Domande frequenti su Network Watcher

Network Watcher offre una suite di strumenti per monitorare, diagnosticare, visualizzare le metriche e abilitare o disabilitare i log per le risorse IaaS (Infrastructure-as-a-Service), che includono macchine virtuali, reti virtuali, gateway applicazione, servizi di bilanciamento del carico e altre risorse in una rete virtuale di Azure. Non è una soluzione per il monitoraggio dell'infrastruttura PaaS (Platform-as-a-Service) o per ottenere analisi Web/per dispositivi mobili.

Network Watcher offre tre set principali di funzionalità:

• Monitoraggio
  • La visualizzazione topologia mostra le risorse nella rete virtuale e le relazioni tra di esse.
  • Connessione monitoraggio consente di monitorare la connettività e la latenza tra gli endpoint all'interno e all'esterno di Azure.
• Strumenti di diagnostica di rete
  • Verifica flusso IP consente di rilevare i problemi di filtro del traffico a livello di macchina virtuale.
  • La Diagnostica del gruppo di sicurezza di rete consente di rilevare i problemi di filtro del traffico a livello di macchina virtuale, set di scalabilità di macchine virtuali o gateway applicazione.
  • L'hop successivo consente di verificare le route del traffico e rilevare i problemi di routing.
  • Connessione risoluzione dei problemi consente di verificare la connettività e la latenza una tantum tra una macchina virtuale e un host Bastion, un gateway applicazione o un'altra macchina virtuale.
  • Acquisizione pacchetti consente di acquisire il traffico della macchina virtuale.
  • La risoluzione dei problemi VPN esegue più controlli di diagnostica nei gateway VPN e nelle connessioni per facilitare il debug dei problemi.
• Gestione
  • I log dei flussi dei gruppi di sicurezza di rete e i log dei flussi di rete virtuale consentono di registrare il traffico di rete passando rispettivamente attraverso i gruppi di sicurezza di rete e le reti virtuali.
  • Analisi del traffico elabora i dati di log del flusso del gruppo di sicurezza di rete, consentendo di visualizzare, eseguire query, analizzare e comprendere il traffico di rete.

Per informazioni più dettagliate, vedere Panoramica di Network Watcher.

Per informazioni dettagliate sui diversi componenti di Network Watcher, vedere Prezzi di Network Watcher .

Per informazioni sulle aree che supportano Network Watcher, vedere Aree di Network Watcher .

Per un elenco dettagliato delle autorizzazioni necessarie per ognuna delle funzionalità di Network Watcher, vedere Autorizzazioni di Controllo degli accessi in base al ruolo di Azure necessarie per usare Network Watcher .

Il servizio Network Watcher viene abilitato automaticamente per ogni sottoscrizione. È necessario abilitare manualmente Network Watcher se si è scelto di rifiutare esplicitamente l'abilitazione automatica di Network Watcher. Per altre informazioni, vedere Abilitare o disabilitare Azure Network Watcher.

La risorsa padre network Watcher viene distribuita con un'istanza univoca in ogni area. Formato di denominazione predefinito: NetworkWatcher_RegionName. Esempio: NetworkWatcher_centralus è la risorsa Network Watcher per l'area "Stati Uniti centrali". È possibile personalizzare il nome dell'istanza di Network Watcher usando PowerShell o l'API REST.

Network Watcher deve essere abilitato una sola volta per ogni area per ogni sottoscrizione per il funzionamento delle funzionalità. Network Watcher è abilitato in un'area creando un'istanza di Network Watcher in tale area.

La risorsa Network Watcher rappresenta il servizio back-end per Network Watcher, completamente gestito da Azure. Tuttavia, è possibile creare o eliminare la risorsa Network Watcher per abilitarla o disabilitarla in una determinata area. Per altre informazioni, vedere Abilitare o disabilitare Azure Network Watcher.

No, lo spostamento di una risorsa network Watcher o di una delle risorse figlio tra aree non è supportato. Per altre informazioni, vedere Supporto delle operazioni di spostamento per le risorse di rete.

Sì, lo spostamento della risorsa Network Watcher tra gruppi di risorse è supportato. Per altre informazioni, vedere Supporto delle operazioni di spostamento per le risorse di rete.

NetworkWatcherRG è un gruppo di risorse creato automaticamente per le risorse di Network Watcher. Ad esempio, le istanze regionali di Network Watcher e le risorse del log del flusso del gruppo di sicurezza di rete vengono create nel gruppo di risorse NetworkWatcherRG . È possibile personalizzare il nome del gruppo di risorse network Watcher usando PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.

Azure Network Watcher non archivia i dati dei clienti, ad eccezione del monitoraggio Connessione ion. Connessione ion monitor archivia i dati dei clienti, che vengono archiviati automaticamente da Network Watcher in una singola area per soddisfare i requisiti di residenza dei dati nell'area.

Network Watcher presenta i limiti seguenti:

Sì, il servizio Network Watcher è resiliente alla zona per impostazione predefinita.

Non è necessaria alcuna configurazione per abilitare la resilienza della zona. La resilienza della zona per le risorse di Network Watcher è disponibile per impostazione predefinita e gestita dal servizio stesso.

L'agente Network Watcher è necessario per qualsiasi funzionalità di Network Watcher che genera o intercetta il traffico da una macchina virtuale.

Le funzionalità di acquisizione pacchetti, risoluzione dei problemi di Connessione ion e Connessione ion richiedono che l'estensione Network Watcher sia presente.

La versione più recente dell'estensione Network Watcher è 1.4.3206.1. Per altre informazioni, vedere Aggiornare l'estensione Azure Network Watcher alla versione più recente.

• Linux: l'agente Network Watcher usa le porte disponibili a partire da port 50000 finché non raggiunge port 65535.
• Windows: l'agente Network Watcher usa le porte con cui il sistema operativo risponde quando viene eseguita una query per le porte disponibili.

L'agente Network Watcher richiede la connettività TCP in uscita a 169.254.169.254 over port 80 e 168.63.129.16 su port 8037. L'agente usa questi indirizzi IP per comunicare con la piattaforma Azure.

No, il monitoraggio della connessione non supporta le macchine virtuali classiche. Per altre informazioni, vedere Eseguire la migrazione di risorse IaaS dal modello classico ad Azure Resource Manager.

La topologia può essere decorata da non Azure ad Azure solo se la risorsa di Azure di destinazione e la risorsa di monitoraggio connessione si trovano nella stessa area.

La stessa macchina virtuale di Azure non può essere usata con configurazioni diverse nello stesso monitoraggio della connessione. Ad esempio, l'uso della stessa macchina virtuale con un filtro e senza un filtro nello stesso monitoraggio della connessione non è supportato.

I problemi visualizzati nel dashboard di Monitoraggio connessione vengono rilevati durante l'individuazione della topologia o l'esplorazione dell'hop. Possono verificarsi casi in cui viene raggiunta la soglia impostata per la perdita di % o RTT, ma non vengono rilevati problemi sugli hop.

Non è disponibile alcuna opzione di selezione del protocollo nel monitoraggio connessione (versione classica). I test nel monitoraggio connessione (versione classica) usano solo il protocollo TCP ed è per questo che, durante la migrazione, viene creata una configurazione TCP nei test nel nuovo monitoraggio connessione.

Esiste attualmente un limite a livello di area quando un endpoint usa Monitoraggio di Azure e gli agenti Arc con l'area di lavoro Log Analytics associata. Di conseguenza, a questa limitazione, l'area di lavoro Log Analytics associata deve trovarsi nella stessa area dell'endpoint Arc. I dati inseriti in singole aree di lavoro possono essere uniti per una singola visualizzazione, vedere Eseguire query sui dati tra aree di lavoro, applicazioni e risorse di Log Analytics in Monitoraggio di Azure.

I log dei flussi consentono di registrare informazioni sul flusso a 5 tuple sul traffico IP di Azure che passa attraverso un gruppo di sicurezza di rete o una rete virtuale di Azure. I log dei flussi non elaborati vengono scritti in un account di archiviazione di Azure. Da qui è possibile elaborare, analizzare, eseguire query o esportarle in base alle esigenze.

I dati dei log dei flussi vengono raccolti all'esterno del percorso del traffico di rete, quindi non influiscono sulla velocità effettiva o sulla latenza di rete. È possibile creare o eliminare log di flusso senza alcun rischio di impatto sulle prestazioni di rete.

Il flusso del gruppo di sicurezza di rete registra il traffico che scorre attraverso un gruppo di sicurezza di rete. D'altra parte, la diagnostica del gruppo di sicurezza di rete restituisce tutti i gruppi di sicurezza di rete attraversati dal traffico e le regole di ogni gruppo di sicurezza di rete applicato a questo traffico. Usare la diagnostica del gruppo di sicurezza di rete per verificare che le regole del gruppo di sicurezza di rete vengano applicate come previsto.

No, i log dei flussi dei gruppi di sicurezza di rete non supportano i protocolli ESP e AH.

No, i log dei flussi del gruppo di sicurezza di rete e i log dei flussi di rete virtuale non supportano il protocollo ICMP.

Sì. Anche la risorsa del log del flusso associata verrà eliminata. I dati del log del flusso vengono conservati nell'account di archiviazione per il periodo di conservazione configurato nel log del flusso.

Sì, ma è necessario eliminare la risorsa del log del flusso associata. Dopo aver eseguito la migrazione del gruppo di sicurezza di rete, è possibile ricreare i log dei flussi per abilitare la registrazione dei flussi.

Sì, è possibile usare un account di archiviazione da una sottoscrizione diversa, purché questa sottoscrizione si trovi nella stessa area del gruppo di sicurezza di rete e associata allo stesso tenant di Microsoft Entra del gruppo di sicurezza di rete o della sottoscrizione della rete virtuale.

Per usare un account di archiviazione protetto da un firewall, è necessario fornire un'eccezione per i servizi Microsoft attendibili per accedere all'account di archiviazione:

1. Passare all'account di archiviazione immettendo il nome dell'account di archiviazione nella casella di ricerca nella parte superiore del portale.
2. In Sicurezza e rete selezionare Rete, quindi firewall e reti virtuali.
3. In Accesso alla rete pubblica selezionare Abilitato nelle reti virtuali e negli indirizzi IP selezionati. In Eccezioni selezionare quindi la casella accanto a Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione.
4. Abilitare i log dei flussi del gruppo di sicurezza di rete creando un log di flusso per il gruppo di sicurezza di rete di destinazione usando l'account di archiviazione. Per altre informazioni, vedere Creare un log di flusso.

È possibile controllare i log di archiviazione dopo alcuni minuti. Verrà visualizzato un timestamp aggiornato o un nuovo file JSON creato.

Network Watcher dispone di un meccanismo di fallback predefinito usato per la connessione a un account di archiviazione dietro un firewall (firewall abilitato). Prova a connettersi all'account di archiviazione usando una chiave e, in caso di errore, passa a un token. In questo caso, viene registrato un errore 403 nel log attività dell'account di archiviazione.

Sì, Network Watcher supporta l'invio di dati dei log dei flussi del gruppo di sicurezza di rete a un account di archiviazione abilitato con un endpoint privato.

I log dei flussi dei gruppi di sicurezza di rete sono compatibili con gli endpoint di servizio senza richiedere alcuna configurazione aggiuntiva. Per altre informazioni, vedere Abilitare un endpoint di servizio.

I log di flusso versione 2 introduce il concetto di stato del flusso e archivia informazioni sui byte e sui pacchetti trasmessi. Per altre informazioni, vedere Formato del log del flusso del gruppo di sicurezza di rete.

No, un blocco di sola lettura in un gruppo di sicurezza di rete impedisce la creazione del log del flusso del gruppo di sicurezza di rete corrispondente.

Sì, un blocco di eliminazione non può essere eliminato nel gruppo di sicurezza di rete non impedisce la creazione o la modifica del log del flusso del gruppo di sicurezza di rete corrispondente.

Sì, è possibile automatizzare i log dei flussi dei gruppi di sicurezza di rete tramite i modelli di Azure Resource Manager (modelli arm). Per altre informazioni, vedere Configurare i log dei flussi dei gruppi di sicurezza di rete usando un modello di Azure Resource Manager (ARM).