Domande frequenti su Network Watcher

Questo articolo fornisce risposte ad alcune delle domande frequenti poste su Azure Network Watcher.

Generali

Che cos'è Network Watcher?

Network Watcher offre una suite di strumenti per monitorare, diagnosticare, visualizzare le metriche e abilitare o disabilitare i log per le risorse IaaS (Infrastructure-as-a-Service), che includono macchine virtuali, reti virtuali, gateway applicazione, servizi di bilanciamento del carico e altre risorse in una rete virtuale di Azure. Non è una soluzione per il monitoraggio dell'infrastruttura PaaS (Platform-as-a-Service) o per ottenere analisi Web/per dispositivi mobili.

Quali strumenti offre Network Watcher?

Network Watcher offre tre set principali di funzionalità:

  • Monitoraggio
  • Strumenti di diagnostica di rete
    • Verifica flusso IP consente di rilevare i problemi di filtro del traffico a livello di macchina virtuale.
    • La Diagnostica del gruppo di sicurezza di rete consente di rilevare i problemi di filtro del traffico a livello di macchina virtuale, set di scalabilità di macchine virtuali o gateway applicazione.
    • L'hop successivo consente di verificare le route del traffico e rilevare i problemi di routing.
    • Connessione risoluzione dei problemi consente di verificare la connettività e la latenza una tantum tra una macchina virtuale e un host Bastion, un gateway applicazione o un'altra macchina virtuale.
    • Acquisizione pacchetti consente di acquisire il traffico della macchina virtuale.
    • La risoluzione dei problemi VPN esegue più controlli di diagnostica nei gateway VPN e nelle connessioni per facilitare il debug dei problemi.
  • Gestione
    • I log dei flussi del gruppo di sicurezza di rete e i log dei flussi della rete virtuale (anteprima) consentono di registrare il traffico di rete passando rispettivamente attraverso i gruppi di sicurezza di rete e le reti virtuali.
    • Analisi del traffico elabora i dati del log del flusso del gruppo di sicurezza di rete, consentendo di visualizzare, eseguire query, analizzare e comprendere il traffico di rete.

Per informazioni più dettagliate, vedere Panoramica di Network Watcher.

Come funzionano i prezzi di Network Watcher?

Per informazioni dettagliate sui diversi componenti di Network Watcher, vedere Prezzi di Network Watcher .

In quali aree è attualmente supportato Network Watcher e disponibile?

Per informazioni sulle aree che supportano Network Watcher, vedere Aree di Network Watcher .

Quali autorizzazioni sono necessarie per usare Network Watcher?

Per un elenco dettagliato delle autorizzazioni necessarie per ognuna delle funzionalità di Network Watcher, vedere Autorizzazioni di Controllo degli accessi in base al ruolo di Azure necessarie per usare Network Watcher .

Come si abilita Network Watcher?

Il servizio Network Watcher viene abilitato automaticamente per ogni sottoscrizione. È necessario abilitare manualmente Network Watcher se si è scelto di rifiutare esplicitamente l'abilitazione automatica di Network Watcher. Per altre informazioni, vedere Abilitare o disabilitare Azure Network Watcher.

Che cos'è il modello di distribuzione Network Watcher?

La risorsa padre network Watcher viene distribuita con un'istanza univoca in ogni area. Formato di denominazione predefinito: NetworkWatcher_RegionName. Esempio: NetworkWatcher_centralus è la risorsa Network Watcher per l'area "Stati Uniti centrali". È possibile personalizzare il nome dell'istanza di Network Watcher usando PowerShell o l'API REST.

Perché Azure consente una sola istanza di Network Watcher per area?

Network Watcher deve essere abilitato una sola volta per ogni area per ogni sottoscrizione per il funzionamento delle funzionalità. Network Watcher è abilitato in un'area creando un'istanza di Network Watcher in tale area.

Come è possibile gestire la risorsa Network Watcher?

La risorsa Network Watcher rappresenta il servizio back-end per Network Watcher, completamente gestito da Azure. Tuttavia, è possibile creare o eliminare la risorsa Network Watcher per abilitarla o disabilitarla in una determinata area. Per altre informazioni, vedere Abilitare o disabilitare Azure Network Watcher.

È possibile spostare l'istanza di Network Watcher da un'area a un'altra?

No, lo spostamento di una risorsa network Watcher o di una delle risorse figlio tra aree non è supportato. Per altre informazioni, vedere Supporto delle operazioni di spostamento per le risorse di rete.

È possibile spostare l'istanza di Network Watcher da un gruppo di risorse a un altro?

Sì, lo spostamento della risorsa Network Watcher tra gruppi di risorse è supportato. Per altre informazioni, vedere Supporto delle operazioni di spostamento per le risorse di rete.

Che cos'è NetworkWatcherRG?

NetworkWatcherRG è un gruppo di risorse creato automaticamente per le risorse di Network Watcher. Ad esempio, le istanze regionali di Network Watcher e le risorse del log del flusso del gruppo di sicurezza di rete vengono create nel gruppo di risorse NetworkWatcherRG . È possibile personalizzare il nome del gruppo di risorse network Watcher usando PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.

Network Watcher archivia i dati dei clienti?

Azure Network Watcher non archivia i dati dei clienti, ad eccezione del monitoraggio Connessione ion. Connessione ion monitor archivia i dati dei clienti, che vengono archiviati automaticamente da Network Watcher in una singola area per soddisfare i requisiti di residenza dei dati nell'area.

Quali sono i limiti delle risorse in Network Watcher?

Network Watcher presenta i limiti seguenti:

Conto risorse Limite
Istanze di Network Watcher per area per sottoscrizione 1 (un'istanza in un'area per abilitare l'accesso al servizio nell'area)
Connessione monitoraggi per area per sottoscrizione 100
Numero massimo di gruppi di test per ogni monitoraggio della connessione 20
Numero massimo di origini e destinazioni per ogni monitor di connessione 100
Numero massimo di configurazioni di test per ogni monitoraggio della connessione 20
Sessioni di acquisizione pacchetti per area per sottoscrizione 10.000 (numero di sessioni solo, non salvate acquisizioni)
Operazioni di risoluzione dei problemi VPN per sottoscrizione 1 (Numero di operazioni contemporaneamente)

Disponibilità e ridondanza del servizio

La zona Network Watcher è resiliente?

Sì, il servizio Network Watcher è resiliente alla zona per impostazione predefinita.

Ricerca per categorie configurare il servizio Network Watcher in modo che sia resiliente alla zona?

Non è necessaria alcuna configurazione per abilitare la resilienza della zona. La resilienza della zona per le risorse di Network Watcher è disponibile per impostazione predefinita e gestita dal servizio stesso.

Agente Network Watcher

Perché è necessario installare l'agente Network Watcher?

L'agente Network Watcher è necessario per qualsiasi funzionalità di Network Watcher che genera o intercetta il traffico da una macchina virtuale.

Quali funzionalità richiedono l'agente Network Watcher?

Le funzionalità di acquisizione pacchetti, risoluzione dei problemi di Connessione ion e Connessione ion richiedono che l'estensione Network Watcher sia presente.

Qual è la versione più recente dell'agente Network Watcher?

La versione più recente dell'estensione Network Watcher è 1.4.3206.1. Per altre informazioni, vedere Aggiornare l'estensione Azure Network Watcher alla versione più recente.

Quali porte vengono usate dall'agente Network Watcher?

  • Linux: l'agente Network Watcher usa le porte disponibili a partire da port 50000 finché non raggiunge port 65535.
  • Windows: l'agente Network Watcher usa le porte con cui il sistema operativo risponde quando viene eseguita una query per le porte disponibili.

Quali indirizzi IP comunicano con l'agente Network Watcher?

L'agente Network Watcher richiede la connettività TCP in uscita a 169.254.169.254 over port 80 e 168.63.129.16 su port 8037. L'agente usa questi indirizzi IP per comunicare con la piattaforma Azure.

Monitoraggio connessione

Il monitoraggio delle connessioni supporta le macchine virtuali classiche?

No, il monitoraggio della connessione non supporta le macchine virtuali classiche. Per altre informazioni, vedere Eseguire la migrazione di risorse IaaS dal modello classico ad Azure Resource Manager.

Cosa accade se la topologia non è decorata o se gli hop non contengono informazioni mancanti?

La topologia può essere decorata da non Azure ad Azure solo se la risorsa di Azure di destinazione e la risorsa di monitoraggio connessione si trovano nella stessa area.

Cosa accade se la creazione del monitoraggio connessione ha esito negativo con l'errore seguente: "Non è consentito creare endpoint diversi per la stessa macchina virtuale"?

La stessa macchina virtuale di Azure non può essere usata con configurazioni diverse nello stesso monitoraggio della connessione. Ad esempio, l'uso della stessa macchina virtuale con un filtro e senza un filtro nello stesso monitoraggio della connessione non è supportato.

Cosa accade se il motivo dell'errore di test è "Nothing to display"?

I problemi visualizzati nel dashboard di Monitoraggio connessione vengono rilevati durante l'individuazione della topologia o l'esplorazione dell'hop. Possono verificarsi casi in cui viene raggiunta la soglia impostata per la perdita di % o RTT, ma non vengono rilevati problemi sugli hop.

Quando si esegue la migrazione di un monitoraggio connessione esistente (versione classica) al monitoraggio della connessione più recente, cosa accade se i test degli endpoint esterni vengono migrati solo con il protocollo TCP?

Non è disponibile alcuna opzione di selezione del protocollo nel monitoraggio connessione (versione classica). I test nel monitoraggio connessione (versione classica) usano solo il protocollo TCP ed è per questo che, durante la migrazione, viene creata una configurazione TCP nei test nel nuovo monitoraggio connessione.

Esistono limitazioni all'uso di Monitoraggio di Azure e degli agenti Arc con il monitoraggio delle connessioni?

Esiste attualmente un limite a livello di area quando un endpoint usa Monitoraggio di Azure e gli agenti Arc con l'area di lavoro Log Analytics associata. Di conseguenza, a questa limitazione, l'area di lavoro Log Analytics associata deve trovarsi nella stessa area dell'endpoint Arc. I dati inseriti in singole aree di lavoro possono essere uniti per una singola visualizzazione, vedere Eseguire query sui dati tra aree di lavoro, applicazioni e risorse di Log Analytics in Monitoraggio di Azure.

Log dei flussi

Che cosa fa la registrazione del flusso?

I log dei flussi consentono di registrare informazioni sul flusso a 5 tuple sul traffico IP di Azure che passa attraverso un gruppo di sicurezza di rete o una rete virtuale di Azure. I log dei flussi non elaborati vengono scritti in un account di archiviazione di Azure. Da qui è possibile elaborare, analizzare, eseguire query o esportarle in base alle esigenze.

I log dei flussi influiscono sulla latenza o sulle prestazioni di rete?

I dati dei log dei flussi vengono raccolti all'esterno del percorso del traffico di rete, quindi non influiscono sulla velocità effettiva o sulla latenza di rete. È possibile creare o eliminare log di flusso senza alcun rischio di impatto sulle prestazioni di rete.

Qual è la differenza tra i log dei flussi del gruppo di sicurezza di rete e la diagnostica del gruppo di sicurezza di rete?

Il flusso del gruppo di sicurezza di rete registra il traffico che scorre attraverso un gruppo di sicurezza di rete. D'altra parte, la diagnostica del gruppo di sicurezza di rete restituisce tutti i gruppi di sicurezza di rete attraversati dal traffico e le regole di ogni gruppo di sicurezza di rete applicato a questo traffico. Usare la diagnostica del gruppo di sicurezza di rete per verificare che le regole del gruppo di sicurezza di rete vengano applicate come previsto.

È possibile registrare il traffico ESP e AH usando i log dei flussi del gruppo di sicurezza di rete?

No, i log dei flussi del gruppo di sicurezza di rete non supportano i protocolli ESP e AH.

È possibile registrare il traffico ICMP usando i log dei flussi?

No, i log dei flussi del gruppo di sicurezza di rete e i log dei flussi della rete virtuale non supportano il protocollo ICMP.

È possibile eliminare un gruppo di sicurezza di rete con la registrazione dei flussi abilitata?

Sì. Anche la risorsa del log del flusso associata verrà eliminata. I dati del log del flusso vengono conservati nell'account di archiviazione per il periodo di conservazione configurato nel log del flusso.

È possibile spostare un gruppo di sicurezza di rete con registrazione dei flussi abilitata per un gruppo di risorse o una sottoscrizione diversa?

Sì, ma è necessario eliminare la risorsa del log del flusso associata. Dopo aver eseguito la migrazione del gruppo di sicurezza di rete, è possibile ricreare i log dei flussi per abilitare la registrazione dei flussi.

È possibile usare un account di archiviazione in una sottoscrizione diversa rispetto al gruppo di sicurezza di rete o alla rete virtuale per cui è abilitato il log del flusso?

Sì, è possibile usare un account di archiviazione da una sottoscrizione diversa, purché questa sottoscrizione si trovi nella stessa area del gruppo di sicurezza di rete e associata allo stesso tenant di Microsoft Entra del gruppo di sicurezza di rete o della sottoscrizione della rete virtuale.

Ricerca per categorie usare i log dei flussi del gruppo di sicurezza di rete con un account di archiviazione protetto da un firewall?

Per usare un account di archiviazione protetto da un firewall, è necessario fornire un'eccezione per i servizi Microsoft attendibili per accedere all'account di archiviazione:

  1. Passare all'account di archiviazione immettendo il nome dell'account di archiviazione nella casella di ricerca nella parte superiore del portale.
  2. In Sicurezza e rete selezionare Rete, quindi firewall e reti virtuali.
  3. In Accesso alla rete pubblica selezionare Abilitato nelle reti virtuali e negli indirizzi IP selezionati. In Eccezioni selezionare quindi la casella accanto a Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione.
  4. Abilitare i log dei flussi del gruppo di sicurezza di rete creando un log di flusso per il gruppo di sicurezza di rete di destinazione usando l'account di archiviazione. Per altre informazioni, vedere Creare un log di flusso.

È possibile controllare i log di archiviazione dopo alcuni minuti. Verrà visualizzato un timestamp aggiornato o un nuovo file JSON creato.

Perché vengono visualizzati alcuni errori 403 nei log attività dell'account di archiviazione?

Network Watcher dispone di un meccanismo di fallback predefinito usato per la connessione a un account di archiviazione dietro un firewall (firewall abilitato). Prova a connettersi all'account di archiviazione usando una chiave e, in caso di errore, passa a un token. In questo caso, viene registrato un errore 403 nel log attività dell'account di archiviazione.

Network Watcher può inviare i dati dei log dei flussi del gruppo di sicurezza di rete a un account di archiviazione abilitato con endpoint privato?

Sì, Network Watcher supporta l'invio di dati dei log dei flussi del gruppo di sicurezza di rete a un account di archiviazione abilitato con un endpoint privato.

Ricerca per categorie usare i log dei flussi del gruppo di sicurezza di rete con un account di archiviazione dietro un endpoint di servizio?

I log dei flussi del gruppo di sicurezza di rete sono compatibili con gli endpoint di servizio senza richiedere alcuna configurazione aggiuntiva. Per altre informazioni, vedere Abilitare un endpoint di servizio.

Qual è la differenza tra i log di flusso 1 e 2?

I log di flusso versione 2 introduce il concetto di stato del flusso e archivia informazioni sui byte e sui pacchetti trasmessi. Per altre informazioni, vedere Formato del log del flusso del gruppo di sicurezza di rete.

È possibile creare un log di flusso per un gruppo di sicurezza di rete con un blocco di sola lettura?

No, un blocco di sola lettura in un gruppo di sicurezza di rete impedisce la creazione del log del flusso del gruppo di sicurezza di rete corrispondente.

È possibile creare un log di flusso per un gruppo di sicurezza di rete con un blocco non eliminabile?

Sì, un blocco di eliminazione non può essere eliminato nel gruppo di sicurezza di rete non impedisce la creazione o la modifica del log del flusso del gruppo di sicurezza di rete corrispondente.

È possibile automatizzare i log dei flussi dei gruppi di sicurezza di rete?

Sì, è possibile automatizzare i log dei flussi dei gruppi di sicurezza di rete tramite i modelli di Azure Resource Manager (modelli di Resource Manager). Per altre informazioni, vedere Configurare i log dei flussi dei gruppi di sicurezza di rete usando un modello di Azure Resource Manager (ARM).