Den här artikeln innehåller svar på de vanligaste frågorna om Azure Network Watcher.
Allmänt
Vad är Network Watcher?
Network Watcher innehåller en uppsättning verktyg för att övervaka, diagnostisera, visa mått och aktivera eller inaktivera loggar för IaaS-resurser (infrastruktur som en tjänst), som omfattar virtuella datorer, virtuella nätverk, programgatewayer, lastbalanserare och andra resurser i ett virtuellt Azure-nätverk. Det är inte en lösning för att övervaka PaaS-infrastruktur (plattform som en tjänst) eller hämta webb-/mobilanalys.
Vilka verktyg tillhandahåller Network Watcher?
Network Watcher innehåller tre huvuduppsättningar med funktioner:
- Övervakning
- Topologivyn visar resurserna i det virtuella nätverket och relationerna mellan dem.
- Med anslutningsövervakaren kan du övervaka anslutningar och svarstider mellan slutpunkter i och utanför Azure.
- Verktyg för nätverksdiagnostik
- Med verifiering av IP-flöde kan du identifiera problem med trafikfiltrering på virtuell datornivå.
- Med NSG-diagnostik kan du identifiera problem med trafikfiltrering på en virtuell dator, vm-skalningsuppsättning eller programgatewaynivå.
- Nästa hopp hjälper dig att verifiera trafikvägar och identifiera routningsproblem.
- Felsökning av anslutning möjliggör en engångsanslutning och svarstidskontroll mellan en virtuell dator och Bastion-värd, programgateway eller en annan virtuell dator.
- Med paketinsamling kan du samla in trafiken till den virtuella datorn.
- VPN-felsökning kör flera diagnostikkontroller på dina VPN-gatewayer och anslutningar för att felsöka problem.
- Trafik
- Med flödesloggar för nätverkssäkerhetsgrupper och flödesloggar för virtuella nätverk kan du logga nätverkstrafik som passerar genom dina nätverkssäkerhetsgrupper (NSG:er) respektive virtuella nätverk.
- Trafikanalys bearbetar dina flödesloggdata för nätverkssäkerhetsgrupper så att du kan visualisera, fråga, analysera och förstå din nätverkstrafik.
Mer detaljerad information finns i Översikt över Network Watcher.
Hur fungerar prissättningen för Network Watcher?
Se Priser för Network Watcher för prisinformation om olika Network Watcher-komponenter.
I vilka regioner stöds och är Network Watcher för närvarande tillgängligt?
Vilka behörigheter krävs för att använda Network Watcher?
Se Azure RBAC-behörigheter som krävs för att använda Network Watcher för en detaljerad lista över nödvändiga behörigheter för varje funktion i Network Watcher.
Hur gör jag för att välja Network Watcher?
Network Watcher-tjänsten aktiveras automatiskt för varje prenumeration. Du måste aktivera Network Watcher manuellt om du avanmäler automatisk aktivering av Network Watcher. Mer information finns i Aktivera eller inaktivera Azure Network Watcher.
Vad är network watcher-distributionsmodellen?
Den överordnade network watcher-resursen distribueras med en unik instans i varje region. Standardnamnformat: NetworkWatcher_RegionName. Exempel: NetworkWatcher_centralus är Network Watcher-resursen för regionen "USA, centrala". Du kan anpassa namnet på Network Watcher-instansen med hjälp av PowerShell eller REST API.
Varför tillåter Azure bara en instans av Network Watcher per region?
Network Watcher behöver bara aktiveras en gång per region per prenumeration för att dess funktioner ska fungera. Network Watcher aktiveras i en region genom att skapa en Network Watcher-instans i den regionen.
Hur kan jag hantera Network Watcher-resursen?
Network Watcher-resursen representerar serverdelstjänsten för Network Watcher, som hanteras helt av Azure. Du kan dock skapa eller ta bort Network Watcher-resursen för att aktivera eller inaktivera den i en viss region. Mer information finns i Aktivera eller inaktivera Azure Network Watcher.
Kan jag flytta Network Watcher-instansen från en region till en annan?
Nej, det går inte att flytta Network Watcher-resursen eller någon av dess underordnade resurser mellan regioner. Mer information finns i Stöd för flyttåtgärder för nätverksresurser.
Kan jag flytta Network Watcher-instansen från en resursgrupp till en annan?
Ja, det finns stöd för att flytta Network Watcher-resursen mellan resursgrupper. Mer information finns i Stöd för flyttåtgärder för nätverksresurser.
Vad är NetworkWatcherRG?
NetworkWatcherRG är en resursgrupp som skapas automatiskt för Network Watcher-resurser. Till exempel skapas regionala network watcher-instanser och nätverkssäkerhetsgruppens flödesloggresurser i resursgruppen NetworkWatcherRG . Du kan anpassa namnet på resursgruppen Network Watcher med hjälp av PowerShell, Azure CLI eller REST API.
Lagrar Network Watcher kunddata?
Azure Network Watcher lagrar inte kunddata, förutom anslutningsövervakaren. Anslutningsövervakaren lagrar kunddata, som automatiskt lagras av Network Watcher i en enda region för att uppfylla kraven på datahemvist i regionen.
Vilka är resursbegränsningarna för Network Watcher?
Network Watcher har följande gränser:
Resurs | Gräns |
---|---|
Network Watcher-instanser per region per prenumeration | 1 (En instans i en region för att aktivera åtkomst till tjänsten i regionen) |
Anslutningsövervakare per region per prenumeration | 100 |
Maximalt antal testgrupper per anslutningsövervakare | 20 |
Maximalt antal källor och mål per anslutningsövervakare | 100 |
Maximalt antal testkonfigurationer per anslutningsövervakare | 20 |
Paketinsamlingssessioner per region per prenumeration | 10 000 (endast antal sessioner, inte sparade avbildningar) |
VPN-felsökningsåtgärder per prenumeration | 1 (Antal åtgärder i taget) |
Tjänsttillgänglighet och redundans
Är Network Watcher-zonen elastisk?
Ja, Network Watcher-tjänsten är zontålig som standard.
Hur gör jag för att konfigurera Network Watcher-tjänsten så att den är zontålig?
Ingen konfiguration krävs för att aktivera zonåterhämtning. Zonåterhämtning för Network Watcher-resurser är tillgänglig som standard och hanteras av själva tjänsten.
Network Watcher-agent
Varför måste jag installera Network Watcher-agenten?
Network Watcher-agenten krävs för alla Network Watcher-funktioner som genererar eller fångar upp trafik från en virtuell dator.
Vilka funktioner kräver Network Watcher-agenten?
Funktionerna paketinsamling, anslutningsfelsökning och anslutningsövervakare kräver att Network Watcher-tillägget finns.
Vilken är den senaste versionen av Network Watcher-agenten?
Den senaste versionen av Network Watcher-tillägget är 1.4.3422.1
. Mer information finns i Uppdatera Azure Network Watcher-tillägget till den senaste versionen.
Vilka portar använder Network Watcher Agent?
- Linux: Network Watcher-agenten använder tillgängliga portar från
port 50000
tills den nårport 65535
. - Windows: Network Watcher-agenten använder portarna som operativsystemet svarar med när de efterfrågas för tillgängliga portar.
Vilka IP-adresser kommunicerar Network Watcher Agent med?
Network Watcher-agenten kräver utgående TCP-anslutning till 169.254.169.254
om och 168.63.129.16
om port 80
igen port 8037
. Agenten använder dessa IP-adresser för att kommunicera med Azure-plattformen.
Anslutningsövervakaren
Stöder anslutningsövervakaren klassiska virtuella datorer?
Nej, anslutningsövervakaren stöder inte klassiska virtuella datorer. Mer information finns i Migrera IaaS-resurser från klassisk till Azure Resource Manager.
Vad händer om min topologi inte är dekorerad eller om mina hopp saknar information?
Topologin kan endast dekoreras från icke-Azure till Azure om azure-målresursen och anslutningsövervakarresursen finns i samma region.
Vad händer om det inte går att skapa anslutningsövervakaren med följande fel: "Vi tillåter inte att olika slutpunkter skapas för samma virtuella dator"?
Samma virtuella Azure-dator kan inte användas med olika konfigurationer i samma anslutningsövervakare. Till exempel stöds inte användning av samma virtuella dator med ett filter och utan filter i samma anslutningsövervakare.
Vad händer om orsaken till testfelet är "Inget att visa"?
Problem som visas på instrumentpanelen för anslutningsövervakaren påträffas under topologiidentifiering eller hopputforskning. Det kan finnas fall där tröskelvärdet som angetts för % förlust eller RTT nås men inga problem hittas på hopp.
Vad händer om de externa slutpunktstesterna migreras endast med TCP-protokollet när du migrerar en befintlig anslutningsövervakare (klassisk) till den senaste anslutningsövervakaren?
Det finns inget alternativ för protokollval i anslutningsövervakaren (klassisk). Tester i anslutningsövervakaren (klassisk) använder bara TCP-protokollet, och därför skapar vi under migreringen en TCP-konfiguration i tester i den nya anslutningsövervakaren.
Finns det några begränsningar för att använda Azure Monitor- och Arc-agenter med anslutningsövervakaren?
Det finns för närvarande en regional gräns när en slutpunkt använder Azure Monitor- och Arc-agenter med den associerade Log Analytics-arbetsytan. Därför måste den associerade Log Analytics-arbetsytan finnas i samma region som Arc-slutpunkten. Data som matas in i enskilda arbetsytor kan unioniseras för en enda vy, se Fråga efter data mellan Log Analytics-arbetsytor, program och resurser i Azure Monitor.
Flödesloggar
Vad gör flödesloggning?
Med flödesloggar kan du logga 5-tupplars flödesinformation om din Azure IP-trafik som passerar genom en nätverkssäkerhetsgrupp eller ett virtuellt Azure-nätverk. Råflödesloggarna skrivs till ett Azure-lagringskonto. Därifrån kan du bearbeta, analysera, fråga eller exportera dem efter behov.
Påverkar flödesloggar nätverksfördröjning eller prestanda?
Flödesloggdata samlas in utanför nätverkstrafikens sökväg, så det påverkar inte nätverkets dataflöde eller svarstid. Du kan skapa eller ta bort flödesloggar utan risk för påverkan på nätverkets prestanda.
Vad är skillnaden mellan NSG-flödesloggar och NSG-diagnostik?
Flödesloggar för nätverkssäkerhetsgrupp loggar trafik som flödar genom en nätverkssäkerhetsgrupp. Å andra sidan returnerar NSG-diagnostik alla nätverkssäkerhetsgrupper som trafiken passerar och reglerna för varje nätverkssäkerhetsgrupp som tillämpas på den här trafiken. Använd NSG-diagnostik för att verifiera att reglerna för nätverkssäkerhetsgruppen tillämpas som förväntat.
Kan jag logga ESP- och AH-trafik med hjälp av flödesloggar för nätverkssäkerhetsgrupper?
Nej, nätverkssäkerhetsgruppens flödesloggar stöder inte ESP- och AH-protokoll.
Kan jag logga ICMP-trafik med hjälp av flödesloggar?
Nej, flödesloggar för nätverkssäkerhetsgrupper och flödesloggar för virtuella nätverk stöder inte ICMP-protokoll.
Kan jag ta bort en nätverkssäkerhetsgrupp som har flödesloggning aktiverad?
Ja. Den associerade flödesloggresursen tas också bort. Flödesloggdata behålls i lagringskontot för den kvarhållningsperiod som konfigurerats i flödesloggen.
Kan jag flytta en nätverkssäkerhetsgrupp som har flödesloggning aktiverad till en annan resursgrupp eller prenumeration?
Ja, men du måste ta bort den associerade flödesloggresursen. När du har migrerat nätverkssäkerhetsgruppen kan du återskapa flödesloggarna för att aktivera flödesloggning på den.
Kan jag använda ett lagringskonto i en annan prenumeration än nätverkssäkerhetsgruppen eller det virtuella nätverk som flödesloggen är aktiverad för?
Ja, du kan använda ett lagringskonto från en annan prenumeration så länge den här prenumerationen finns i samma region i nätverkssäkerhetsgruppen och är associerad med samma Microsoft Entra-klientorganisation för nätverkssäkerhetsgruppen eller det virtuella nätverkets prenumeration.
Hur gör jag för att använda flödesloggar för nätverkssäkerhetsgrupp med ett lagringskonto bakom en brandvägg?
Om du vill använda ett lagringskonto bakom en brandvägg måste du ange ett undantag för betrodda Microsoft-tjänster för att få åtkomst till ditt lagringskonto:
- Gå till lagringskontot genom att ange lagringskontots namn i sökrutan överst i portalen.
- Under Säkerhet + nätverk väljer du Nätverk och sedan Brandväggar och virtuella nätverk.
- I Åtkomst till offentligt nätverk väljer du Aktiverad från valda virtuella nätverk och IP-adresser. Under Undantag markerar du kryssrutan bredvid Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot.
- Aktivera flödesloggar för nätverkssäkerhetsgrupp genom att skapa en flödeslogg för målnätverkssäkerhetsgruppen med hjälp av lagringskontot. Mer information finns i Skapa en flödeslogg.
Du kan kontrollera lagringsloggarna efter några minuter. Du bör se en uppdaterad TimeStamp eller en ny JSON-fil som skapats.
Varför visas några 403-fel i aktivitetsloggar för lagringskonton?
Network Watcher har en inbyggd återställningsmekanism som används när du ansluter till ett lagringskonto bakom en brandvägg (brandvägg aktiverad). Den försöker ansluta till lagringskontot med hjälp av en nyckel, och om det misslyckas växlar det till en token. I det här fallet loggas ett 403-fel i aktivitetsloggen för lagringskontot.
Kan Network Watcher skicka flödesloggar för nätverkssäkerhetsgrupper till ett lagringskonto aktiverat med privat slutpunkt?
Ja, Network Watcher har stöd för att skicka data i nätverkssäkerhetsgruppens flödesloggar till ett lagringskonto som är aktiverat med en privat slutpunkt.
Hur gör jag för att använda flödesloggar för nätverkssäkerhetsgrupp med ett lagringskonto bakom en tjänstslutpunkt?
Flödesloggar för nätverkssäkerhetsgrupper är kompatibla med tjänstslutpunkter utan att det krävs någon extra konfiguration. Mer information finns i Aktivera en tjänstslutpunkt.
Vad är skillnaden mellan flödesloggarna version 1 och 2?
Flödesloggar version 2 introducerar begreppet flödestillstånd och lagrar information om byte och paket som överförs. Mer information finns i Flödesloggformat för nätverkssäkerhetsgrupp.
Kan jag skapa en flödeslogg för en nätverkssäkerhetsgrupp som har ett skrivskyddat lås?
Nej, ett skrivskyddat lås i en nätverkssäkerhetsgrupp förhindrar att motsvarande flödeslogg för nätverkssäkerhetsgruppen skapas.
Kan jag skapa en flödeslogg för en nätverkssäkerhetsgrupp som har ett lås som inte kan tas bort?
Ja, ett lås som inte kan tas bort i nätverkssäkerhetsgruppen förhindrar inte att motsvarande flödeslogg för nätverkssäkerhetsgruppen skapas eller ändras.
Kan jag automatisera flödesloggar för nätverkssäkerhetsgrupper?
Ja, du kan automatisera flödesloggar för nätverkssäkerhetsgrupper via Azure Resource Manager-mallar (ARM-mallar). Mer information finns i Konfigurera NSG-flödesloggar med hjälp av en ARM-mall (Azure Resource Manager).