Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Virtual Network Manager verwendet Azure Monitor für die Datensammlung und -analyse wie viele andere Azure-Dienste. Azure Virtual Network Manager stellt Ereignisprotokolle für jeden Netzwerk-Manager bereit. Sie können Ereignisprotokolle mit dem Protokollanalysetool von Azure Monitor im Azure-Portal bzw. über ein Speicherkonto speichern und anzeigen. Sie können diese Protokolle auch an eine Event Hub- oder Partnerlösung senden.
Unterstützte Protokollkategorien
Azure Virtual Network Manager stellt derzeit die folgenden Protokollkategorien bereit:
- Änderung der Netzwerkgruppenmitgliedschaft
- Nachverfolgen, wenn die Netzwerkgruppenmitgliedschaft eines bestimmten virtuellen Netzwerks geändert wird. Mit anderen Worten: Es wird ein Protokoll erstellt, wenn ein virtuelles Netzwerk einer Netzwerkgruppe hinzugefügt oder aus ihr entfernt wird. Diese Funktion kann verwendet werden, um Änderungen der Netzwerkgruppenmitgliedschaft im Laufe der Zeit nachzuverfolgen und eine Momentaufnahme der Netzwerkgruppenmitgliedschaft eines bestimmten virtuellen Netzwerks zu erfassen.
- Regelsammlungsänderung
- Nachverfolgen, wenn sich die Gruppe der angewendeten Sicherheitsadministrator-Regelsammlungen eines bestimmten virtuellen Netzwerks ändert. Für jede Regelsammlung, die für ein virtuelles Netzwerk über die Netzwerkgruppe bereitgestellt wird, wird ein Protokoll ausgegeben, auf das die Regelsammlung ausgerichtet ist. Jede Entfernung einer Regelsammlung aus einer Netzwerkgruppe über einen Bereitstellungsprozess führt ebenfalls zu einem Protokoll für jedes betroffene virtuelle Netzwerk. Dieses Schema kann verwendet werden, um zu verfolgen, welche Regelsammlungen im Laufe der Zeit in einem bestimmten virtuellen Netzwerk bereitgestellt werden.
- Wenn ein virtuelles Netzwerk Sicherheitsadministratorregelsammlungen von mehreren Netzwerkmanagern empfängt, werden Protokolle für jeden Netzwerkmanager separat für ihre jeweiligen Regelsammlungsänderungen ausgegeben.
- Wenn ein virtuelles Netzwerk einer Netzwerkgruppe hinzugefügt oder daraus entfernt wird, für die bereits eine Regelsammlung bereitgestellt wurde, wird ein Protokoll für dieses virtuelle Netzwerk mit dem Status der angewendeten Regelsammlung ausgegeben.
- Ändern der Konnektivitätskonfiguration
- Verfolgen Sie, wann sich die angewendeten Konnektivitätskonfigurationen eines bestimmten virtuellen Netzwerks ändern. Für jede in einem virtuellen Netzwerk bereitgestellte Konnektivitätskonfiguration wird über die Netzwerkgruppe, auf die die Konfiguration ausgerichtet ist, ein Protokoll ausgegeben. Jede Entfernung einer Konnektivitätskonfiguration aus einer Netzwerkgruppe über einen Bereitstellungsprozess führt zu einem Protokoll für jedes betroffene virtuelle Netzwerk. Dieses Schema kann verwendet werden, um zu verfolgen, welche Verbindungskonfigurationen und ihre jeweiligen Topologietypen im Laufe der Zeit in einem bestimmten virtuellen Netzwerk bereitgestellt werden.
- Wenn ein virtuelles Netzwerk Konnektivitätskonfigurationen von mehreren Netzwerkmanagern empfängt, werden Protokolle für jeden Netzwerkmanager separat für die jeweiligen Konfigurationsänderungen ausgegeben.
- Wenn ein virtuelles Netzwerk einer Netzwerkgruppe hinzugefügt oder daraus entfernt wird, für die bereits eine Konnektivitätskonfiguration bereitgestellt wurde, wird ein Protokoll für dieses virtuelle Netzwerk mit dem Status der angewendeten Verbindungskonfigurationen ausgegeben.
Änderung der Attribute der Netzwerkgruppenmitgliedschaft
Diese Kategorie gibt ein Protokoll pro Änderung der Netzwerkgruppenmitgliedschaft aus. Wenn also ein virtuelles Netzwerk einer Netzwerkgruppe hinzugefügt oder daraus entfernt wird, wird ein Protokoll ausgegeben, das sich auf jedes einzelne Hinzufügen oder Entfernen dieses virtuellen Netzwerks bezieht. Die folgenden Attribute entsprechen den Protokollen, die an Ihr Speicherkonto gesendet werden. Log Analytics-Protokolle weisen geringfügig andere Attribute auf.
| attribute | Beschreibung |
|---|---|
| Zeit | Datum und Uhrzeit der Protokollierung des Ereignisses. |
| Ressourcen-ID | Ressourcen-ID des Netzwerkmanagers |
| Standort | Standort der VNet-Ressource |
| Betriebsname | Vorgang, der dazu führte, dass das virtuelle Netzwerk hinzugefügt oder entfernt wurde. Immer der Vorgang Microsoft.Network/virtualNetworks/networkGroupMembership/write. |
| Kategorie | Kategorie dieses Protokolls Immer NetworkGroupMembershipChange. |
| Ergebnistyp | Gibt einen erfolgreichen oder fehlgeschlagenen Vorgang an. |
| correlationId | GUID, die beim Einordnen oder Debuggen von Protokollen hilfreich sein kann |
| Level | Immer Info. |
| Eigenschaften | Eigenschaftenauflistung des Protokolls |
Innerhalb des properties-Attributs gibt es mehrere geschachtelte Attribute:
| Eigenschaftenattribute | Beschreibung |
|---|---|
| `Message` | Eine statische Meldung, die angibt, ob eine Änderung der Netzwerkgruppenmitgliedschaft erfolgreich oder nicht erfolgreich war. |
| Mitgliedsnummer | Standardmitgliedschafts-ID des virtuellen Netzwerks |
| Gruppenmitgliedschaften | Sammlung der Netzwerkgruppen, zu der das virtuelle Netzwerk gehört. Innerhalb dieser Eigenschaft kann mehrere NetworkGroupId und Sources aufgelistet werden, da ein virtuelles Netzwerk gleichzeitig zu mehreren Netzwerkgruppen gehören kann. |
| MemberResourceIds | Ressourcen-ID des virtuellen Netzwerks, das einer Netzwerkgruppe hinzugefügt oder daraus entfernt wurde |
Innerhalb des GroupMemberships-Attributs gibt es mehrere geschachtelte Attribute:
| GroupMemberships-Attribute | Beschreibung |
|---|---|
| NetworkGroupId | ID einer Netzwerkgruppe, zu der das virtuelle Netzwerk gehört. |
| Quellen | Sammlung der Art, wie das virtuelle Netzwerk Mitglied der Netzwerkgruppe geworden ist. |
Innerhalb des Sources-Attributs gibt es mehrere geschachtelte Attribute:
| Quellattribute | Beschreibung |
|---|---|
| Typ | Gibt an, ob das virtuelle Netzwerk manuell (StaticMembership) oder bedingt über Azure Policy (Richtlinie) hinzugefügt wurde. |
| StaticMemberId | Wenn der Type-Wert StaticMembership lautet, wird diese Eigenschaft angezeigt. |
| PolicyAssignmentId | Wenn der Type-Wert Policy lautet, wird diese Eigenschaft angezeigt. ID der Azure Policy-Richtlinienzuweisung, die die Azure Policy-Definition der Netzwerkgruppe zuordnet |
| PolicyDefinitionId | Wenn der Type-Wert Policy lautet, wird diese Eigenschaft angezeigt. ID der Azure Policy-Definition, die die Bedingungen für die Mitgliedschaft der Netzwerkgruppe enthält |
Attribute der Änderung der Regelsammlung
Diese Kategorie gibt ein Protokoll pro Sicherheitsadministrator-Regelsammlungsänderung pro virtuelles Netzwerk aus. Wenn also eine Sicherheitsadministrator-Regelsammlung über die Netzwerkgruppe auf ein virtuelles Netzwerk angewendet oder aus diesem entfernt wird, wird ein Protokoll ausgegeben, das diese Änderung in der Regelsammlung für dieses bestimmte virtuelle Netzwerk widerspiegelt. Die folgenden Attribute entsprechen den Protokollen, die an Ihr Speicherkonto gesendet werden. Log Analytics-Protokolle weisen geringfügig andere Attribute auf.
| attribute | Beschreibung |
|---|---|
| Zeit | Datum und Uhrzeit der Protokollierung des Ereignisses. |
| Ressourcen-ID | Ressourcen-ID des Netzwerkmanagers |
| Standort | Standort der VNet-Ressource |
| Betriebsname | Vorgang, der dazu führte, dass das virtuelle Netzwerk hinzugefügt oder entfernt wurde. Immer der Vorgang Microsoft.Network/networkManagers/securityAdminRuleCollections/write. |
| Kategorie | Kategorie dieses Protokolls Immer Always RuleCollectionChange. |
| Ergebnistyp | Gibt einen erfolgreichen oder fehlgeschlagenen Vorgang an. |
| correlationId | GUID, die beim Einordnen oder Debuggen von Protokollen hilfreich sein kann |
| Level | Immer Info. |
| Eigenschaften | Eigenschaftenauflistung des Protokolls |
Innerhalb des properties-Attributs gibt es mehrere geschachtelte Attribute:
| Eigenschaftenattribute | Beschreibung |
|---|---|
| TargetResourceIds | Die Ressourcen-ID des virtuellen Netzwerks, für das eine Änderung der Regelsammlungsanwendung erfolgt ist. |
| `Message` | Eine statische Meldung, die angibt, ob eine Änderung der Regelsammlung erfolgreich oder nicht erfolgreich war. |
| AppliedRuleCollectionIds | Sammlung der Sicherheitsadministrator-Regelsammlungen, die zum Zeitpunkt der Ausgabe des Protokolls auf das virtuelle Netzwerk angewendet werden. Es können mehrere Regelsammlungs-IDs aufgelistet werden, da ein virtuelles Netzwerk mehreren Netzwerkgruppen angehören kann und mehrere Regelauflistungen gleichzeitig angewendet werden. |
Attribute von Konnektivitätskonfigurationsänderungen
Diese Kategorie gibt ein Protokoll pro Verbindungskonfigurationsänderung pro virtuellem Netzwerk aus. Wenn also eine Konnektivitätskonfiguration über die Netzwerkgruppe auf ein virtuelles Netzwerk angewendet oder aus diesem entfernt wird, wird ein Protokoll ausgegeben, das diese Änderung in der Konnektivitätskonfiguration für dieses virtuelle Netzwerk widerspiegelt. Die folgenden Attribute entsprechen den Protokollen, die an Ihr Speicherkonto gesendet werden. Log Analytics-Protokolle weisen geringfügig andere Attribute auf.
| attribute | Beschreibung |
|---|---|
| Zeit | Datum und Uhrzeit der Protokollierung des Ereignisses. |
| Ressourcen-ID | Ressourcen-ID des Netzwerkmanagers |
| Standort | Standort der VNet-Ressource |
| Betriebsname | Vorgang, der dazu führte, dass das virtuelle Netzwerk hinzugefügt oder entfernt wurde. |
| Kategorie | Kategorie dieses Protokolls Immer ConnectivityConfigurationChange |
| Ergebnistyp | Gibt einen erfolgreichen oder fehlgeschlagenen Vorgang an. |
| correlationId | GUID, die beim Einordnen oder Debuggen von Protokollen hilfreich sein kann |
| Level | Informationen oder Warnungen. |
| Eigenschaften | Eigenschaftenauflistung des Protokolls |
Innerhalb des properties-Attributs gibt es mehrere geschachtelte Attribute:
| Eigenschaftenattribute | Beschreibung |
|---|---|
| Angewandte Konnektivitätskonfigurationen | Sammlung der Verbindungskonfigurationen, die zum Zeitpunkt der Erstellung des Protokolls auf das virtuelle Netzwerk angewendet werden. Es können mehrere Verbindungskonfigurationen aufgelistet werden, da eine Netzwerkgruppe mehrere Verbindungskonfigurationen gleichzeitig angewendet haben kann, und ein virtuelles Netzwerk kann zu mehreren Netzwerkgruppen gehören, auf die mehrere Verbindungskonfigurationen gleichzeitig angewendet werden. |
| TargetResourceIds | Ressourcen-ID des virtuellen Netzwerks, in dem eine Änderung der Konnektivitätskonfigurationsanwendung vorgenommen wurde |
| `Message` | Eine statische Meldung, die angibt, ob die Konnektivitätskonfiguration erfolgreich geändert wurde oder nicht |
Hinweis
Die Verbindungskonfiguration erlaubt virtuelle Netzwerke mit überlappenden IP-Bereichen innerhalb derselben verbundenen Gruppe, aber die Kommunikation zu einer überlappenden IP-Adresse wird verworfen. Zusätzlich werden die überlappenden Adressräume innerhalb der verbundenen Gruppe unzugänglich, wenn das virtuelle Netzwerk der verbundenen Gruppe mit einem externen virtuellen Netzwerk (einem virtuellen Netzwerk, das sich nicht in der verbundenen Gruppe befindet) mit überlappenden Adressräumen verknüpft ist. Datenverkehr vom virtuellen Netzwerk mit Peering zu den überlappenden Adressräumen wird an das externe virtuelle Netzwerk weitergeleitet, während Datenverkehr von anderen VNets in der verbundenen Gruppe zu den überlappenden Adressräumen verworfen wird. Protokolle zeigen eine "Warnung"-Stufe, wobei das TargetResourceIds-Feld die IDs von VNets mit überlappenden Adressräumen angibt und das message darauf hinweist, dass aufgrund überlappender Adressen auf vollständige oder teilweise Adressräume nicht zugegriffen werden kann.
Innerhalb des AppliedConnectivityConfigurations-Attributs gibt es mehrere geschachtelte Attribute:
| AppliedConnectivityConfigurations-Attribute | Beschreibung |
|---|---|
| ConfigurationId | ID einer auf das virtuelle Netzwerk angewendeten Konnektivitätskonfiguration |
| Topologie | Der Typ der Topologie, den die Konnektivitätskonfiguration bei einer oder mehreren Netzwerkgruppen erstellen soll, auf die sie angewendet wird. Kann Mesh oder HubAndSpoke sein. |
Zugreifen auf Protokolle
Abhängig davon, wie Sie die Ereignisprotokolle nutzen, müssen Sie einen Log Analytics-Arbeitsbereich oder ein Speicherkonto für die Speicherung Ihrer Protokollereignisse festlegen.
- Erfahren Sie, wie Sie einen Log Analytics-Arbeitsbereich erstellen.
- Erfahren Sie, wie Sie ein Speicherkonto erstellen.
Wenn Sie einen Log Analytics-Arbeitsbereich oder ein Speicherkonto einrichten, müssen Sie eine Region auswählen. Wenn Sie ein Speicherkonto verwenden, muss es sich in derselben Region wie der virtuelle Netzwerkmanager befinden, aus dem Sie auf Protokolle zugreifen. Wenn Sie einen Log Analytics-Arbeitsbereich verwenden, kann er sich in einer beliebigen Region befinden.
Der Netzwerk-Manager, der auf die Ereignisse zugreift, muss sich nicht im selben Abonnement wie der Log Analytics-Arbeitsbereich oder das speicherkonto befinden, das für den Speicher verwendet wird, aber Berechtigungen können die Möglichkeit einschränken, auf Protokolle in verschiedenen Abonnements zuzugreifen.
Hinweis
Mindestens ein virtuelles Netzwerk muss von einem Ereignis betroffen sein, das von den oben genannten Kategorien erfasst wird, damit Protokolle generiert werden. Für jedes Ereignis wird einige Minuten nach dem Auftreten der Änderung ein Protokoll generiert.
Nächste Schritte
- Erfahren Sie, wie Sie mit den Ereignisprotokollen von Azure Virtual Network Manager beginnen.
- Erfahren Sie, wie Sie eine Azure Virtual Network Manager-Instanz mithilfe des Azure-Portals erstellen.
- Weitere Informationen zu Netzwerkgruppen in Azure Virtual Network Manager.