Vanliga frågor och svar om Network Watcher

Network Watcher innehåller en uppsättning verktyg för att övervaka, diagnostisera, visa mått och aktivera eller inaktivera loggar för IaaS-resurser (infrastruktur som en tjänst), som omfattar virtuella datorer, virtuella nätverk, programgatewayer, lastbalanserare och andra resurser i ett virtuellt Azure-nätverk. Det är inte en lösning för att övervaka PaaS-infrastruktur (plattform som en tjänst) eller hämta webb-/mobilanalys.

Network Watcher innehåller tre huvuduppsättningar med funktioner:

• Övervakning
  • Topologivyn visar resurserna i det virtuella nätverket och relationerna mellan dem.
  • Anslut ionsövervakaren gör att du kan övervaka anslutningar och svarstider mellan slutpunkter i och utanför Azure.
• Verktyg för nätverksdiagnostik
  • Med verifiering av IP-flöde kan du identifiera problem med trafikfiltrering på virtuell datornivå.
  • Med NSG-diagnostik kan du identifiera problem med trafikfiltrering på en virtuell dator, vm-skalningsuppsättning eller programgatewaynivå.
  • Nästa hopp hjälper dig att verifiera trafikvägar och identifiera routningsproblem.
  • Anslut ionsfelsökning möjliggör en engångsanslutning och svarstidskontroll mellan en virtuell dator och Bastion-värd, programgateway eller en annan virtuell dator.
  • Med paketinsamling kan du samla in trafiken till den virtuella datorn.
  • VPN-felsökning kör flera diagnostikkontroller på dina VPN-gatewayer och anslutningar för att felsöka problem.
• Trafik
  • Med flödesloggar för nätverkssäkerhetsgrupper och flödesloggar för virtuella nätverk kan du logga nätverkstrafik som passerar genom dina nätverkssäkerhetsgrupper (NSG:er) respektive virtuella nätverk.
  • Trafikanalys bearbetar dina flödesloggdata för nätverkssäkerhetsgrupper så att du kan visualisera, fråga, analysera och förstå din nätverkstrafik.

Mer detaljerad information finns i Översikt över Network Watcher.

Se Priser för Network Watcher för prisinformation om olika Network Watcher-komponenter.

Mer information om de regioner som stöder Network Watcher finns i Network Watcher-regioner .

Se Azure RBAC-behörigheter som krävs för att använda Network Watcher för en detaljerad lista över nödvändiga behörigheter för varje funktion i Network Watcher.

Network Watcher-tjänsten aktiveras automatiskt för varje prenumeration. Du måste aktivera Network Watcher manuellt om du avanmäler automatisk aktivering av Network Watcher. Mer information finns i Aktivera eller inaktivera Azure Network Watcher.

Den överordnade network watcher-resursen distribueras med en unik instans i varje region. Standardnamnformat: NetworkWatcher_RegionName. Exempel: NetworkWatcher_centralus är Network Watcher-resursen för regionen "USA, centrala". Du kan anpassa namnet på Network Watcher-instansen med hjälp av PowerShell eller REST API.

Network Watcher behöver bara aktiveras en gång per region per prenumeration för att dess funktioner ska fungera. Network Watcher aktiveras i en region genom att skapa en Network Watcher-instans i den regionen.

Network Watcher-resursen representerar serverdelstjänsten för Network Watcher, som hanteras helt av Azure. Du kan dock skapa eller ta bort Network Watcher-resursen för att aktivera eller inaktivera den i en viss region. Mer information finns i Aktivera eller inaktivera Azure Network Watcher.

Nej, det går inte att flytta Network Watcher-resursen eller någon av dess underordnade resurser mellan regioner. Mer information finns i Stöd för flyttåtgärder för nätverksresurser.

Ja, det finns stöd för att flytta Network Watcher-resursen mellan resursgrupper. Mer information finns i Stöd för flyttåtgärder för nätverksresurser.

NetworkWatcherRG är en resursgrupp som skapas automatiskt för Network Watcher-resurser. Till exempel skapas regionala network watcher-instanser och nätverkssäkerhetsgruppens flödesloggresurser i resursgruppen NetworkWatcherRG . Du kan anpassa namnet på resursgruppen Network Watcher med hjälp av PowerShell, Azure CLI eller REST API.

Azure Network Watcher lagrar inte kunddata, förutom Anslut ionsövervakaren. Anslut ion monitor lagrar kunddata, som automatiskt lagras av Network Watcher i en enda region för att uppfylla kraven på datahemvist i regionen.

Network Watcher har följande gränser:

Ja, Network Watcher-tjänsten är zontålig som standard.

Ingen konfiguration krävs för att aktivera zonåterhämtning. Zonåterhämtning för Network Watcher-resurser är tillgänglig som standard och hanteras av själva tjänsten.

Network Watcher-agenten krävs för alla Network Watcher-funktioner som genererar eller fångar upp trafik från en virtuell dator.

Funktionerna för paketinsamling, Anslut ion och Anslut ion-övervakning kräver att Network Watcher-tillägget finns.

Den senaste versionen av Network Watcher-tillägget är 1.4.3206.1. Mer information finns i Uppdatera Azure Network Watcher-tillägget till den senaste versionen.

• Linux: Network Watcher-agenten använder tillgängliga portar från port 50000 tills den når port 65535.
• Windows: Network Watcher-agenten använder portarna som operativsystemet svarar med när de efterfrågas för tillgängliga portar.

Network Watcher-agenten kräver utgående TCP-anslutning till 169.254.169.254 om och 168.63.129.16 om port 80 igen port 8037. Agenten använder dessa IP-adresser för att kommunicera med Azure-plattformen.

Nej, anslutningsövervakaren stöder inte klassiska virtuella datorer. Mer information finns i Migrera IaaS-resurser från klassisk till Azure Resource Manager.

Topologin kan endast dekoreras från icke-Azure till Azure om azure-målresursen och anslutningsövervakarresursen finns i samma region.

Samma virtuella Azure-dator kan inte användas med olika konfigurationer i samma anslutningsövervakare. Till exempel stöds inte användning av samma virtuella dator med ett filter och utan filter i samma anslutningsövervakare.

Problem som visas på instrumentpanelen för anslutningsövervakaren påträffas under topologiidentifiering eller hopputforskning. Det kan finnas fall där tröskelvärdet som angetts för % förlust eller RTT nås men inga problem hittas på hopp.

Det finns inget alternativ för protokollval i anslutningsövervakaren (klassisk). Tester i anslutningsövervakaren (klassisk) använder bara TCP-protokollet, och därför skapar vi under migreringen en TCP-konfiguration i tester i den nya anslutningsövervakaren.

Det finns för närvarande en regional gräns när en slutpunkt använder Azure Monitor- och Arc-agenter med den associerade Log Analytics-arbetsytan. Därför måste den associerade Log Analytics-arbetsytan finnas i samma region som Arc-slutpunkten. Data som matas in i enskilda arbetsytor kan unioniseras för en enda vy, se Fråga efter data mellan Log Analytics-arbetsytor, program och resurser i Azure Monitor.

Med flödesloggar kan du logga 5-tupplars flödesinformation om din Azure IP-trafik som passerar genom en nätverkssäkerhetsgrupp eller ett virtuellt Azure-nätverk. Råflödesloggarna skrivs till ett Azure-lagringskonto. Därifrån kan du bearbeta, analysera, fråga eller exportera dem efter behov.

Flödesloggdata samlas in utanför nätverkstrafikens sökväg, så det påverkar inte nätverkets dataflöde eller svarstid. Du kan skapa eller ta bort flödesloggar utan risk för påverkan på nätverkets prestanda.

Flödesloggar för nätverkssäkerhetsgrupp loggar trafik som flödar genom en nätverkssäkerhetsgrupp. Å andra sidan returnerar NSG-diagnostik alla nätverkssäkerhetsgrupper som trafiken passerar och reglerna för varje nätverkssäkerhetsgrupp som tillämpas på den här trafiken. Använd NSG-diagnostik för att verifiera att reglerna för nätverkssäkerhetsgruppen tillämpas som förväntat.

Nej, nätverkssäkerhetsgruppens flödesloggar stöder inte ESP- och AH-protokoll.

Nej, flödesloggar för nätverkssäkerhetsgrupper och flödesloggar för virtuella nätverk stöder inte ICMP-protokoll.

Ja. Den associerade flödesloggresursen tas också bort. Flödesloggdata behålls i lagringskontot för den kvarhållningsperiod som konfigurerats i flödesloggen.

Ja, men du måste ta bort den associerade flödesloggresursen. När du har migrerat nätverkssäkerhetsgruppen kan du återskapa flödesloggarna för att aktivera flödesloggning på den.

Ja, du kan använda ett lagringskonto från en annan prenumeration så länge den här prenumerationen finns i samma region i nätverkssäkerhetsgruppen och är associerad med samma Microsoft Entra-klientorganisation för nätverkssäkerhetsgruppen eller det virtuella nätverkets prenumeration.

Om du vill använda ett lagringskonto bakom en brandvägg måste du ange ett undantag för betrodda Microsoft-tjänster för att få åtkomst till ditt lagringskonto:

1. Gå till lagringskontot genom att ange lagringskontots namn i sökrutan överst i portalen.
2. Under Säkerhet + nätverk väljer du Nätverk och sedan Brandväggar och virtuella nätverk.
3. I Åtkomst till offentligt nätverk väljer du Aktiverad från valda virtuella nätverk och IP-adresser. Under Undantag markerar du kryssrutan bredvid Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot.
4. Aktivera flödesloggar för nätverkssäkerhetsgrupp genom att skapa en flödeslogg för målnätverkssäkerhetsgruppen med hjälp av lagringskontot. Mer information finns i Skapa en flödeslogg.

Du kan kontrollera lagringsloggarna efter några minuter. Du bör se en uppdaterad TimeStamp eller en ny JSON-fil som skapats.

Network Watcher har en inbyggd återställningsmekanism som används när du ansluter till ett lagringskonto bakom en brandvägg (brandvägg aktiverad). Den försöker ansluta till lagringskontot med hjälp av en nyckel, och om det misslyckas växlar det till en token. I det här fallet loggas ett 403-fel i aktivitetsloggen för lagringskontot.

Ja, Network Watcher har stöd för att skicka data i nätverkssäkerhetsgruppens flödesloggar till ett lagringskonto som är aktiverat med en privat slutpunkt.

Flödesloggar för nätverkssäkerhetsgrupper är kompatibla med tjänstslutpunkter utan att det krävs någon extra konfiguration. Mer information finns i Aktivera en tjänstslutpunkt.

Flödesloggar version 2 introducerar begreppet flödestillstånd och lagrar information om byte och paket som överförs. Mer information finns i Flödesloggformat för nätverkssäkerhetsgrupp.

Nej, ett skrivskyddat lås i en nätverkssäkerhetsgrupp förhindrar att motsvarande flödeslogg för nätverkssäkerhetsgruppen skapas.

Ja, ett lås som inte kan tas bort i nätverkssäkerhetsgruppen förhindrar inte att motsvarande flödeslogg för nätverkssäkerhetsgruppen skapas eller ändras.

Ja, du kan automatisera flödesloggar för nätverkssäkerhetsgrupper via Azure Resource Manager-mallar (ARM-mallar). Mer information finns i Konfigurera NSG-flödesloggar med hjälp av en ARM-mall (Azure Resource Manager).