Domande frequenti su Network Watcher

Questo articolo fornisce risposte ad alcune delle domande frequenti su Azure Network Watcher.

Generali

Che cos'è Network Watcher?

Network Watcher offre una suite di strumenti per monitorare, diagnosticare, visualizzare le metriche e abilitare o disabilitare i log per le risorse IaaS (Infrastructure-as-a-Service), che includono macchine virtuali, reti virtuali, gateway applicazione, servizi di bilanciamento del carico e altre risorse in una rete virtuale di Azure. Non è una soluzione per il monitoraggio dell'infrastruttura PaaS (Platform-as-a-Service) o per ottenere analisi Web/per dispositivi mobili.

Quali strumenti offre Network Watcher?

Network Watcher offre tre set principali di funzionalità:

Per informazioni più dettagliate, vedere Panoramica di Network Watcher.

Come funzionano i prezzi di Network Watcher?

Per informazioni dettagliate sui prezzi dei diversi componenti di Network Watcher, vedere Prezzi di Network Watcher.

In quali aree è attualmente supportato ed è disponibile Network Watcher?

Per informazioni sulle aree che supportano Network Watcher, vedere Aree di Network Watcher.

Quali autorizzazioni sono necessarie per usare Network Watcher?

Per un elenco dettagliato delle autorizzazioni necessarie per ognuna delle funzionalità di Network Watcher, vedere Autorizzazioni di Controllo degli accessi in base al ruolo di Azure necessarie per usare Network Watcher.

Come si abilita Network Watcher?

Il servizio Network Watcher viene abilitato automaticamente per ogni sottoscrizione. È necessario abilitare manualmente Network Watcher se si è scelto di rifiutare esplicitamente l'abilitazione automatica di Network Watcher. Per altre informazioni, vedere Abilitare o disabilitare Azure Network Watcher.

Che cos'è il modello di distribuzione di Network Watcher?

La risorsa padre di Network Watcher viene distribuita con un'istanza univoca in ogni area. Formato di denominazione predefinito: NetworkWatcher_RegionName. Esempio: NetworkWatcher_centralus è la risorsa Network Watcher per l'area "Stati Uniti centrali". È possibile personalizzare il nome dell'istanza di Network Watcher usando PowerShell o l'API REST.

Perché Azure consente una sola istanza di Network Watcher per area?

Per garantire il corretto funzionamento delle funzionalità, Network Watcher deve essere abilitato una sola volta per ogni area per ogni sottoscrizione. Network Watcher viene abilitato in un'area mediante la creazione di un'istanza di Network Watcher in tale area.

Come è possibile gestire la risorsa Network Watcher?

La risorsa Network Watcher rappresenta il servizio back-end per Network Watcher, completamente gestito da Azure. Tuttavia, è possibile creare o eliminare la risorsa Network Watcher per abilitarla o disabilitarla in una determinata area. Per altre informazioni, vedere Abilitare o disabilitare Azure Network Watcher.

È possibile spostare l'istanza di Network Watcher da un'area a un'altra?

No, lo spostamento di una risorsa Network Watcher o di una delle risorse figlio tra aree non è supportato. Per altre informazioni, vedere Supporto delle operazioni di spostamento per le risorse di rete.

È possibile spostare l'istanza di Network Watcher da un gruppo di risorse a un altro?

Sì, lo spostamento della risorsa Network Watcher tra gruppi di risorse è supportato. Per altre informazioni, vedere Supporto delle operazioni di spostamento per le risorse di rete.

Che cos'è NetworkWatcherRG?

NetworkWatcherRG è un gruppo di risorse creato automaticamente per le risorse Network Watcher. Ad esempio, le istanze regionali di Network Watcher e le risorse del log dei flussi del gruppo di sicurezza di rete vengono create nel gruppo di risorse NetworkWatcherRG. È possibile personalizzare il nome del gruppo di risorse Network Watcher usando PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.

Network Watcher archivia i dati dei clienti?

Azure Network Watcher non archivia i dati dei clienti, ad eccezione di Monitoraggio connessione. Monitoraggio connessione archivia i dati dei clienti, che vengono archiviati automaticamente da Network Watcher in una singola area per soddisfare i requisiti di residenza dei dati nell'area.

Quali sono i limiti delle risorse in Network Watcher?

Network Watcher presenta i limiti seguenti:

Conto risorse Limite
Istanze di Network Watcher per area per sottoscrizione 1 (un'istanza in un'area per abilitare l'accesso al servizio nell'area)
Monitoraggi delle connessioni per area per sottoscrizione 100
Numero massimo di gruppi di test per ogni monitoraggio della connessione 20
Numero massimo di origini e destinazioni per ogni monitor di connessione 100
Numero massimo di configurazioni di test per ogni monitoraggio della connessione 20
Sessioni di acquisizione pacchetti per area per sottoscrizione 10.000 (solo numero di sessioni, acquisizioni non salvate)
Operazioni di risoluzione dei problemi VPN per sottoscrizione 1 (Numero di operazioni contemporaneamente)

Disponibilità e ridondanza del servizio

Network Watcher è resiliente a livello di zona?

Sì, il servizio Network Watcher è resiliente a livello di zona per impostazione predefinita.

Come si configura il servizio Network Watcher in modo che sia resiliente a livello di zona?

Non è necessaria alcuna configurazione del cliente per abilitare la resilienza a livello di zona. La resilienza della zona per le risorse Network Watcher è disponibile per impostazione predefinita e viene gestita dal servizio stesso.

Agente Network Watcher

Perché è necessario installare l'agente Network Watcher?

L'agente Network Watcher è necessario per qualsiasi funzionalità di Network Watcher che genera o intercetta il traffico da una macchina virtuale.

Quali funzionalità richiedono l'agente Network Watcher?

Le funzionalità Acquisizione pacchetti, Risoluzione dei problemi di connessione e Monitoraggio connessione richiedono la presenza dell'estensione Network Watcher.

Qual è l'ultima versione dell'agente Network Watcher?

L'ultima versione dell'estensione Network Watcher è 1.4.3320.1. Per altre informazioni, vedere Aggiornare l'estensione Azure Network Watcher all'ultima versione.

Quali porte vengono usate dall'agente Network Watcher?

  • Linux: l'agente Network Watcher usa le porte disponibili a partire da port 50000 finché non raggiunge port 65535.
  • Windows: l'agente Network Watcher usa le porte con cui il sistema operativo risponde quando viene eseguita una query per le porte disponibili.

Quali indirizzi IP comunicano con l'agente Network Watcher?

L'agente Network Watcher richiede la connettività TCP in uscita a 169.254.169.254 su port 80 e 168.63.129.16 su port 8037. L'agente usa questi indirizzi IP per comunicare con la piattaforma Azure.

Monitoraggio connessione

Monitoraggio connessione supporta le macchine virtuali classiche?

No, Monitoraggio connessione non supporta le macchine virtuali classiche. Per altre informazioni, vedere Eseguire la migrazione di risorse IaaS dal modello classico al modello di Azure Resource Manager.

Cosa accade se la topologia non è decorata o se negli hop mancano informazioni?

La topologia può essere decorata da non Azure ad Azure solo se la risorsa di Azure di destinazione e la risorsa di Monitoraggio connessione si trovano nella stessa area.

Cosa accade se la creazione dell'istanza di Monitoraggio connessione ha esito negativo con l'errore seguente: "Non è consentito creare endpoint diversi per la stessa macchina virtuale"?

La stessa macchina virtuale di Azure non può essere usata con configurazioni diverse nella stessa istanza di Monitoraggio connessione. Ad esempio, l'uso della stessa macchina virtuale con un filtro e senza un filtro nella stessa istanza di Monitoraggio connessione non è supportato.

Cosa accade se il motivo dell'errore di test è "Nulla da visualizzare"?

I problemi visualizzati nel dashboard di Monitoraggio connessione vengono acquisiti durante l'individuazione della topologia o l'esplorazione dell'hop. Possono verificarsi casi in cui viene raggiunta la soglia impostata per la perdita percentuale o per il tempo di round trip, ma non vengono rilevati problemi sugli hop.

Quando si esegue la migrazione di un'istanza di Monitoraggio connessione esistente (versione classica) a un'istanza più recente, cosa accade se i test degli endpoint esterni vengono migrati solo con il protocollo TCP?

Non è disponibile alcuna opzione di selezione del protocollo in Monitoraggio connessione (versione classica). I test della funzionalità Monitoraggio connessione (versione classica) usano solo il protocollo TCP ed è per questo che, durante la migrazione, viene creata una configurazione TCP nei test nella nuova istanza di Monitoraggio connessione.

Esistono limitazioni all'uso di Monitoraggio di Azure e degli agenti Arc con la funzionalità Monitoraggio connessione?

Esiste attualmente un limite a livello di area quando un endpoint usa Monitoraggio di Azure e gli agenti Arc con l'area di lavoro Log Analytics associata. Di conseguenza, a questa limitazione, l'area di lavoro Log Analytics associata deve trovarsi nella stessa area dell'endpoint Arc. I dati inseriti in singole aree di lavoro possono essere uniti per una singola vista, vedere Eseguire query sui dati tra aree di lavoro, applicazioni e risorse di Log Analytics in Monitoraggio di Azure.

Log dei flussi

Che cosa fa la registrazione dei flussi?

I log dei flussi consentono di registrare informazioni sui flussi a 5 tuple sul traffico IP di Azure che passa attraverso un gruppo di sicurezza di rete o una rete virtuale di Azure. I log dei flussi non elaborati vengono scritti in un account di archiviazione di Azure. Da qui è possibile elaborare, analizzare, eseguire query o esportarle in base alle esigenze.

I log dei flussi influiscono sulla latenza o sulle prestazioni di rete?

I dati dei log dei flussi vengono raccolti all'esterno del percorso del traffico di rete, quindi non influiscono sulla velocità effettiva o sulla latenza di rete. È possibile creare o eliminare i log dei flussi senza alcun impatto sulle prestazioni di rete.

Qual è la differenza tra i log dei flussi del gruppo di sicurezza di rete e la diagnostica del gruppo di sicurezza di rete?

I log dei flussi del gruppo di sicurezza di rete registra il traffico che passa attraverso un gruppo di sicurezza di rete. D'altra parte, la diagnostica del gruppo di sicurezza di rete restituisce tutti i gruppi di sicurezza di rete attraversati dal traffico e le regole di ogni gruppo di sicurezza di rete applicate a tale traffico. Usare la diagnostica del gruppo di sicurezza di rete per verificare che le regole del gruppo di sicurezza di rete vengano applicate come previsto.

È possibile registrare il traffico ESP e AH usando i log dei flussi del gruppo di sicurezza di rete?

No, i log dei flussi dei gruppi di sicurezza di rete non supportano i protocolli ESP e AH.

È possibile registrare il traffico ICMP usando i log dei flussi?

No, i log dei flussi del gruppo di sicurezza di rete e i log dei flussi di rete virtuale non supportano il protocollo ICMP.

È possibile eliminare un gruppo di sicurezza di rete con la registrazione dei flussi abilitata?

Sì. Verrà eliminata anche la risorsa del log dei flussi associata. I dati del log dei flussi vengono conservati nell'account di archiviazione per il periodo di conservazione configurato nel log stesso.

È possibile spostare un gruppo di sicurezza di rete con registrazione dei flussi abilitata per un gruppo di risorse o una sottoscrizione diversa?

Sì, ma è necessario eliminare la risorsa del log dei flussi associata. Dopo aver eseguito la migrazione del gruppo di sicurezza di rete, è possibile ricreare i log dei flussi per abilitare la registrazione dei flussi.

È possibile usare un account di archiviazione in una sottoscrizione diversa rispetto al gruppo di sicurezza di rete o alla rete virtuale per cui è abilitato il log dei flussi?

Sì, è possibile usare un account di archiviazione da una sottoscrizione diversa, purché questa sottoscrizione si trovi nella stessa area del gruppo di sicurezza di rete e sia associata allo stesso tenant di Microsoft Entra del gruppo di sicurezza di rete o della sottoscrizione della rete virtuale.

Come si usano i log dei flussi del gruppo di sicurezza di rete con un account di archiviazione protetto da un firewall?

Per usare un account di archiviazione protetto da un firewall, è necessario fornire un'eccezione per i servizi Microsoft attendibili per accedere all'account di archiviazione:

  1. Passare all'account di archiviazione immettendo il relativo nome nella casella di ricerca nella parte superiore del portale.
  2. In Sicurezza e rete selezionare Rete, quindi Firewall e reti virtuali.
  3. In Accesso alla rete pubblica, selezionare Abilitato da reti virtuali e indirizzi IP selezionati In Eccezioni, selezionare la casella di controllo accanto a Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione.
  4. Abilitare i log dei flussi del gruppo di sicurezza di rete creando un log dei flussi per il gruppo di sicurezza di rete di destinazione usando l'account di archiviazione. Per altre informazioni, vedere Creare un log dei flussi.

È possibile controllare i log di archiviazione dopo alcuni minuti. Verrà visualizzato un timestamp aggiornato o un nuovo file JSON creato.

Perché vengono visualizzati alcuni errori 403 nei log delle attività dell'account di archiviazione?

Network Watcher dispone di un meccanismo di fallback predefinito usato per la connessione a un account di archiviazione dietro un firewall (abilitato dal firewall). Prova a connettersi all'account di archiviazione usando una chiave e, in caso di errore, passa a un token. In questo caso, viene registrato un errore 403 nel log attività dell'account di archiviazione.

Network Watcher può inviare i dati dei log dei flussi del gruppo di sicurezza di rete a un account di archiviazione abilitato con endpoint privato?

Sì, Network Watcher supporta l'invio di dati dei log dei flussi del gruppo di sicurezza di rete a un account di archiviazione abilitato con un endpoint privato.

Come si usano i log dei flussi del gruppo di sicurezza di rete con un account di archiviazione dietro un endpoint di servizio?

I log dei flussi dei gruppi di sicurezza di rete sono compatibili con gli endpoint del servizio e non necessitano di configurazioni aggiuntive. Per altre informazioni, vedere Abilitare un endpoint del servizio.

Qual è la differenza tra i log dei flussi versioni 1 e 2?

I log dei flussi versione 2 introducono il concetto di stato del flusso e archivia informazioni sui byte e sui pacchetti trasmessi. Per altre informazioni, vedere Formato dei log dei flussi del gruppo di sicurezza di rete.

È possibile creare un log dei flussi per un gruppo di sicurezza di rete con un blocco di sola lettura?

No, un blocco di sola lettura in un gruppo di sicurezza di rete impedisce la creazione del corrispondente log dei flussi del gruppo di sicurezza di rete.

È possibile creare un log dei flussi per un gruppo di sicurezza di rete con un blocco di tipo eliminazione non consentita?

Sì, un blocco di tipo eliminazione non consentita nel gruppo di sicurezza di rete non impedisce la creazione o la modifica del log dei flussi del gruppo di sicurezza di rete corrispondente.

È possibile automatizzare i log dei flussi dei gruppi di sicurezza di rete?

Sì, è possibile automatizzare i log dei flussi dei gruppi di sicurezza di rete tramite i modelli di Azure Resource Manager (modelli ARM). Per altre informazioni, vedere Configurare i log dei flussi dei gruppi di sicurezza di rete usando un modello di Azure Resource Manager (ARM).