Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier les répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer de répertoire.
Si votre application ou infrastructure surveillée se trouve derrière un pare-feu, vous devez configurer l’accès réseau pour autoriser la communication avec les services Azure Monitor .
Azure Monitor utilise des balises de service, qui offrent un moyen dynamique de gérer l’accès réseau, en particulier si vous utilisez des groupes de sécurité réseau Azure, un Pare-feu Azure ou des pare-feu de nouvelle génération (NGFW) qui peuvent implémenter des balises de service. Pour les ressources hybrides ou locales ou les contrôles de périmètre réseau qui ne prennent pas en charge les balises de service, récupérez les listes d’adresses IP équivalentes par programmation ou téléchargez-les en tant que fichiers JSON. Pour plus d’informations, consultez Balises de service locales.
Pour couvrir toutes les exceptions nécessaires, utilisez les balises ActionGroupde service, ApplicationInsightsAvailabilityet AzureMonitor. Les balises de service ne remplacent pas les vérifications de validation et d’authentification requises pour les communications entre locataires entre la ressource Azure d’un client et d’autres ressources d’étiquette de service.
Trafic sortant
Chacune des sections de service Azure Monitor suivantes nécessite des règles de trafic sortant (destination), sauf indication contraire. Par exemple, la surveillance de la disponibilité et les webhooks de groupe d’actions nécessitent des règles de pare-feu entrantes (source).
Remarque
Azure Government utilise le domaine .us de niveau supérieur au lieu de .com.
Comparez les points de terminaison Azure Public et Azure Government pour les services Azure courants.
Ingestion d’Application Insights
Vous devez ouvrir les ports sortants suivants dans votre pare-feu pour autoriser le KIT DE développement logiciel (SDK) Application Insights ou l’agent Application Insights à envoyer des données au portail.
Remarque
La prise en charge IPv6 est limitée à des points de terminaison spécifiques :
-
{region].in.applicationinsights.azure.comprend en charge IPv4 et IPv6. -
{region}.livediagnostics.monitor.azure.comprend actuellement en charge IPv4 uniquement ; La prise en charge IPv6 est planifiée. - Les points de terminaison d’ingestion globaux ne prennent pas en charge IPv6 et sont déconseillés. Pour plus d’informations, consultez annonce de mise hors service
| Objectif | Nom d’hôte | Catégorie | Ports maritimes |
|---|---|---|---|
| Télémétrie | dc.applicationinsights.azure.comdc.applicationinsights.microsoft.comdc.services.visualstudio.com{region}.in.applicationinsights.azure.com |
Mondial Mondial Mondial Régional |
443 |
| Métriques actives | live.applicationinsights.azure.comrt.applicationinsights.microsoft.comrt.services.visualstudio.com{region}.livediagnostics.monitor.azure.com{region} Exemple :westus2 |
Mondial Mondial Mondial Régional |
443 |
Configuration de l’agent Application Insights
La configuration de l’agent Application Insights est nécessaire uniquement lorsque vous apportez des modifications.
| Objectif | Nom d’hôte | Ports maritimes |
|---|---|---|
| Paramétrage | management.core.windows.net |
443 |
| Paramétrage | management.azure.com |
443 |
| Paramétrage | login.windows.net |
443 |
| Paramétrage | login.microsoftonline.com |
443 |
| Paramétrage | secure.aadcdn.microsoftonline-p.com |
443 |
| Paramétrage | auth.gfx.ms |
443 |
| Paramétrage | login.live.com |
443 |
| Installation |
globalcdn.nuget.org, , packages.nuget.orgapi.nuget.org/v3/index.jsonnuget.org, , api.nuget.orgdc.services.vsallin.net |
443 |
Tests de disponibilité
Les tests de disponibilité nécessitent un accès pare-feu entrant et sont mieux configurés avec des balises de service et des en-têtes personnalisés. Pour plus d’informations, consultez Test de disponibilité derrière un pare-feu.
Journaux des points de terminaison de l’API de requête
À compter du 1er juillet 2025, Log Analytics applique TLS 1.2 ou version ultérieure pour la communication sécurisée. Pour plus d’informations, consultez Les données des journaux sécurisés en transit.
| Objectif | Nom d’hôte | Ports maritimes |
|---|---|---|
| Application Insights | api.applicationinsights.ioapi1.applicationinsights.ioapi2.applicationinsights.ioapi3.applicationinsights.ioapi4.applicationinsights.ioapi5.applicationinsights.ioapi.applicationinsights.azure.com*.api.applicationinsights.azure.com |
443 |
| Log Analytics | api.loganalytics.io*.api.loganalytics.ioapi.loganalytics.azure.comapi.monitor.azure.com*.api.monitor.azure.com |
443 |
| Explorateur de données Azure | ade.loganalytics.ioade.applicationinsights.ioadx.monitor.azure.com*.adx.monitor.azure.com*.adx.applicationinsights.azure.comadx.applicationinsights.azure.comadx.loganalytics.azure.com*.adx.loganalytics.azure.com |
443 |
Journaux des points de terminaison d’API d’ingestion
À compter du 1er mars 2026, l’ingestion des journaux applique TLS 1.2 ou version ultérieure pour la communication sécurisée. Pour plus d’informations, consultez Les données des journaux sécurisés en transit.
| Objectif | Nom d’hôte | Ports maritimes |
|---|---|---|
| API d'ingestion de logs | *.ingest.monitor.azure.comprod.la.ingest.monitor.core.windows.NET*.prod.la.ingestion.msftcloudes.comprod.la.ingestion.msftcloudes.com*.prod.la.ingest.monitor.core.windows.NET |
443 |
Analytique Application Insights
| Objectif | Nom d’hôte | Ports maritimes |
|---|---|---|
| CDN (Content Delivery Network) | applicationanalytics.azureedge.net |
80,443 |
| CDN multimédia | applicationanalyticsmedia.azureedge.net |
80,443 |
Portail Log Analytics
| Objectif | Nom d’hôte | Ports maritimes |
|---|---|---|
| Portail | portal.loganalytics.io |
443 |
Extension du portail Azure Application Insights
| Objectif | Nom d’hôte | Ports maritimes |
|---|---|---|
| Extension Application Insights | stamp2.app.insightsportal.visualstudio.com |
80,443 |
| CDN de l’extension Application Insights | insightsportal-prod2-cdn.aisvc.visualstudio.cominsightsportal-prod2-asiae-cdn.aisvc.visualstudio.cominsightsportal-cdn-aimon.applicationinsights.io |
80,443 |
Kits de développement logiciel (SDK) Application Insights
| Objectif | Nom d’hôte | Ports maritimes |
|---|---|---|
| CDN du SDK JS Application Insights | az416426.vo.msecnd.netjs.monitor.azure.com |
80,443 |
Webhooks de groupe d’actions
Les webhooks nécessitent un accès réseau entrant. Éliminez la nécessité de mettre à jour les configurations de pare-feu et de réseau à l’aide de la balise de service ActionGroup . Vous pouvez également interroger la liste actuelle des adresses IP utilisées par des groupes d’actions avec la commande PowerShellGet-AzNetworkServiceTag ou les autres méthodes locales des balises de service .
Voici un exemple de règle de sécurité entrante avec une balise de service ActionGroup :
Application Insights Profiler
| Objectif | Nom d’hôte | Ports maritimes |
|---|---|---|
| Agent | agent.azureserviceprofiler.net*.agent.azureserviceprofiler.netprofiler.monitor.azure.com |
443 |
| Portail | gateway.azureserviceprofiler.netdataplane.diagnosticservices.azure.com |
443 |
| Stockage | *.core.windows.net |
443 |
Débogueur de capture instantanée
Remarque
Application Insights Profiler pour .NET et débogueur d’instantané partagent le même ensemble d’adresses IP.
| Objectif | Nom d’hôte | Ports maritimes |
|---|---|---|
| Agent | agent.azureserviceprofiler.net*.agent.azureserviceprofiler.netsnapshot.monitor.azure.com |
443 |
| Portail | gateway.azureserviceprofiler.netdataplane.diagnosticservices.azure.com |
443 |
| Stockage | *.core.windows.net |
443 |
Questions fréquentes
Cette section fournit des réponses aux questions courantes.
Puis-je surveiller un serveur web intranet ?
Oui, mais vous devez autoriser le trafic vers nos services par des exceptions de pare-feu ou des redirections proxy.
Consultez Adresses IP utilisées par Azure Monitor pour passer en revue notre liste complète des services et des adresses IP.
Comment rediriger le trafic de mon serveur vers une passerelle de mon intranet ?
Acheminez le trafic entre votre serveur et une passerelle sur votre intranet en remplaçant les points de terminaison dans votre configuration. Si les Endpoint propriétés ne sont pas présentes dans votre configuration, ces classes utilisent les valeurs par défaut documentées dans les adresses IP utilisées par Azure Monitor.
Votre passerelle doit acheminer le trafic vers l’adresse de base de notre point de terminaison. Dans votre configuration, remplacez les valeurs par défaut par http://<your.gateway.address>/<relative path>.