Мониторинг сетей с помощью наблюдателя за сетями Azure

  • 20 мин

Наблюдатель за сетями Azure

Наблюдатель за сетями Azure — это региональная служба, которая позволяет отслеживать и диагностировать условия на уровне сетевого сценария в Azure и из него. Мониторинг на уровне сценария позволяет диагностировать проблемы на сквозном уровне сети. Инструменты диагностики сети и визуализации, доступные в Наблюдателе за сетями, помогают понять, как работает сеть в Azure, диагностировать ее и получить ценную информацию. Наблюдатель за сетью включается путем создания ресурса Наблюдателя за сетью, который позволяет использовать возможности Наблюдателя за сетью. Наблюдатель за сетями предназначен для мониторинга и восстановления работоспособности сети продуктов IaaS, включая виртуальные машины, виртуальные сети, шлюзы приложений и балансировщики нагрузки.

  • Автоматизированный удаленный мониторинг сети с записью пакетов. Отслеживайте и диагностируйте проблемы с сетью, не входя в виртуальные машины, с помощью Наблюдателя за сетями. Запускайте захват пакетов, устанавливая предупреждения, и получайте доступ к информации о производительности в реальном времени на уровне пакетов. Когда вы обнаружите проблему, вы можете подробно изучить ее, чтобы поставить точный диагноз.
  • Анализ сетевого трафика с помощью журналов процедур. Журналы процедур группы безопасности сети помогут вам лучше понять модель трафика сети. Применяя сведения из журналов потоков, можно собрать данные, чтобы обеспечить соответствие требованиям, провести аудит и выполнить мониторинг для профиля сетевой безопасности.
  • Диагностика проблем с VPN-подключением. Компонент "Наблюдатель за сетями" позволяет обнаруживать самые распространенные проблемы с VPN-шлюзом и подключением. Это позволяет не только идентифицировать проблему, но и использовать подробные журналы, созданные для дальнейшего расследования.

Топология сети: Возможность топологии позволяет создавать визуальную диаграмму ресурсов в виртуальной сети и взаимосвязей между ресурсами.

Проверка IP-потока: быстро диагностируйте проблемы с подключением к Интернету или из Интернета, к локальной среде или из нее. Например, подтвердите, блокирует ли правило безопасности входящий или исходящий трафик на виртуальную машину или от нее. Проверка IP-потока идеально подходит для проверки правильности применения правил безопасности. При использовании для устранения неполадок, если проверка IP-потока не обнаруживает проблемы, вам нужно будет изучить другие области, такие как ограничения брандмауэра.

Следующий прыжок: чтобы определить, направляется ли трафик в предполагаемое место назначения, можно отобразить следующий прыжок. Это поможет определить, правильно ли настроена сетевая маршрутизация. Функция определения следующего прыжка также возвращает таблицу маршрутов, связанную со следующим прыжком. Если маршрут определен как определяемый пользователем, этот маршрут возвращается. В противном случае следующий прыжок возвращает системный маршрут. В зависимости от ситуации следующим переходом может быть Интернет, виртуальное устройство, шлюз виртуальной сети, локальная виртуальная сеть, пиринг виртуальной сети или нет. Отсутствие означает, что хотя и может существовать действительный системный маршрут к пункту назначения, нет следующего прыжка для маршрутизации трафика к пункту назначения. Когда вы создаете виртуальную сеть, Azure создает несколько исходящих маршрутов по умолчанию для трафика. Исходящий трафик из всех ресурсов, таких как виртуальные машины, развернутые в виртуальной сети, направляется на основе маршрутов Azure по умолчанию. Вы можете переопределить маршруты Azure по умолчанию или создать дополнительные маршруты.

Действующие правила безопасности: группы безопасности сети связаны на уровне подсети или на уровне сетевой карты. Если она связана на уровне подсети, то применяется ко всем экземплярам виртуальной машины в этой подсети. Представление действующих правил безопасности возвращает все настроенные NSG и правила, связанные на уровне сетевой карты и подсети для виртуальной машины, обеспечивая глубокое понимание данных. Кроме того, оно возвращает действующие правила безопасности для каждой из сетевых карт в виртуальной машине. С помощью представления действующих правил безопасности можно оценить сетевые уязвимости виртуальной машины, например открытые порты.

Диагностика VPN: устранение неполадок шлюзов и подключений. Диагностика VPN возвращает большой объем информации. Сводная информация доступна на портале, а более подробная информация представлена в файлах журнала. Файлы журнала хранятся в учетной записи хранения и включают такие вещи, как статистика соединений, информация о процессоре и памяти, ошибки безопасности IKE, отбрасывание пакетов, а также буферы и события.

Захват пакетов: Захват пакетов переменной Наблюдателя за сетями позволяет создавать сеансы захвата пакетов для отслеживания трафика к виртуальной машине и от нее. Записи пакетов помогают выявить аномалии в работе сети по факту или заранее. Они также помогают выполнять сбор сетевой статистики, получать сведения о сетевых вторжениях, выполнять отладку передачи данных между клиентом и сервером и многое другое.

Устранение неполадок при подключении: средство устранения неполадок при подключении Наблюдателя за сетями Azure — более позднее дополнение к набору сетевых инструментов и возможностей Наблюдателя за сетями. Функция "Устранение неполадок подключения" позволяет устранять проблемы с производительностью сети и подключением в Azure.

Журналы Flow NSG: журналы Flow NSG сопоставляют IP-трафик через группу безопасности сети. Эти возможности можно использовать для обеспечения соответствия требованиям безопасности и аудита. Можно определить предписываемый набор правил безопасности, используемый в качестве модели для контроля безопасности в вашей организации. Можно программно реализовать периодический аудит соответствия требованиям, сравнивая предписанные правила с действующими правилами для каждой из виртуальных машин в сети.

настроить Наблюдатель за сетями

При создании или обновлении виртуальной сети в подписке Наблюдатель за сетями включается автоматически в регионе вашей виртуальной сети. Автоматическое включение Наблюдателя за сетями не влияет на ваши ресурсы, и за него не взимается дополнительная плата.

Чтобы создать Наблюдатель за сетями на портале Azure:

  1. Перейдите к разделу Все службы>Сети>Наблюдатель за сетями.

    Открытие Наблюдателя за сетями с домашней страницы портала Azure

  2. Щелкните подписку правой кнопкой мыши и выберите Включить наблюдение за сетью во всех регионах.

    Наблюдатель за сетями — страница обзора — включение наблюдателя за сетями выделено

  3. Обратите внимание, что статус теперь отображается как Включено.

    Наблюдатель за сетями — страница обзора — отображение включенного наблюдателя за сетью

  4. Если вы развернете регионы, вы увидите, что все регионы в рамках этой подписки включены.

    Наблюдатель за сетями — страница обзора — отображение наблюдения за сетями, включенного во всех регионах

  5. Когда вы включаете Наблюдатель за сетями с помощью портала, созданному экземпляру наблюдателя автоматически присваивается имя NetworkWatcher_имя_региона, где имя_региона соответствует региону Azure, в котором был включен этот экземпляр наблюдателя. Например, Наблюдатель за сетями, включенный в регионе Запад США, называется NetworkWatcher_westus.

  6. Экземпляр Наблюдателя за сетями автоматически создается в группе ресурсов с именем NetworkWatcherRG. Если эта группа ресурсов не существует, она создается.

    Список групп ресурсов — выделена группа ресурсов Наблюдателя за сетью

  7. Чтобы отключить Наблюдатель за сетью для региона на портале Azure, разверните раздел регионов, щелкните правой кнопкой мыши имя региона, в котором вы хотите отключить Наблюдатель за сетью, и нажмите Отключить наблюдатель за сетью.

    Наблюдатель за сетями — страница обзора — выделено отключение наблюдателя за сетями

Настройка журналов потоков для NSG

Группы безопасности сети (NSG) разрешают или запрещают входящий или исходящий трафик для сетевого интерфейса в виртуальной машине.

Журналы потоков (NSG) — это функция Наблюдателя за сетями Azure, позволяющая регистрировать в журнале сведения об IP-трафике, проходящем через NSG. Функция Журнал потоков NSG позволяет вам регистрировать исходный и целевой IP-адрес, порт, протокол и сведения о том, был ли трафик разрешен или запрещен группой безопасности сети. Вы можете анализировать журналы с помощью различных средств, таких как Power BI и функции Аналитика трафика в наблюдателе за сетями Azure.

Распространенные варианты использования журналов потоков NSG:

  • Мониторинг сети — определение неизвестного или нежелательного трафика. Мониторинг уровней трафика и потребления пропускной способности. Фильтрация журналов потоков по IP-адресу и порту для анализа поведения приложений. Экспорт журналов потоков в любые средства аналитики и визуализации для настройки панелей мониторинга.
  • Мониторинг использования и оптимизация — обнаружение ведущих подсетей в сети. Соотнесение с данными о географическом расположении по IP-адресу для определения межрегионального трафика. Анализ роста трафика для прогнозирования потребности в мощностях. Ослабление излишне строгих правил трафика на основании полученных данных.
  • Соответствие требованиям — используйте потоковые данные для проверки изоляции сети и соответствия корпоративным правилам доступа.
  • Сетевая криминалистика и анализ безопасности — анализируйте сетевые потоки от взломанных IP-адресов и сетевых интерфейсов. Экспорт журналов потоков в любую SIEM-систему или систему обнаружения вторжений.

Вы можете включить журналы потоков NSG одним из следующих способов:

  1. чтобы настроить параметры журналов потоков NSG в портал Azure, перейдите в раздел Журналы потоков NSG в Наблюдателя за сетями.

  2. Щелкните имя группы безопасности сети, чтобы открыть панель Настроек для журнала потока.

    Наблюдатель за сетями — страница настроек журналов потоков

  3. Измените нужные параметры и нажмите Сохранить, чтобы применить изменения.

Монитор подключений

Обзор монитора подключений

Монитор подключений обеспечивает единый мониторинг сквозных подключений в Наблюдателе за сетями Azure. Монитор подключений поддерживает гибридные развертывания и развертывания в облаке Azure. Наблюдатель за сетями предоставляет средства для мониторинга, диагностики и просмотра метрик, связанных с подключением, для развертываний Azure.

Диаграмма, показывающая общий вид монитора подключений

Ниже приведены некоторые варианты использования Монитора подключений:

  • Клиентская виртуальная машина веб-сервера взаимодействует с виртуальной машиной сервера базы данных в многоуровневом приложении. Необходимо проверить сетевое подключение между двумя виртуальными машинами.
  • Вы хотите, чтобы виртуальные машины в регионе "Восточная часть США" могли проверить связь с виртуальными машинами в центральном регионе США, а также сравнить задержки сети между регионами.
  • У вас есть несколько локальных сайтов офисов в Сиэтле, штат Вашингтон и городе Эшберн, штат Вирджиния. Ваши офисные сайты подключаются к URL-адресам Microsoft 365. Для пользователей URL-адресов Microsoft 365 необходимо сравнить задержки между Сиэтлом и Эшберном.
  • Гибридному приложению требуется подключение к конечной точке службы хранилища Azure. Локальный сайт и приложение Azure подключаются к одной конечной точке службы хранилища Azure. Необходимо сравнить задержки локального сайта с задержкой в приложении Azure.
  • Необходимо проверить подключение между локальными машинами и виртуальными машинами Azure, на которых размещается ваше облачное приложение.

Монитор подключения сочетает в себе преимущества двух компонентов: Монитора подключений Наблюдателя за сетями (классический формат) и компонента NPM (Монитор производительности сети), включающего в себя Монитор подключения служб, Мониторинг ExpressRoute и Мониторинг производительности.

Ниже приведены некоторые преимущества Монитора подключений:

  • Единый, интуитивно понятный интерфейс для Azure и потребностей гибридного мониторинга
  • Мониторинг подключений между регионами и между рабочими областями
  • Более высокие частоты проверки и более наглядное представление о производительности сети
  • Более быстрое оповещение для гибридных развертываний
  • Поддержка проверок подключения, основанных на HTTP, TCP и ICMP
  • Метрики и поддержка Log Analytics для настройки тестирования как в Azure, так и за его пределами

Настроить монитор подключений

Чтобы настроить Монитор подключений для мониторинга, необходимо выполнить несколько ключевых шагов:

  1. Установите агенты мониторинга — монитор подключений использует легкие исполняемые файлы для проверки подключения. Он поддерживает проверки подключения как из среды Azure, так и из локальных сред. Выбор используемого исполняемого файла зависит от того, размещена ли виртуальная машина в Azure или в локальной среде. Для получения дополнительной информации посетите Установка агентов мониторинга.
  2. Включите наблюдателя за сетями в вашей подписке — все подписки, в которых есть виртуальная сеть, включены в Наблюдатель за сетями. При создании или обновлении виртуальной сети в подписке наблюдатель за сетями включается автоматически в регионе вашей виртуальной сети и подписки. Это автоматическое включение не влияет на ресурсы и не взымает плату. Убедитесь, что наблюдатель за сетями не отключен явным образом в вашей подписке.
  3. Создание монитора подключений — монитор подключений регулярно отслеживает обмен данными. Он информирует вас об изменениях в достижимости и задержке. Вы также можете проверить текущую и прошлую топологию сети между исходными агентами и конечными точками назначения. Источниками могут быть виртуальные машины Azure или локальные компьютеры, на которых установлен агент мониторинга. Целевыми конечными точками могут быть URL-адреса Microsoft 365, URL-адреса Dynamics 365, задаваемые URL-адреса, идентификаторы ресурсов виртуальных машин Azure, IPv4, IPv6, FQDN или любые доменные имена.
  4. Настройка анализа данных и предупреждений — данные, которые собирает монитор подключений, хранятся в рабочей области Log Analytics. Эта рабочая область настраивается при создании монитора подключения. Данные мониторинга также доступны в метриках Azure Monitor. Вы можете использовать Log Analytics для хранения данных мониторинга настолько долго, насколько это необходимо. По умолчанию Azure Monitor хранит метрики за последние 30 дней. Для получения дополнительной информации посетите Сбор данных, анализ и предупреждения.
  5. Диагностика проблем в вашей сети — Connection Monitor помогает вам диагностировать проблемы в вашем мониторе соединений и вашей сети. Проблемы в гибридной сети обнаруживаются установленными ранее агентами Log Analytics. Проблемы в Azure обнаруживаются расширением Наблюдателя за сетями. Вы можете просматривать проблемы в сети Azure в топологии сети. Для получения дополнительной информации посетите раздел Диагностика проблем в вашей сети.

Создание монитора подключений

В мониторах подключений, создаваемых с помощью Монитора подключений, в качестве источников можно добавить локальные компьютеры и виртуальные машины Azure. Эти мониторы подключений также могут отслеживать подключения к конечным точкам. Конечные точки могут находиться в Azure или на любом другом URL или IP-адресе.

Монитор подключения включает в себя следующие сущности.

  • Ресурс монитора подключения — это специальный ресурс Azure для конкретного региона. Все следующие сущности являются свойствами ресурса монитора подключений.
  • Конечная точка — источник или назначение, участвующие в проверках подключения. Примеры конечных точек: виртуальные машины Azure, локальные агенты, URL-адреса и IP-адрес.
  • Конфигурация теста — конфигурация, зависящая от протокола и использующаяся для тестирования. На основе выбранного протокола вы можете задать порт, пороговые значения, частоту тестов и другие параметры.
  • Группа тестирования — группа, которая содержит конечные точки источника, конечные точки назначения и конфигурации тестов. Монитор подключения может содержать более одной группы тестирования.
  • Тест — определенное сочетание конечной точки источника, конечной точки назначения и конфигурации теста. Тест — это наиболее детализированный уровень доступности данных мониторинга. Данные мониторинга включают в себя процент проверок, завершившихся сбоем, и время приема-передачи (RTT).

Схема, показывающая основные компоненты монитора подключений

Вы можете создать монитор подключения с помощью портала Azure, ARMClient или PowerShell.

Создание монитора в Мониторе подключений с помощью портала Azure:

  1. На домашней странице портала Azure перейдите в раздел Наблюдатель за сетями.

    Открытие Наблюдателя за сетями с домашней страницы портала Azure с помощью плитки наблюдатель за сетями

  2. На левой панели в разделе Мониторинг выберите Монитор подключений и нажмите Создать.

    Создание монитора подключения в Наблюдателе за сетями.

  3. На вкладке Основные страницы Создание монитора подключений необходимо ввести следующую информацию для нового монитора подключений:

    Поле Информация
    Имя монитора подключений Введите имя для вашего монитора подключения. Используйте стандартные правила именования для ресурсов Azure.
    Отток подписок Выберите свою подписку Azure из списка.
    Область/регион Выберите регион для монитора подключения. Вы можете выбрать только исходные виртуальные машины, созданные в этом регионе.
    Конфигурация рабочей области Выберите настраиваемое рабочее пространство или рабочее пространство по умолчанию. Ваша рабочая область содержит данные мониторинга.

    Чтобы использовать рабочую область по умолчанию, установите флажок.

    Чтобы выбрать настраиваемую рабочую область, снимите флажок. Затем выберите подписку и регион для пользовательской рабочей области.

    Создать монитор подключений — вкладка

  4. Щелкните Далее: Тестовые группы >>.

  5. На следующей странице вы можете добавить источники, тестовые конфигурации и места назначения в свои тестовые группы. Каждая группа тестов в мониторе соединений включает источники и назначения, которые проверяются по сетевым параметрам. Они проверяются на процент неудачных проверок и время приема-передачи (RTT) по тестовым конфигурациям.

    Создать монитор подключений — вкладка Группы тестов — добавить группу тестов

  6. Нажмите кнопку добавить тестовую группу.

    Создать монитор подключений — вкладка

  7. Нажмите кнопку Далее: Создать оповещения >>.

  8. На вкладке Создать оповещение вы можете настроить оповещения о неуспешных тестах на основе пороговых значений, установленных в конфигурациях тестов.

  9. Для оповещения вам необходимо ввести следующую информацию:

    • Создать предупреждение (флажок): вы можете установить этот флажок, чтобы создать метрическое предупреждение в Azure Monitor. Если этот флажок установлен, другие поля будут доступны для редактирования. (Примечание: За оповещение будет взиматься дополнительная плата.)
    • Область действия (ресурс / иерархия): значения здесь автоматически подставляются для вас на основе значений, которые вы указали на вкладке Основные.
    • Условие: Предупреждение создается по метрике Результат теста (предварительный просмотр). Если результатом проверки монитора подключения является неудачный результат, будет срабатывать правило генерации оповещений.
    • Группа действий: вы можете ввести свой адрес электронной почты напрямую или создать оповещения с помощью групп действий. При непосредственном вводе вашего адреса электронной почты будет создана группа действий с именем NPM Email ActionGroup. В эту группу действий добавляется идентификатор электронной почты. Если вы решили использовать группы действий, необходимо выбрать группу действий, созданную ранее.
    • Имя правила оповещения: это имя монитора подключений, которое уже введено за вас.
    • Включить правило при создании: установите этот флажок, чтобы включить правило предупреждения на основе условия (настройка по умолчанию). Снимите этот флажок, если вы хотите создать правило, не активируя его, — возможно, для целей оценки и тестирования или потому, что вы просто еще не готовы его развернуть.

    Создать монитор подключений — вкладка

  10. Нажмите Далее: Просмотр и создание >>.

    Проверка параметров монитора подключения.

  11. Просмотрите сведения и щелкните Создать.

Аналитика трафика

"Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. Аналитика трафика анализирует журналы потоков группы безопасности сети (NSG) Наблюдателя за сетями, чтобы получить представление о потоке трафика в вашем облаке Azure и предоставить богатую визуализацию данных, записанных в журналы потоков NSG.

Решение "Аналитика трафика" позволяет выполнять следующее:

  • Визуализировать сетевую активность в подписках Azure и определять самые активные узлы.
  • Выявлять угрозы безопасности в сети и защитить ее инфраструктуру на основе сведений об открытых портах, приложениях, пытающихся получить доступ к Интернету, а также виртуальных машинах, подключающихся к несанкционированным сетям.
  • Понять шаблоны потока трафика в регионах Azure и Интернете, чтобы оптимизировать развертывание сети для лучшей производительности и эффективного использования емкости.
  • Оперативно обнаружить неверные сетевые конфигурации, которые приводят к сбоям подключений в сети.

Как работает решение "Аналитика трафика"

Решение "Аналитика трафика" анализирует необработанные журналы потоков NSG и записывает сокращенные журналы, объединяя общие потоки между одним исходным IP-адресом, IP-адресом назначения, портом назначения и протоколом. Например, узел 1 (IP-адрес: 10.10.10.10), обменивающийся данными с узлом 2 (IP-адрес: 10.10.20.10) 100 раз в течение 1 часа, использует порт (например, 80) и протокол (например, HTTP). Сокращенный журнал вместо 100 записей содержит одну запись о том, что узлы 1 и 2 обменивались данными 100 раз в течение 1 часа с помощью порта 80 и протокола HTTP. Сокращенные журналы дополняются сведениями о географии, безопасности и топологии, а затем сохраняются в рабочей области Log Analytics.

На диаграмме ниже показан поток данных:

Диаграмма, иллюстрирующая аналитику трафика

Ключевые компоненты аналитики трафика:

  • Группа безопасности сети (NSG) — содержит список правил безопасности, которые разрешают или запрещают сетевой трафик для ресурсов, подключенных к виртуальной сети Azure. Группы безопасности сети можно связать с подсетями, отдельными виртуальными машинами (классическими) или отдельными сетевыми интерфейсами (NIC), подключенными к виртуальным машинам (Resource Manager). Дополнительные сведения см. в статье Безопасность сети.
  • Журналы потоков группы безопасности сети (NSG) — позволяют просматривать информацию о входящем и исходящем IP-трафике через группу безопасности сети. Эти журналы потоков записываются в формате JSON. В них отображаются входящие и исходящие потоки по каждому правилу, сетевая карта, с которой связан поток, сведения о пяти кортежах потока (IP-адрес источника и места назначения, порт источника и места назначения, протокол), а также сведения о состоянии трафика (разрешен или запрещен). Дополнительные сведения о журналах потоков NSG см. в статье Общие сведения о ведении журнала потоков для групп безопасности сети.
  • Log Analytics — служба Azure, которая собирает данные мониторинга и хранит данные в центральном репозитории. Эти данные могут содержать события, данные о производительности или пользовательские данные, полученные с помощью API Azure. Собранные данные доступны для оповещения, анализа и экспорта. Приложения мониторинга, например "Монитор производительности сети" и "Аналитика трафика", созданы с использованием журналов Azure Monitor в качестве основы. Дополнительные сведения см. в разделе Журналы Azure Monitor.
  • Рабочая область Log Analytics — экземпляр журналов Azure Monitor, где хранятся данные, относящиеся к учетной записи Azure. Дополнительные сведения о рабочих областях Log Analytics см. в статье Создание рабочей области Log Analytics на портале Azure.
  • Наблюдатель за сетями — региональная служба, позволяющая отслеживать и диагностировать условия на уровне сетевого сценария в Azure. С помощью Наблюдателя за сетями вы можете включать и отключать журналы потоков NSG. Дополнительные сведения см. в разделе Наблюдатель за сетями.

Чтобы проанализировать трафик, у вас должен быть Наблюдатель за сетями или нужно включить Наблюдатель за сетями в каждом регионе, в котором есть группы NSG, для которых нужно проанализировать трафик. Решение "Аналитика трафика" можно включить для групп NSG, расположенных в любом поддерживаемом регионе.

Прежде чем включить ведение журнала потоков NSG, нужно проверить наличие группы безопасности сети для регистрации потоков. Если у вас нет группы безопасности сети, вы должны создать ее, используя порт Azure, Azure CLI или PowerShell.

Чтобы просмотреть решение "Аналитика трафика", выполните поиск по запросу Наблюдатель за сетями на панели поиска портала. В Наблюдателе за сетями, чтобы изучить аналитику трафика и ее возможности, выберите Аналитика трафика в левом меню.

На приведенном ниже примере снимка экрана показана панель управления аналитикой трафика.

Наблюдатель за сетями — панель управления аналитикой трафика

Проверьте свои знания

1.

Какое из следующих утверждений о Наблюдателе за сетями является правильным?

2.

Что из перечисленного является компонентом аналитики трафика?