Domande frequenti su Network Watcher

Network Watcher offre una suite di strumenti per monitorare, diagnosticare, visualizzare le metriche e abilitare o disabilitare i log per le risorse IaaS (Infrastructure-as-a-Service), che includono macchine virtuali, reti virtuali, gateway applicazione, servizi di bilanciamento del carico e altre risorse in una rete virtuale di Azure. Non è una soluzione per il monitoraggio dell'infrastruttura PaaS (Platform-as-a-Service) o per ottenere analisi Web/per dispositivi mobili.

Network Watcher offre tre set principali di funzionalità:

• Monitoraggio
  • La vista Topologia mostra le risorse nella rete virtuale e le relazioni tra loro.
  • Monitoraggio connessione consente di monitorare la connettività e la latenza tra gli endpoint all'interno e all'esterno di Azure.
• Strumenti di diagnostica di rete
  • Verifica flusso IP consente di rilevare i problemi di filtro del traffico a livello di macchina virtuale.
  • La Diagnostica del gruppo di sicurezza di rete consente di rilevare i problemi di filtro del traffico a livello di macchina virtuale, set di scalabilità di macchine virtuali o gateway applicazione.
  • L'hop successivo consente di verificare le route del traffico e rilevare i problemi di routing.
  • La risoluzione dei problemi di connessione consente di eseguire una tantum un controllo di connettività e latenza tra una macchina virtuale e un host Bastion, un gateway applicazione o un'altra macchina virtuale.
  • L'acquisizione pacchetti consente di acquisire il traffico della macchina virtuale.
  • La risoluzione dei problemi della VPN esegue più controlli di diagnostica nei gateway VPN e nelle connessioni per semplificare il debug dei problemi.
• Gestione
  • I log dei flussi dei gruppi di sicurezza di rete e i log dei flussi di rete virtuale consentono di registrare il traffico di rete passando rispettivamente attraverso i gruppi di sicurezza di rete e le reti virtuali.
  • L'analisi del traffico elabora i dati dei log dei flussi del gruppo di sicurezza di rete, consentendo di visualizzare, eseguire query, analizzare e comprendere il traffico di rete.

Per informazioni più dettagliate, vedere Panoramica di Network Watcher.

Per informazioni dettagliate sui prezzi dei diversi componenti di Network Watcher, vedere Prezzi di Network Watcher.

Per informazioni sulle aree che supportano Network Watcher, vedere Aree di Network Watcher.

Per un elenco dettagliato delle autorizzazioni necessarie per ognuna delle funzionalità di Network Watcher, vedere Autorizzazioni di Controllo degli accessi in base al ruolo di Azure necessarie per usare Network Watcher.

Il servizio Network Watcher viene abilitato automaticamente per ogni sottoscrizione. È necessario abilitare manualmente Network Watcher se si è scelto di rifiutare esplicitamente l'abilitazione automatica di Network Watcher. Per altre informazioni, vedere Abilitare o disabilitare Azure Network Watcher.

La risorsa padre di Network Watcher viene distribuita con un'istanza univoca in ogni area. Formato di denominazione predefinito: NetworkWatcher_RegionName. Esempio: NetworkWatcher_centralus è la risorsa Network Watcher per l'area "Stati Uniti centrali". È possibile personalizzare il nome dell'istanza di Network Watcher usando PowerShell o l'API REST.

Per garantire il corretto funzionamento delle funzionalità, Network Watcher deve essere abilitato una sola volta per ogni area per ogni sottoscrizione. Network Watcher viene abilitato in un'area mediante la creazione di un'istanza di Network Watcher in tale area.

La risorsa Network Watcher rappresenta il servizio back-end per Network Watcher, completamente gestito da Azure. Tuttavia, è possibile creare o eliminare la risorsa Network Watcher per abilitarla o disabilitarla in una determinata area. Per altre informazioni, vedere Abilitare o disabilitare Azure Network Watcher.

No, lo spostamento di una risorsa Network Watcher o di una delle risorse figlio tra aree non è supportato. Per altre informazioni, vedere Supporto delle operazioni di spostamento per le risorse di rete.

Sì, lo spostamento della risorsa Network Watcher tra gruppi di risorse è supportato. Per altre informazioni, vedere Supporto delle operazioni di spostamento per le risorse di rete.

NetworkWatcherRG è un gruppo di risorse creato automaticamente per le risorse Network Watcher. Ad esempio, le istanze regionali di Network Watcher e le risorse del log dei flussi del gruppo di sicurezza di rete vengono create nel gruppo di risorse NetworkWatcherRG. È possibile personalizzare il nome del gruppo di risorse Network Watcher usando PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.

Azure Network Watcher non archivia i dati dei clienti, ad eccezione di Monitoraggio connessione. Monitoraggio connessione archivia i dati dei clienti, che vengono archiviati automaticamente da Network Watcher in una singola area per soddisfare i requisiti di residenza dei dati nell'area.

Network Watcher presenta i limiti seguenti:

Sì, il servizio Network Watcher è resiliente a livello di zona per impostazione predefinita.

Non è necessaria alcuna configurazione del cliente per abilitare la resilienza a livello di zona. La resilienza della zona per le risorse Network Watcher è disponibile per impostazione predefinita e viene gestita dal servizio stesso.

L'agente Network Watcher è necessario per qualsiasi funzionalità di Network Watcher che genera o intercetta il traffico da una macchina virtuale.

Le funzionalità Acquisizione pacchetti, Risoluzione dei problemi di connessione e Monitoraggio connessione richiedono la presenza dell'estensione Network Watcher.

L'ultima versione dell'estensione Network Watcher è 1.4.3320.1. Per altre informazioni, vedere Aggiornare l'estensione Azure Network Watcher all'ultima versione.

• Linux: l'agente Network Watcher usa le porte disponibili a partire da port 50000 finché non raggiunge port 65535.
• Windows: l'agente Network Watcher usa le porte con cui il sistema operativo risponde quando viene eseguita una query per le porte disponibili.

L'agente Network Watcher richiede la connettività TCP in uscita a 169.254.169.254 su port 80 e 168.63.129.16 su port 8037. L'agente usa questi indirizzi IP per comunicare con la piattaforma Azure.

No, Monitoraggio connessione non supporta le macchine virtuali classiche. Per altre informazioni, vedere Eseguire la migrazione di risorse IaaS dal modello classico al modello di Azure Resource Manager.

La topologia può essere decorata da non Azure ad Azure solo se la risorsa di Azure di destinazione e la risorsa di Monitoraggio connessione si trovano nella stessa area.

La stessa macchina virtuale di Azure non può essere usata con configurazioni diverse nella stessa istanza di Monitoraggio connessione. Ad esempio, l'uso della stessa macchina virtuale con un filtro e senza un filtro nella stessa istanza di Monitoraggio connessione non è supportato.

I problemi visualizzati nel dashboard di Monitoraggio connessione vengono acquisiti durante l'individuazione della topologia o l'esplorazione dell'hop. Possono verificarsi casi in cui viene raggiunta la soglia impostata per la perdita percentuale o per il tempo di round trip, ma non vengono rilevati problemi sugli hop.

Non è disponibile alcuna opzione di selezione del protocollo in Monitoraggio connessione (versione classica). I test della funzionalità Monitoraggio connessione (versione classica) usano solo il protocollo TCP ed è per questo che, durante la migrazione, viene creata una configurazione TCP nei test nella nuova istanza di Monitoraggio connessione.

Esiste attualmente un limite a livello di area quando un endpoint usa Monitoraggio di Azure e gli agenti Arc con l'area di lavoro Log Analytics associata. Di conseguenza, a questa limitazione, l'area di lavoro Log Analytics associata deve trovarsi nella stessa area dell'endpoint Arc. I dati inseriti in singole aree di lavoro possono essere uniti per una singola vista, vedere Eseguire query sui dati tra aree di lavoro, applicazioni e risorse di Log Analytics in Monitoraggio di Azure.

I log dei flussi consentono di registrare informazioni sui flussi a 5 tuple sul traffico IP di Azure che passa attraverso un gruppo di sicurezza di rete o una rete virtuale di Azure. I log dei flussi non elaborati vengono scritti in un account di archiviazione di Azure. Da qui è possibile elaborare, analizzare, eseguire query o esportarle in base alle esigenze.

I dati dei log dei flussi vengono raccolti all'esterno del percorso del traffico di rete, quindi non influiscono sulla velocità effettiva o sulla latenza di rete. È possibile creare o eliminare i log dei flussi senza alcun impatto sulle prestazioni di rete.

I log dei flussi del gruppo di sicurezza di rete registra il traffico che passa attraverso un gruppo di sicurezza di rete. D'altra parte, la diagnostica del gruppo di sicurezza di rete restituisce tutti i gruppi di sicurezza di rete attraversati dal traffico e le regole di ogni gruppo di sicurezza di rete applicate a tale traffico. Usare la diagnostica del gruppo di sicurezza di rete per verificare che le regole del gruppo di sicurezza di rete vengano applicate come previsto.

No, i log dei flussi dei gruppi di sicurezza di rete non supportano i protocolli ESP e AH.

No, i log dei flussi del gruppo di sicurezza di rete e i log dei flussi di rete virtuale non supportano il protocollo ICMP.

Sì. Verrà eliminata anche la risorsa del log dei flussi associata. I dati del log dei flussi vengono conservati nell'account di archiviazione per il periodo di conservazione configurato nel log stesso.

Sì, ma è necessario eliminare la risorsa del log dei flussi associata. Dopo aver eseguito la migrazione del gruppo di sicurezza di rete, è possibile ricreare i log dei flussi per abilitare la registrazione dei flussi.

Sì, è possibile usare un account di archiviazione da una sottoscrizione diversa, purché questa sottoscrizione si trovi nella stessa area del gruppo di sicurezza di rete e sia associata allo stesso tenant di Microsoft Entra del gruppo di sicurezza di rete o della sottoscrizione della rete virtuale.

Per usare un account di archiviazione protetto da un firewall, è necessario fornire un'eccezione per i servizi Microsoft attendibili per accedere all'account di archiviazione:

1. Passare all'account di archiviazione immettendo il relativo nome nella casella di ricerca nella parte superiore del portale.
2. In Sicurezza e rete selezionare Rete, quindi Firewall e reti virtuali.
3. In Accesso alla rete pubblica, selezionare Abilitato da reti virtuali e indirizzi IP selezionati In Eccezioni, selezionare la casella di controllo accanto a Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione.
4. Abilitare i log dei flussi del gruppo di sicurezza di rete creando un log dei flussi per il gruppo di sicurezza di rete di destinazione usando l'account di archiviazione. Per altre informazioni, vedere Creare un log dei flussi.

È possibile controllare i log di archiviazione dopo alcuni minuti. Verrà visualizzato un timestamp aggiornato o un nuovo file JSON creato.

Network Watcher dispone di un meccanismo di fallback predefinito usato per la connessione a un account di archiviazione dietro un firewall (abilitato dal firewall). Prova a connettersi all'account di archiviazione usando una chiave e, in caso di errore, passa a un token. In questo caso, viene registrato un errore 403 nel log attività dell'account di archiviazione.

Sì, Network Watcher supporta l'invio di dati dei log dei flussi del gruppo di sicurezza di rete a un account di archiviazione abilitato con un endpoint privato.

I log dei flussi dei gruppi di sicurezza di rete sono compatibili con gli endpoint del servizio e non necessitano di configurazioni aggiuntive. Per altre informazioni, vedere Abilitare un endpoint del servizio.

I log dei flussi versione 2 introducono il concetto di stato del flusso e archivia informazioni sui byte e sui pacchetti trasmessi. Per altre informazioni, vedere Formato dei log dei flussi del gruppo di sicurezza di rete.

No, un blocco di sola lettura in un gruppo di sicurezza di rete impedisce la creazione del corrispondente log dei flussi del gruppo di sicurezza di rete.

Sì, un blocco di tipo eliminazione non consentita nel gruppo di sicurezza di rete non impedisce la creazione o la modifica del log dei flussi del gruppo di sicurezza di rete corrispondente.

Sì, è possibile automatizzare i log dei flussi dei gruppi di sicurezza di rete tramite i modelli di Azure Resource Manager (modelli ARM). Per altre informazioni, vedere Configurare i log dei flussi dei gruppi di sicurezza di rete usando un modello di Azure Resource Manager (ARM).