Network Watcher – gyakori kérdések (GYIK)

A Network Watcher eszközkészletet biztosít az IaaS (Szolgáltatásként infrastruktúra) erőforrások naplóinak monitorozásához, diagnosztizálásához, megtekintéséhez, megtekintéséhez és naplóinak engedélyezéséhez vagy letiltásához, amely magában foglalja a virtuális gépeket, a virtuális hálózatokat, az alkalmazásátjárókat, a terheléselosztókat és az Azure-beli virtuális hálózatok egyéb erőforrásait. Ez nem megoldás a PaaS (szolgáltatásként nyújtott platform) infrastruktúra monitorozására vagy webes/mobil elemzések lekérésére.

A Network Watcher három fő funkciókészletet biztosít:

• Ellenőrző
  • A topológia nézet a virtuális hálózat erőforrásait és a köztük lévő kapcsolatokat jeleníti meg.
  • A kapcsolatfigyelő lehetővé teszi az Azure-on belüli és kívüli végpontok közötti kapcsolat és késés monitorozását.
• Hálózati diagnosztikai eszközök
  • Az IP-forgalom ellenőrzése lehetővé teszi a forgalomszűrési problémák észlelését virtuális gépek szintjén.
  • Az NSG-diagnosztika lehetővé teszi a forgalomszűrési problémák észlelését virtuális gépek, virtuálisgép-méretezési csoportok vagy alkalmazásátjárók szintjén.
  • A következő ugrás segít ellenőrizni a forgalmi útvonalakat, és észlelni az útválasztási problémákat.
  • A kapcsolat hibaelhárítása lehetővé teszi a virtuális gép és a Bastion-gazdagép, az Application Gateway vagy egy másik virtuális gép közötti egyszeri kapcsolatot és késés-ellenőrzést.
  • A csomagrögzítés lehetővé teszi a virtuális gépek forgalmának rögzítését.
  • A VPN-hibaelhárítás több diagnosztikai ellenőrzést futtat a VPN-átjárókon és a kapcsolatokon a hibák hibakereséséhez.
• Forgalom
  • A hálózati biztonsági csoportok folyamatnaplói és a virtuális hálózati folyamatnaplók lehetővé teszik a hálózati biztonsági csoportokon (NSG-k) és virtuális hálózatokon áthaladó hálózati forgalom naplózását.
  • A Traffic Analytics feldolgozza a hálózati biztonsági csoport folyamatnaplójának adatait, így megjelenítheti, lekérdezheti, elemezheti és megértheti a hálózati forgalmat.

További információkért tekintse meg a Network Watcher áttekintését.

A Különböző Network Watcher-összetevők díjszabását lásd a Network Watcher díjszabásában .

A Network Watchert támogató régiókról további információt a Network Watcher régióiban talál.

Tekintse meg a Network Watcher használatához szükséges Azure RBAC-engedélyeket a Network Watcher egyes képességeihez szükséges engedélyek részletes listájához.

A Network Watcher szolgáltatás minden előfizetéshez automatikusan engedélyezve van. Ha a Network Watcher automatikus engedélyezését választotta, manuálisan kell engedélyeznie a Network Watchert. További információ: Az Azure Network Watcher engedélyezése vagy letiltása.

A Network Watcher szülőerőforrása minden régióban egyedi példánnyal van üzembe helyezve. Alapértelmezett elnevezési formátum: NetworkWatcher_RegionName. Példa: NetworkWatcher_centralus az USA középső régiójának Network Watcher-erőforrása. A Network Watcher-példány nevét a PowerShell vagy a REST API használatával szabhatja testre.

A Network Watchert csak régiónként egyszer kell engedélyezni előfizetésenként, hogy működjenek a funkciói. A Network Watcher engedélyezve van egy régióban, ha létrehoz egy Network Watcher-példányt az adott régióban.

A Network Watcher-erőforrás a Network Watcher háttérszolgáltatását jelöli, amelyet az Azure teljes mértékben felügyel. Létrehozhatja vagy törölheti azonban a Network Watcher-erőforrást egy adott régióban való engedélyezéséhez vagy letiltásához. További információ: Az Azure Network Watcher engedélyezése vagy letiltása.

Nem, a Network Watcher-erőforrás vagy a gyermekerőforrások régiók közötti áthelyezése nem támogatott. További információ: Áthelyezési művelet támogatása a hálózati erőforrásokhoz.

Igen, a Network Watcher-erőforrás erőforráscsoportok közötti áthelyezése támogatott. További információ: Áthelyezési művelet támogatása a hálózati erőforrásokhoz.

A NetworkWatcherRG egy erőforráscsoport, amely automatikusan létrejön a Network Watcher-erőforrásokhoz. A Network Watcher regionális példányai és a hálózati biztonsági csoport folyamatnapló-erőforrásai például a NetworkWatcherRG erőforráscsoportban jönnek létre. A Network Watcher-erőforráscsoport nevét testre szabhatja a PowerShell, az Azure CLI vagy a REST API használatával.

Az Azure Network Watcher nem tárolja az ügyféladatokat, kivéve a Kapcsolatfigyelőt. A Kapcsolatfigyelő tárolja az ügyféladatokat, amelyeket a Network Watcher automatikusan egyetlen régióban tárol a régión belüli adattárolási követelmények kielégítése érdekében.

A Network Watcher a következő korlátozásokkal rendelkezik:

Igen, a Network Watcher szolgáltatás alapértelmezés szerint zónaálló.

A zónarugalmasság engedélyezéséhez nincs szükség konfigurációra. A Network Watcher-erőforrások zóna-rugalmassága alapértelmezés szerint elérhető, és maga a szolgáltatás felügyeli.

A Network Watcher-ügynök minden olyan Network Watcher-funkcióhoz szükséges, amely forgalmat generál vagy elfog egy virtuális gépről.

A csomagrögzítés, a kapcsolat hibaelhárítása és a Kapcsolatfigyelő funkciói megkövetelik, hogy a Network Watcher bővítmény jelen legyen.

A Network Watcher bővítmény legújabb verziója.1.4.3422.1 További információ: Az Azure Network Watcher bővítmény frissítése a legújabb verzióra.

• Linux: a Network Watcher-ügynök az elérhető portokat használja, egészen port 50000 addig, amíg el nem éri port 65535.
• Windows: A Network Watcher-ügynök azokat a portokat használja, amelyekre az operációs rendszer válaszol, amikor lekérdezi az elérhető portokat.

A Network Watcher-ügynöknek újra és 168.63.129.16 újra port 80 port 8037kell csatlakoznia a kimenő TCP-kapcsolathoz169.254.169.254. Az ügynök ezeket az IP-címeket használja az Azure-platformmal való kommunikációhoz.

Nem, a kapcsolatfigyelő nem támogatja a klasszikus virtuális gépeket. További információ: IaaS-erőforrások migrálása klasszikusról Azure Resource Managerre.

A topológia csak akkor dekorálható nem Azure-ból Azure-ba, ha a cél Azure-erőforrás és a kapcsolatfigyelő erőforrás ugyanabban a régióban található.

Ugyanaz az Azure-beli virtuális gép nem használható különböző konfigurációkkal ugyanabban a kapcsolatfigyelőben. Ha például ugyanazt a virtuális gépet szűrővel használja, és nem rendelkezik szűrővel ugyanabban a kapcsolatfigyelőben, nem támogatott.

A kapcsolatfigyelő irányítópultján megjelenő problémák a topológia felderítése vagy ugrásfeltárás során jelennek meg. Lehetnek olyan esetek, amikor eléri a %loss vagy AZ RTT küszöbértékét, de az ugrások során nem található probléma.

A kapcsolatfigyelőben (klasszikus) nincs protokollválasztási lehetőség. A kapcsolatfigyelő (klasszikus) tesztjei csak a TCP protokollt használják, ezért a migrálás során tcp-konfigurációt hozunk létre az új kapcsolatfigyelő tesztjeiben.

Jelenleg regionális határ van, amikor egy végpont Azure Monitor- és Arc-ügynököket használ a társított Log Analytics-munkaterülettel. Ennek a korlátozásnak köszönhetően a társított Log Analytics-munkaterületnek ugyanabban a régióban kell lennie, mint az Arc-végpont. Az egyes munkaterületekbe betöltött adatok egyetlen nézethez egyesíthetők, lásd : Adatok lekérdezése Log Analytics-munkaterületeken, -alkalmazásokon és -erőforrásokon az Azure Monitorban.

A folyamatnaplók lehetővé teszik, hogy 5 rekordos folyamatadatokat naplózhasson az Azure IP-forgalmáról, amelyek egy hálózati biztonsági csoporton vagy Azure-beli virtuális hálózaton haladnak át. A nyers folyamatnaplók egy Azure Storage-fiókba vannak írva. Innen szükség szerint tovább feldolgozhatja, elemezheti, lekérdezheti vagy exportálhatja őket.

A folyamatnapló adatait a rendszer a hálózati forgalom útvonalán kívül gyűjti, így az nem befolyásolja a hálózati átviteli sebességet vagy a késést. Folyamatnaplókat anélkül hozhat létre vagy törölhet, hogy az hatással lenne a hálózati teljesítményre.

A hálózati biztonsági csoport folyamata naplózza a hálózati biztonsági csoporton áthaladó naplóforgalmat. Az NSG-diagnosztika viszont az összes olyan hálózati biztonsági csoportot visszaadja, amelyen a forgalom áthalad, és az összes olyan hálózati biztonsági csoport szabályait, amelyek erre a forgalomra vonatkoznak. Az NSG-diagnosztika segítségével ellenőrizze, hogy a hálózati biztonsági csoport szabályai a várt módon vannak-e alkalmazva.

Nem, a hálózati biztonsági csoport folyamatnaplói nem támogatják az ESP és az AH protokollokat.

Nem, a hálózati biztonsági csoport folyamatnaplói és a virtuális hálózati folyamatnaplók nem támogatják az ICMP protokollt.

Igen. A társított folyamatnapló-erőforrás is törlődik. A folyamatnapló adatai a tárfiókban maradnak a folyamatnaplóban konfigurált megőrzési időre.

Igen, de törölnie kell a társított folyamatnapló-erőforrást. A hálózati biztonsági csoport áttelepítése után újra létrehozhatja a folyamatnaplókat a folyamatnaplózás engedélyezéséhez.

Igen, használhat egy másik előfizetésből származó tárfiókot, ha ez az előfizetés a hálózati biztonsági csoport ugyanazon régiójában található, és a hálózati biztonsági csoport vagy a virtuális hálózat előfizetésének ugyanazon Microsoft Entra-bérlőjével van társítva.

Tűzfal mögötti tárfiók használatához kivételt kell biztosítania a Megbízható Microsoft Services számára a tárfiók eléréséhez:

1. Lépjen a tárfiókra a tárfiók nevének megadásával a portál tetején található keresőmezőbe.
2. A Biztonság + hálózatkezelés területen válassza a Hálózatkezelés, majd a Tűzfalak és virtuális hálózatok lehetőséget.
3. A nyilvános hálózati hozzáférésben válassza az Engedélyezve lehetőséget a kiválasztott virtuális hálózatok és IP-címek közül. Ezután a Kivételek csoportban jelölje be a megbízható szolgáltatások listájában az Azure-szolgáltatások hozzáférésének engedélyezése a tárfiókhoz jelölőnégyzetet.
4. A hálózati biztonsági csoportok folyamatnaplóinak engedélyezéséhez hozzon létre egy folyamatnaplót a célhálózati biztonsági csoport számára a tárfiók használatával. További információ: Folyamatnapló létrehozása.

Néhány perc elteltével ellenőrizheti a tárolási naplókat. Meg kell jelennie egy frissített TimeStamp-fájlnak vagy egy új JSON-fájlnak.

A Network Watcher beépített tartalék mechanizmussal rendelkezik, amelyet tűzfal mögötti tárfiókhoz való csatlakozáskor használ (tűzfal engedélyezve). Egy kulccsal próbál csatlakozni a tárfiókhoz, és ha ez nem sikerül, jogkivonatra vált. Ebben az esetben a rendszer 403-at naplóz a tárfiók tevékenységnaplójában.

Igen, a Network Watcher támogatja a hálózati biztonsági csoport folyamatnaplóinak az adatok privát végponttal engedélyezett tárfiókba való küldését.

A hálózati biztonsági csoport folyamatnaplói további konfiguráció nélkül kompatibilisek a szolgáltatásvégpontokkal. További információ: Szolgáltatásvégpont engedélyezése.

A folyamatnaplók 2- es verziója bemutatja a folyamatállapot fogalmát, és tárolja a továbbított bájtokról és csomagokról szóló információkat. További információ: Hálózati biztonsági csoport folyamatnaplójának formátuma.

Nem, egy hálózati biztonsági csoport írásvédett zárolása megakadályozza a megfelelő hálózati biztonsági csoport folyamatnaplójának létrehozását.

Igen, a hálózati biztonsági csoport nem törölhető zárolása nem akadályozza meg a megfelelő hálózati biztonsági csoport folyamatnaplójának létrehozását vagy módosítását.

Igen, a hálózati biztonsági csoportok folyamatnaplóit azure Resource Manager-sablonokon (ARM-sablonokon) keresztül automatizálhatja. További információ: NSG-folyamatnaplók konfigurálása Azure Resource Manager-sablonnal (ARM).