstellen eines Verbindungsmonitors |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Verbindungsmonitor löschen |
Flowprotokolle
| Aktion | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/flowLogs/read | Ruft Details zu Datenflussprotokollen ab. |
| Microsoft.Network/networkWatchers/flowLogs/write | Erstellt ein Flussprotokoll |
| Microsoft.Network/networkWatchers/flowLogs/delete | Löscht ein Datenflussprotokoll. |
| Microsoft.Network/networkWatchers/configureFlowLog/action | Ein Datenflussprotokoll konfigurieren |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Status für ein Datenflussprotokoll abfragen |
| Microsoft.Network/networkSecurityGroups/write 1 | Erstellt eine Netzwerksicherheitsgruppe oder aktualisiert eine vorhandene Netzwerksicherheitsgruppe. |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Rufen Sie gemeinsame Zugriffssignaturen (SAS) ab, die einen sicheren Zugriff auf das Speicherkonto ermöglichen, und schreiben Sie in das Speicherkonto |
1 Nur für NSG-Datenflussprotokolle erforderlich.
Datenverkehrsanalyse
Da die Datenverkehrsanalyse als Teil der Datenflussprotokoll-Ressource aktiviert ist, sind zusätzlich zu allen erforderlichen Berechtigungen für Datenflussprotokolle die folgenden Berechtigungen erforderlich:
| Aktion | BESCHREIBUNG |
|---|---|
| Microsoft.Network/applicationGateways/read | Holen Sie sich ein Anwendungsgateway |
| Microsoft.Network/connections/read | Ruft VirtualNetworkGatewayConnection ab. |
| Microsoft.Network/expressRouteCircuits/read | Dient zum Abrufen eines ExpressRouteCircuit-Elements. |
| Microsoft.Network/loadBalancers/read | Lastenausgleichsdefinition abrufen |
| Microsoft.Network/localNetworkGateways/read | LocalNetworkGateway abrufen |
| Microsoft.Network/networkInterfaces/read | Abrufen einer Netzwerkschnittstellendefinition |
| Microsoft.Network/networkSecurityGroups/read | Definition einer Netzwerksicherheitsgruppe abrufen |
| Microsoft.Network/publicIPAddresses/read | Eine Definition einer öffentlichen IP-Adresse erhalten |
| Microsoft.Network/routeTables/read | Abrufen einer Routingtabellendefinition |
| Microsoft.Network/virtualNetworkGateways/read | VirtualNetworkGateway abrufen |
| Microsoft.Network/virtualNetworks/read | "Definition des virtuellen Netzwerks abrufen" |
| Microsoft.Compute/virtualMachines/read | Dient zum Abrufen der Eigenschaften eines virtuellen Computers. |
| Microsoft.Compute/virtualMachineScaleSets/read | Abrufen der Eigenschaften einer VM-Skalierungsgruppe |
| Microsoft.OperationalInsights/workspaces/read | Ruft einen vorhandenen Arbeitsbereich ab. |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Ruft die gemeinsam verwendeten Schlüssel für den Arbeitsbereich ab. |
| Microsoft.Insights/dataCollectionRules/read 1 | Liest eine Datensammlungsregel. |
| Microsoft.Insights/dataCollectionRules/write 1 | Erstellt oder aktualisiert eine Datensammlungsregel. |
| Microsoft.Insights/dataCollectionRules/löschen 1 | Löscht eine Datensammlungsregel. |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Liest einen Datensammlungsendpunkt. |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Erstellt oder aktualisiert einen Datensammlungsendpunkt. |
| Microsoft.Insights/dataCollectionEndpoints/löschen 1 | Löscht einen Datensammlungsendpunkt. |
1 Erforderlich für das Log Analytics-Arbeitsbereichsabonnement bei Verwendung von Datenverkehrsanalysen mit virtuellen Netzwerkflussprotokollen.
Achtung
Datenverkehrsanalyse erstellt und verwaltet eine Datensammlungsregel (DCR) und die Endpunktressourcen der Datensammlung (DCE) in derselben Ressourcengruppe wie der Arbeitsbereich, mit dem Präfix NWTA. Wenn Sie einen Vorgang für diese Ressourcen ausführen, funktioniert die Datenverkehrsanalyse möglicherweise nicht wie erwartet.
Wichtig
Geerbte Berechtigungen für die Verwaltungsgruppe werden zurzeit nicht unterstützt, um Datenverkehrsanalysen zu aktivieren.
Problembehandlung für Verbindungen
| Aktion | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action, Microsoft.Network/networkWatchers/connectivityCheck/action |
Überprüfen der Möglichkeit, eine direkte TCP-Verbindung von einem virtuellen Computer zu einem bestimmten Endpunkt herzustellen |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Ergebnisse von einem Test zur Problembehandlung für Verbindungen abfragen |
| Microsoft.Network/Netzwerküberwacher/Fehlersuche/Aktion | Einen Test zur Problembehandlung für Verbindungen ausführen |
Paketerfassung
| Aktion | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Status einer Paketerfassung abfragen |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Beenden der laufenden Paketerfassungssitzung |
| Microsoft.Network/networkWatchers/packetCaptures/read | Paketerfassungsdefinition abrufen |
| Microsoft.Network/networkWatchers/packetCaptures/write | Eine Paketerfassung erstellen |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Löschen einer Paketerfassung |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Anzeigen des Status einer Paketerfassung |
IP-Datenflussüberprüfung
| Aktion | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action, Microsoft.Network/networkWatchers/ipFlowVerify/read |
Gibt zurück, ob das Paket an oder von einem bestimmten Ziel zugelassen oder abgelehnt wird. |
Nächster Hop
| Aktion | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
Gibt für ein angegebenes Ziel und eine Ziel-IP-Adresse die Art des nächsten Hops und die IP-Adresse des nächsten Hops zurück |
| Microsoft.Compute/virtualMachines/read | Dient zum Abrufen der Eigenschaften eines virtuellen Computers. |
| Microsoft.Network/networkInterfaces/read | Abrufen einer Netzwerkschnittstellendefinition |
Netzwerksicherheitsgruppen-Ansicht
| Aktion | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/Sicherheitsgruppenansicht/Aktion | Anzeigen der konfigurierten und effektiven Netzwerksicherheitsgruppenregeln, die auf einem virtuellen Computer angewendet werden |
Topologie
| Aktion | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/topology/action, Microsoft.Network/networkWatchers/topology/read |
Erhalten Sie eine Netzwerkebenenansicht von Ressourcen und deren Beziehungen in einer Ressourcengruppe. |
Erreichbarkeitsbericht
| Aktion | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Abrufen der relativen Latenzbewertung für Internetdienstanbieter von einem angegebenen Standort zu Azure-Regionen |
Zusätzliche Aktionen
Für einige Netzwerküberwachungsfunktionen sind die folgenden Aktionen erforderlich:
| Aktion | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/Read | Rufen Sie Azure-Rollenzuweisungen und Richtliniendefinitionen ab |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Zählen Sie alle Ressourcengruppen in einem Abonnement auf |
| Microsoft.Storage/storageAccounts/Read | Rufen Sie die Eigenschaften für das angegebene Speicherkonto ab |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Rufen Sie gemeinsame Zugriffssignaturen (SAS) ab, die einen sicheren Zugriff auf das Speicherkonto ermöglichen, und schreiben Sie in das Speicherkonto |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Melden Sie sich bei der VM an, führen Sie eine Paketerfassung durch und laden Sie sie in Ihr Speicherkonto hoch |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Prüfen Sie, ob die Network Watcher-Erweiterung vorhanden ist, und installieren Sie sie gegebenenfalls |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Greifen Sie auf die VM-Skalierungsgruppen zu, führen Sie Paketerfassung durch und laden Sie sie auf ein Speicherkonto hoch. |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Prüfen Sie, ob die Network Watcher-Erweiterung vorhanden ist, und installieren Sie sie gegebenenfalls |
| Microsoft.Insights/alertRules/* | Einrichten von Metrikwarnungen |
| Microsoft.Support/* | Erstellen und aktualisieren Sie Support-Tickets von Network Watcher |