Tanya jawab umum (FAQ) Network Watcher

Network Watcher menyediakan serangkaian alat untuk memantau, mendiagnosis, melihat metrik, dan mengaktifkan atau menonaktifkan log untuk sumber daya IaaS (Infrastructure-as-a-Service), yang mencakup komputer virtual, jaringan virtual, gateway aplikasi, load balancer, dan sumber daya lainnya dalam jaringan virtual Azure. Ini bukan solusi untuk memantau infrastruktur PaaS (Platform-as-a-Service) atau mendapatkan analitik web/seluler.

Network Watcher menyediakan tiga set kemampuan utama:

• Pemantauan
  • Tampilan topologi menunjukkan kepada Anda sumber daya di dalam jaringan virtual dan hubungan di antaranya.
  • monitor Koneksi ion memungkinkan Anda memantau konektivitas dan latensi antara titik akhir di dalam dan di luar Azure.
• Alat diagnostik jaringan
  • Verifikasi alur IP memungkinkan Anda mendeteksi masalah pemfilteran lalu lintas di tingkat komputer virtual.
  • Diagnostik NSG memungkinkan Anda mendeteksi masalah pemfilteran lalu lintas di komputer virtual, set skala komputer virtual, atau tingkat gateway aplikasi.
  • Lompatan berikutnya membantu Anda memverifikasi rute lalu lintas dan mendeteksi masalah perutean.
  • pemecahan masalah Koneksi ion memungkinkan pemeriksaan konektivitas dan latensi satu kali antara komputer virtual dan host Bastion, gateway aplikasi, atau komputer virtual lainnya.
  • Pengambilan paket memungkinkan Anda menangkap lalu lintas komputer virtual Anda.
  • Pemecahan masalah VPN menjalankan beberapa pemeriksaan diagnostik pada gateway dan koneksi VPN Anda untuk membantu men-debug masalah.
• Lalu lintas
  • Log alur kelompok keamanan jaringan dan log alur jaringan virtual memungkinkan Anda mencatat lalu lintas jaringan yang melewati grup keamanan jaringan (NSG) dan jaringan virtual Anda masing-masing.
  • Analitik lalu lintas memproses data log alur grup keamanan jaringan yang memungkinkan Anda memvisualisasikan , mengkueri, menganalisis, dan memahami lalu lintas jaringan Anda.

Untuk informasi selengkapnya, lihat Gambaran umum Network Watcher.

Lihat Harga Network Watcher untuk detail harga tentang komponen Network Watcher yang berbeda.

Lihat Wilayah Network Watcher untuk mempelajari wilayah yang mendukung Network Watcher.

Lihat Izin Azure RBAC yang diperlukan untuk menggunakan Network Watcher untuk daftar terperinci izin yang diperlukan untuk setiap kemampuan Network Watcher.

Layanan Network Watcher diaktifkan secara otomatis untuk setiap langganan. Anda harus mengaktifkan Network Watcher secara manual jika Anda menolak pengaktifan otomatis Network Watcher. Untuk informasi selengkapnya, lihat Mengaktifkan atau menonaktifkan Azure Network Watcher.

Sumber daya induk Network Watcher diterapkan dengan instans unik di setiap wilayah. Format penamaan default: NetworkWatcher_RegionName. Contoh: NetworkWatcher_centralus adalah sumber daya Network Watcher untuk wilayah "US Tengah". Anda dapat menyesuaikan nama instans Network Watcher menggunakan PowerShell atau REST API.

Network Watcher hanya perlu diaktifkan sekali per wilayah per langganan agar fiturnya berfungsi. Network Watcher diaktifkan di wilayah dengan membuat instans Network Watcher di wilayah tersebut.

Sumber daya Network Watcher mewakili layanan backend untuk Network Watcher, yang dikelola sepenuhnya oleh Azure. Namun, Anda dapat membuat atau menghapus sumber daya Network Watcher untuk mengaktifkan atau menonaktifkannya di wilayah tertentu. Untuk informasi selengkapnya, lihat Mengaktifkan atau menonaktifkan Azure Network Watcher.

Tidak, memindahkan sumber daya Network Watcher atau sumber daya turunannya di seluruh wilayah tidak didukung. Untuk informasi selengkapnya, lihat Memindahkan dukungan operasi untuk sumber daya jaringan.

Ya, memindahkan sumber daya Network Watcher antar grup sumber daya didukung. Untuk informasi selengkapnya, lihat Memindahkan dukungan operasi untuk sumber daya jaringan.

NetworkWatcherRG adalah grup sumber daya yang secara otomatis dibuat untuk sumber daya Network Watcher. Misalnya, instans regional Network Watcher dan sumber daya log alur grup keamanan jaringan dibuat di grup sumber daya NetworkWatcherRG . Anda dapat menyesuaikan nama grup sumber daya Network Watcher menggunakan PowerShell, Azure CLI, atau REST API.

Azure Network Watcher tidak menyimpan data pelanggan, kecuali untuk monitor Koneksi ion. Koneksi ion monitor menyimpan data pelanggan, yang secara otomatis disimpan oleh Network Watcher dalam satu wilayah untuk memenuhi persyaratan residensi data dalam wilayah.

Network Watcher memiliki batas berikut:

Ya, layanan Network Watcher tahan zona secara default.

Tidak ada konfigurasi yang diperlukan untuk mengaktifkan ketahanan zona. Ke-elastisan zona sumber daya untuk Network Watcher tersedia secara default dan dikelola oleh layanan itu sendiri.

Agen Network Watcher diperlukan untuk fitur Network Watcher apa pun yang menghasilkan atau mencegat lalu lintas dari komputer virtual.

Fitur pengambilan paket, pemecahan masalah Koneksi ion, dan monitor Koneksi ion mengharuskan ekstensi Network Watcher hadir.

Versi terbaru ekstensi Network Watcher adalah 1.4.3206.1. Untuk informasi selengkapnya, lihat Memperbarui ekstensi Azure Network Watcher ke versi terbaru.

• Linux: Agen Network Watcher menggunakan port yang tersedia mulai dari port 50000 hingga mencapai port 65535.
• Windows: Agen Network Watcher menggunakan port yang merespons sistem operasi saat dikueri untuk port yang tersedia.

Agen Network Watcher memerlukan konektivitas TCP keluar ke 169.254.169.254 berulang-ulang 168.63.129.16port 80port 8037. Agen menggunakan alamat IP ini untuk berkomunikasi dengan platform Azure.

Tidak, pemantau koneksi tidak mendukung VM klasik. Untuk informasi selengkapnya, lihat Memigrasikan sumber daya IaaS ke Azure Resource Manager.

Topologi dapat dihiasi dari non-Azure ke Azure hanya jika sumber daya Azure tujuan dan sumber daya pemantau koneksi berada di wilayah yang sama.

Azure VM yang sama tidak dapat digunakan dengan konfigurasi yang berbeda di pemantau koneksi yang sama. Misalnya, menggunakan VM yang sama dengan filter dan tanpa filter di pemantau koneksi yang sama tidak didukung.

Masalah yang ditampilkan di dasbor monitor koneksi ditemukan selama penemuan topologi atau eksplorasi hop. Mungkin ada kasus di mana ambang yang ditetapkan untuk % kerugian atau RTT tercapai tetapi tidak ada masalah yang ditemukan pada hop.

Tidak ada opsi pemilihan protokol di pemantau koneksi (klasik). Pengujian di pemantau koneksi (klasik) hanya menggunakan protokol TCP, dan itulah sebabnya, selama migrasi, kami membuat konfigurasi TCP dalam pengujian di monitor koneksi baru.

Saat ini ada batas regional saat titik akhir menggunakan agen Azure Monitor dan Arc dengan ruang kerja Analitik Log terkait. Akibat keterbatasan ini, ruang kerja Analitik Log terkait harus berada di wilayah yang sama dengan titik akhir Arc. Data yang diserap ke dalam ruang kerja individual dapat disatukan untuk satu tampilan, lihat Mengkueri data di seluruh ruang kerja, aplikasi, dan sumber daya Log Analytics di Azure Monitor.

Log alur memungkinkan Anda mencatat informasi alur 5 tuple tentang lalu lintas IP Azure Anda yang melewati grup keamanan jaringan atau jaringan virtual Azure. Log alur mentah ditulis ke akun penyimpanan Azure. Dari sana, Anda dapat memproses, menganalisis, mengkueri, atau mengekspornya lebih lanjut sesuai kebutuhan.

Data log alur dikumpulkan di luar jalur lalu lintas jaringan Anda, sehingga tidak memengaruhi throughput atau latensi jaringan. Anda dapat membuat atau menghapus log alur tanpa risiko dampak terhadap performa jaringan.

Log alur kelompok keamanan jaringan mencatat lalu lintas yang mengalir melalui kelompok keamanan jaringan. Di sisi lain, diagnostik NSG mengembalikan semua kelompok keamanan jaringan yang dilalui lalu lintas Anda dan aturan setiap kelompok keamanan jaringan yang diterapkan pada lalu lintas ini. Gunakan diagnostik NSG untuk memverifikasi bahwa aturan grup keamanan jaringan Anda diterapkan seperti yang diharapkan.

Tidak, log alur kelompok keamanan jaringan tidak mendukung protokol ESP dan AH.

Tidak, log alur kelompok keamanan jaringan dan log alur jaringan virtual tidak mendukung protokol ICMP.

Ya. Sumber daya log alur terkait juga akan dihapus. Data log alur disimpan di akun penyimpanan untuk periode retensi yang dikonfigurasi dalam log alur.

Ya, tetapi Anda harus menghapus sumber daya log alur terkait. Setelah memigrasikan grup keamanan jaringan, Anda dapat membuat ulang log alur untuk mengaktifkan pengelogan alur di dalamnya.

Ya, Anda dapat menggunakan akun penyimpanan dari langganan yang berbeda selama langganan ini berada di wilayah yang sama dari grup keamanan jaringan dan terkait dengan penyewa Microsoft Entra yang sama dari grup keamanan jaringan atau langganan jaringan virtual.

Untuk menggunakan akun penyimpanan di belakang firewall, Anda harus memberikan pengecualian untuk Layanan Microsoft Tepercaya untuk mengakses akun penyimpanan Anda:

1. Buka akun penyimpanan dengan memasukkan nama akun penyimpanan di kotak pencarian di bagian atas portal.
2. Di bawah Keamanan + jaringan, pilih Jaringan, lalu pilih Firewall dan jaringan virtual.
3. Di Akses jaringan publik, pilih Diaktifkan dari jaringan virtual dan alamat IP yang dipilih. Kemudian di bawah Pengecualian, centang kotak di samping Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses akun penyimpanan ini.
4. Aktifkan log alur kelompok keamanan jaringan dengan membuat log alur untuk grup keamanan jaringan target Anda menggunakan akun penyimpanan. Untuk informasi selengkapnya, lihat Membuat log alur.

Anda dapat memeriksa log penyimpanan setelah beberapa menit. Anda akan melihat TimeStamp yang diperbarui atau file JSON baru yang dibuat.

Network Watcher memiliki mekanisme fallback bawaan yang digunakannya saat menyambungkan ke akun penyimpanan di belakang firewall (firewall diaktifkan). Ini mencoba menyambungkan ke akun penyimpanan menggunakan kunci, dan jika gagal, ia beralih ke token. Dalam hal ini, kesalahan 403 dicatat di log aktivitas akun penyimpanan.

Ya, Network Watcher mendukung pengiriman data log alur kelompok keamanan jaringan ke akun penyimpanan yang diaktifkan dengan titik akhir privat.

Log alur grup keamanan jaringan kompatibel dengan Titik Akhir Layanan tanpa memerlukan konfigurasi tambahan. Untuk informasi selengkapnya, lihat Mengaktifkan titik akhir layanan.

Log alur versi 2 memperkenalkan konsep status alur dan menyimpan informasi tentang byte dan paket yang dikirimkan. Untuk informasi selengkapnya, lihat Format log alur kelompok keamanan jaringan.

Tidak, kunci baca-saja pada kelompok keamanan jaringan mencegah pembuatan log alur kelompok keamanan jaringan yang sesuai.

Ya, kunci yang tidak dapat dihapus pada grup keamanan jaringan tidak mencegah pembuatan atau modifikasi log alur grup keamanan jaringan yang sesuai.

Ya, Anda dapat mengotomatiskan log alur grup keamanan jaringan melalui templat Azure Resource Manager (templat ARM). Untuk informasi selengkapnya, lihat Mengonfigurasi log alur NSG menggunakan templat Azure Resource Manager (ARM).