Övervaka dina nätverk med Hjälp av Azure Network Watcher

  • 20 minuter

Azure Network Watcher

Azure Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Verktyg för nätverksdiagnostik och visualisering som är tillgängliga med Network Watcher hjälper dig att förstå, diagnostisera och få insikter om ditt nätverk i Azure. Network Watcher aktiveras genom att skapa en Network Watcher-resurs, vilket gör att du kan använda Network Watcher-funktioner. Network Watcher är utformat för att övervaka och reparera nätverkshälsan för IaaS-produkter som omfattar virtuella datorer, virtuella nätverk, Application Gateways och lastbalanserare.

  • Automatisera fjärrnätverksövervakning med paketinsamling. Övervaka och diagnostisera nätverksproblem utan att logga in på dina virtuella datorer (VM) med Network Watcher. Lös ut infångade paket genom att ställa in aviseringar och få åtkomst till prestandainformation i realtid på paketnivå. När du upptäcker ett problem kan du undersöka i detalj för bättre diagnoser.
  • Få insikt i din nätverkstrafik med hjälp av flödesloggar. Få en djupare förståelse för ditt nätverkstrafikmönster med flödesloggar för nätverkssäkerhetsgrupper. Med information från flödesloggar kan du samla in data för efterlevnad, granskning och övervakning av din nätverkssäkerhetsprofil.
  • Diagnostisera PROBLEM med VPN-anslutning. Med Network Watcher får du möjlighet att diagnostisera dina vanligaste problem med VPN Gateway och anslutningar. Du kan både identifiera problemet och använda de detaljerade loggar som skapas för att gräva djupare.

Nätverkstopologi: Med topologifunktionen kan du generera ett visuellt diagram över resurserna i ett virtuellt nätverk och relationerna mellan resurserna.

Verifiera IP Flow: Diagnostisera snabbt anslutningsproblem från eller till Internet och från eller till den lokala miljön. Du kan till exempel bekräfta om en säkerhetsregel blockerar inkommande eller utgående trafik till eller från en virtuell dator. Verifiering av IP-flöde är perfekt för att se till att säkerhetsreglerna tillämpas korrekt. Om IP-flödeskontroll inte visar något problem när det används för felsökning måste du utforska andra områden, till exempel brandväggsbegränsningar.

Nästa hopp: För att avgöra om trafiken dirigeras till det avsedda målet genom att visa nästa hopp. Detta hjälper dig att avgöra om nätverksroutning är korrekt konfigurerad. Nästa hopp returnerar också routningstabellen som är associerad med nästa hopp. Om vägen definieras som en användardefinierad väg returneras den vägen. Annars returnerar nästa hopp System Route. Beroende på din situation kan nästa hopp vara Internet, Virtuell installation, Virtuell nätverksgateway, VNet Local, VNet-peering eller Ingen. Ingen låter dig veta att även om det kan finnas en giltig systemväg till målet, finns det inget nästa hopp för att dirigera trafiken till målet. När du skapar ett virtuellt nätverk skapar Azure flera utgående standardvägar för nätverkstrafiken. Utgående trafik från alla resurser, till exempel virtuella datorer som distribueras i ett virtuellt nätverk, dirigeras enligt Azures standardvägar. Du kan åsidosätta Azures standardvägar eller skapa ytterligare vägar.

Effektiva säkerhetsregler: Nätverkssäkerhetsgrupper är associerade på undernätsnivå eller på nätverkskortsnivå. När det är associerat på undernätsnivå gäller det för alla vm-instanser i undernätet. Vyn Gällande säkerhetsregler returnerar alla konfigurerade NSG:er och regler som är associerade på nätverkskort- och undernätsnivå för en virtuell dator som ger insikt i konfigurationen. Dessutom returneras de effektiva säkerhetsreglerna för var och en av nätverkskorten på en virtuell dator. Med hjälp av vyn Gällande säkerhetsregler kan du utvärdera en virtuell dator för nätverkssårbarheter, till exempel öppna portar.

VPN-diagnostik: Felsöka gatewayer och anslutningar. VPN-diagnostik returnerar en mängd information. Sammanfattningsinformation finns i portalen och mer detaljerad information finns i loggfiler. Loggfilerna lagras i ett lagringskonto och innehåller saker som anslutningsstatistik, cpu- och minnesinformation, IKE-säkerhetsfel, paketförluster och buffertar och händelser.

Paketinsamling: Med variabel paketinsamling i Network Watcher kan du skapa paketinsamlingssessioner för att spåra trafik till och från en virtuell dator. Paketinsamling hjälper till att diagnostisera nätverksavvikelser både reaktivt och proaktivt. Andra användningsområden är att samla in nätverksstatistik, få information om nätverksintrång, felsöka klient-serverkommunikation och mycket mer.

felsöka Anslut ion: Felsökning av Azure Network Watcher Anslut ion är ett nyare tillägg till Network Watcher-serien med nätverksverktyg och funktioner. Anslut ion Felsökning gör att du kan felsöka problem med nätverksprestanda och anslutningar i Azure.

NSG-flödesloggar: NSG-flödesloggar mappar IP-trafik via en nätverkssäkerhetsgrupp. Dessa funktioner kan användas för säkerhetsefterlevnad och granskning. Du kan definiera en normativ uppsättning säkerhetsregler som en modell för säkerhetsstyrning i din organisation. En regelbunden efterlevnadsgranskning kan implementeras på ett programmatiskt sätt genom att jämföra de normativa reglerna med de effektiva reglerna för var och en av de virtuella datorerna i nätverket.

konfigurera Network Watcher

När du skapar eller uppdaterar ett virtuellt nätverk i din prenumeration aktiveras Network Watcher automatiskt i din virtuella nätverksregion. Dina resurser påverkas inte av den automatiska aktiveringen av Network Watcher, och inga kostnader tillkommer.

Så här skapar du en Network Watcher i Azure-portalen:

  1. Gå till Alla tjänster> Networking>Network Watcher.

    Opening Network Watcher from the Azure portal home page

  2. Högerklicka på din prenumeration och välj Aktivera nätverksbevakare i alla regioner.

    Network Watcher - Overview page - enable network watcher highlighted

  3. Observera att statusen nu visas som Aktiverad.

    Network Watcher - Overview page - showing network watcher enabled

  4. Om du expanderar regionerna ser du att alla regioner i den här prenumerationen är aktiverade.

    Network Watcher - Overview page - showing network watcher enabled on all regions

  5. När du aktiverar Network Watcher med hjälp av portalen anges namnet på Network Watcher-instansen automatiskt till NetworkWatcher_region_name där region_name motsvarar den Azure-region där instansen är aktiverad. En Network Watcher som är aktiverad i regionen USA, västra heter till exempel NetworkWatcher_westus.

  6. Network Watcher-instansen skapas automatiskt i en resursgrupp med namnet NetworkWatcherRG. Resursgruppen skapas om den inte redan finns.

    Resource Groups list- Network Watcher resource group highlighted

  7. Om du vill inaktivera en Network Watcher för en region i Azure-portalen expanderar du avsnittet regioner, högerklickar på namnet på den region som du vill inaktivera Network Watcher på och klickar på Inaktivera nätverksbevakare.

    Network Watcher - Overview page - Disable network watcher highlighted

Konfigurera NSG-flödesloggar

Nätverkssäkerhetsgrupper (NSG) tillåter eller nekar inkommande eller utgående trafik till ett nätverksgränssnitt på en virtuell dator.

NSG-flödesloggar är en funktion i Azure Network Watcher som gör att du kan logga information om IP-trafik som flödar via en NSG. Med funktionen NSG-flödeslogg kan du logga källans och målets IP-adress, port, protokoll, samt om trafik tillåts eller nekas av en NSG. Du kan analysera loggar med hjälp av en mängd olika verktyg, till exempel Power BI och traffic analytics-funktionen i Azure Network Watcher.

Vanliga användningsfall för NSG-flödesloggar är:

  • Nätverksövervakning – Identifiera okänd eller oönsrad trafik. Övervaka trafiknivåer och bandbreddsförbrukning. Filtrera flödesloggar efter IP och port för att förstå programmets beteende. Exportera flödesloggar till valfria analys- och visualiseringsverktyg för att konfigurera övervakningsinstrumentpaneler.
  • Användningsövervakning och optimering – Identifiera de viktigaste talarna i nätverket. Kombinera med GeoIP-data för att identifiera trafik mellan regioner. Förstå trafiktillväxt för kapacitetsprognoser. Använd data för att ta bort öppet restriktiva trafikregler.
  • Efterlevnad – Använd flödesdata för att verifiera nätverksisolering och efterlevnad av åtkomstregler för företag.
  • Nätverkstekniker och säkerhetsanalys – Analysera nätverksflöden från komprometterade IP-adresser och nätverksgränssnitt. Exportera flödesloggar till valfritt SIEM- eller IDS-verktyg.

Du kan aktivera NSG-flödesloggar från något av följande:

  1. Om du vill konfigurera parametrarna för NSG-flödesloggar i Azure-portalen går du till avsnittet NSG-flödesloggar i Network Watcher.

  2. Klicka på namnet på NSG:n för att visa fönstret Inställningar för flödesloggen.

    Network Watcher - Flow logs settings page

  3. Ändra önskade parametrar och klicka på Spara för att distribuera ändringarna.

Anslutningsövervakare

översikt över Anslut ion Monitor

Anslut ion Monitor tillhandahåller enhetlig övervakning av anslutningar från slutpunkt till slutpunkt i Azure Network Watcher. Funktionen Anslutningsövervakare stöder hybrid- och Azure-molndistributioner. Network Watcher innehåller verktyg för övervakning, diagnostisering och visning av anslutningsrelaterade mått för dina Azure-distributioner.

Diagram illustrating a high-level view of Connection Monitor

Här följer några användningsfall för Anslut ion Monitor:

  • Den virtuella klientwebbserverdatorn kommunicerar med en virtuell databasserverdator i ett program med flera nivåer. Du vill kontrollera nätverksanslutningen mellan de två virtuella datorerna.
  • Du vill att virtuella datorer i regionen USA, östra ska pinga virtuella datorer i regionen USA, centrala och jämföra nätverksfördröjningar mellan regioner.
  • Du har flera lokala kontorsplatser i Seattle, Washington och Ashburn, Virginia. Dina kontorsplatser ansluter till Microsoft 365-URL:er. Jämför svarstiderna mellan Seattle och Ashburn för dina användare av Microsoft 365-URL:er.
  • Hybridprogrammet behöver anslutning till en Azure Storage-slutpunkt. Din lokala plats och ditt Azure-program ansluter till samma Azure Storage-slutpunkt. Du vill jämföra svarstiderna för den lokala platsen med svarstiderna för Azure-programmet.
  • Du vill kontrollera anslutningen mellan dina lokala installationer och de virtuella Azure-datorer som är värdar för ditt molnprogram.

Anslut ion Monitor kombinerar det bästa av två funktioner: funktionen Network Watcher Anslut ion Monitor (klassisk) och NPM-tjänsten (Network Performance Monitor) Anslut ivity Monitor, ExpressRoute Monitoring och Performance Monitoring.

Här följer några fördelar med Anslut ion Monitor:

  • Enhetlig, intuitiv upplevelse för Azure- och hybridövervakningsbehov
  • Anslutningsövervakning mellan regioner och arbetsytor
  • Högre avsökningsfrekvenser och bättre insyn i nätverksprestanda
  • Snabbare aviseringar för dina hybriddistributioner
  • Stöd för anslutningskontroller som baseras på HTTP, TCP och ICMP
  • Stöd för mått och Log Analytics för både Azure- och icke-Azure-testkonfigurationer

Konfigurera Anslut ion Monitor

Det finns flera viktiga steg som du måste utföra för att konfigurera Anslut ion Monitor för övervakning:

  1. Installera övervakningsagenter – Anslut ion Monitor förlitar sig på enkla körbara filer för att köra anslutningskontroller. Den stöder anslutningskontroller från både Azure-miljöer och lokala miljöer. Vilken körbar fil du använder beror på om den virtuella datorn finns i Azure eller lokalt. Mer information finns i Installera övervakningsagenter.
  2. Aktivera Network Watcher i din prenumeration – Alla prenumerationer som har ett virtuellt nätverk är aktiverade med Network Watcher. När du skapar ett virtuellt nätverk i din prenumeration aktiveras Network Watcher automatiskt i det virtuella nätverkets region och prenumeration. Den här automatiska aktiveringen påverkar inte dina resurser eller medför en avgift. Kontrollera att Network Watcher inte uttryckligen är inaktiverat för din prenumeration.
  3. Skapa en anslutningsövervakare – Anslut ion Monitor övervakar kommunikationen med jämna mellanrum. Den informerar dig om ändringar i nåbarhet och svarstid. Du kan också kontrollera den aktuella och historiska nätverkstopologin mellan källagenter och målslutpunkter. Källor kan vara virtuella Azure-datorer eller lokala datorer som har en installerad övervakningsagent. Målslutpunkter kan vara Microsoft 365-URL:er, Dynamics 365-URL:er, anpassade URL:er, resurs-ID:n för virtuella Azure-datorer, IPv4, IPv6, FQDN eller valfritt domännamn.
  4. Konfigurera dataanalys och aviseringar – De data som Anslut ion Monitor samlar in lagras på Log Analytics-arbetsytan. Du konfigurerar den här arbetsytan när du skapade anslutningsövervakaren. Övervakningsdata är också tillgängliga i Azure Monitor Metrics. Du kan använda Log Analytics för att behålla dina övervakningsdata så länge du vill. Azure Monitor lagrar mått i endast 30 dagar som standard. Mer information finns i Datainsamling, analys och aviseringar.
  5. Diagnostisera problem i nätverket – Anslut ion Monitor hjälper dig att diagnostisera problem i anslutningsövervakaren och nätverket. Problem i ditt hybridnätverk identifieras av Log Analytics-agenterna som du installerade tidigare. Problem i Azure identifieras av Network Watcher-tillägget. Du kan visa problem i Azure-nätverket i nätverkstopologin. Mer information finns i Diagnostisera problem i nätverket.

Skapa en Anslut ionsövervakare

I anslutningsövervakare som du skapar med hjälp av Anslut ion Monitor kan du lägga till både lokala datorer och virtuella Azure-datorer som källor. Dessa anslutningsövervakare kan också övervaka anslutningen till slutpunkter. Slutpunkterna kan finnas i Azure eller på andra URL:er eller IP-adresser.

Anslut ion Monitor innehåller följande entiteter:

  • Anslut ionsövervakarresurs – en regionspecifik Azure-resurs. Alla följande entiteter är egenskaper för en anslutningsövervakarresurs.
  • Slutpunkt – en källa eller ett mål som deltar i anslutningskontroller. Exempel på slutpunkter är virtuella Azure-datorer, lokala agenter, URL:er och IP-adresser.
  • Testkonfiguration – en protokollspecifik konfiguration för ett test. Baserat på det protokoll du valde kan du definiera port, tröskelvärden, testfrekvens och andra parametrar.
  • Testgrupp – den grupp som innehåller källslutpunkter, målslutpunkter och testkonfigurationer. En anslutningsövervakare kan innehålla mer än en testgrupp.
  • Test – Kombinationen av en källslutpunkt, målslutpunkt och testkonfiguration. Ett test är den mest detaljerade nivån där övervakningsdata är tillgängliga. Övervakningsdata innehåller procentandelen kontroller som misslyckades och returtid (RTT).

Diagram illustrating the key components of Connection Monitor

Du kan skapa en anslutningsövervakare med hjälp av Azure-portalen, ARMClient eller PowerShell.

Så här skapar du en övervakare i Anslut ion Monitor med hjälp av Azure-portalen:

  1. På startsidan för Azure-portalen går du till Network Watcher.

    Opening Network Watcher from the Azure portal home page using the Network Watcher tile

  2. I den vänstra rutan under Övervakning väljer du Anslut ionsövervakare och klickar sedan på Skapa.

    Netwrok Watcher connection monitor creation.

  3. På fliken Grundinställningarsidan Skapa Anslut ion Monitor måste du ange följande information för den nya anslutningsövervakaren:

    Fält Information
    Anslut ion Monitor Name Ange ett namn för anslutningsövervakaren. Använd standardnamnreglerna för Azure-resurser.
    Prenumeration Välj din Azure-prenumeration i listan.
    Region Välj en region för anslutningsövervakaren. Du kan bara välja de virtuella källdatorer som skapas i den här regionen.
    Konfiguration av arbetsyta Välj en anpassad arbetsyta eller standardarbetsyta. Din arbetsyta innehåller dina övervakningsdata.

    Om du vill använda standardarbetsytan markerar du kryssrutan.

    Avmarkera kryssrutan om du vill välja en anpassad arbetsyta. Välj sedan prenumerationen och regionen för din anpassade arbetsyta.

    Create Connection Monitor - Basics tab

  4. Klicka på Nästa: Testa grupper >>.

  5. På nästa sida kan du lägga till källor, testkonfigurationer och mål i dina testgrupper. Varje testgrupp i en anslutningsövervakare innehåller källor och mål som testas på nätverksparametrar. De testas för procentandelen kontroller som misslyckas och tidsåtgången (RTT) för testkonfigurationer.

    Create Connection Monitor - Test groups tab - Add test group

  6. Klicka på Lägg till testgrupp.

    Create Connection Monitor - Test groups tab - New test group listed

  7. Klicka på Nästa: Skapa aviseringar >>.

  8. På fliken Skapa avisering kan du konfigurera aviseringar för tester som misslyckas baserat på de tröskelvärden som anges i testkonfigurationer.

  9. Du måste ange följande information för aviseringen:

    • Skapa avisering (kryssruta): Du kan markera den här kryssrutan för att skapa en måttavisering i Azure Monitor. När du markerar den här kryssrutan aktiveras de andra fälten för redigering. (Obs! Ytterligare avgifter för aviseringen kommer att vara tillämpliga.)
    • Omfång (resurs/hierarki): Värdena här fylls i automatiskt åt dig, baserat på de värden som du angav på fliken Grundläggande.
    • Villkor: Aviseringen skapas med måttet Testresultat (förhandsversion). När resultatet av anslutningsövervakningstestet är ett misslyckat resultat utlöses aviseringsregeln.
    • Åtgärdsgrupp: Du kan ange din e-post direkt eller skapa aviseringar via åtgärdsgrupper. Om du anger din e-post direkt skapas en åtgärdsgrupp med namnet NPM Email ActionGroup. E-post-ID läggs till i åtgärdsgruppen. Om du väljer att använda åtgärdsgrupper måste du välja en tidigare skapad åtgärdsgrupp.
    • Namn på aviseringsregel: Det här är namnet på anslutningsövervakaren och är redan ifyllt åt dig.
    • Aktivera regel när du skapar: Markera den här kryssrutan om du vill aktivera aviseringsregeln baserat på villkoret (standardinställning). Inaktivera den här kryssrutan om du vill skapa regeln utan att aktivera den – kanske i utvärderings- och testsyfte, eller för att du inte är redo att distribuera den ännu.

    Create Connection Monitor - Create Alerts tab

  10. Klicka på Nästa: Granska + skapa >>.

    Review of the connection monitor settings.

  11. Kontrollera informationen och klicka sedan på Skapa.

Trafikanalys

Traffic Analytics är en molnbaserad lösning som ger insyn i användar- och programaktivitet i molnnätverk. Traffic Analytics analyserar NSG-flödesloggar (Network Watcher Network Security Group) för att ge insikter om trafikflödet i ditt Azure-moln och ge omfattande visualiseringar av data som skrivits till NSG-flödesloggar.

Med Traffic Analytics kan du:

  • Visualisera nätverksaktivitet i dina Azure-prenumerationer och identifiera hot spots.
  • Identifiera säkerhetshot mot och skydda nätverket med information som öppna portar, program som försöker komma åt Internet och virtuella datorer som ansluter till oseriösa nätverk.
  • Förstå trafikflödesmönster i Azure-regioner och Internet för att optimera nätverksdistributionen för prestanda och kapacitet.
  • Hitta felkonfigurationer i nätverket som leder till misslyckade anslutningar i nätverket.

Så här fungerar Traffic Analytics

Trafikanalys undersöker de råa NSG-flödesloggarna och samlar in minskade loggar genom att aggregera vanliga flöden mellan samma käll-IP-adress, mål-IP-adress, målport och protokoll. Värd 1 (IP-adress: 10.10.10.10) som kommunicerar med värd 2 (IP-adress: 10.10.20.10), 100 gånger under en period på 1 timme med hjälp av port (till exempel 80) och protokoll (till exempel http). Den reducerade loggen har en post som värd 1 och värd 2 kommunicerade 100 gånger under en period av 1 timme med hjälp av port 80 och protokoll-HTTP, i stället för att ha 100 poster. Minskade loggar utökas med information om geografi, säkerhet och topologi och lagras sedan på en Log Analytics-arbetsyta.

Diagrammet nedan illustrerar dataflödet:

Diagram illustrating Traffic Analytics

De viktigaste komponenterna i Traffic Analytics är:

  • Nätverkssäkerhetsgrupp (NSG) – Innehåller en lista över säkerhetsregler som tillåter eller nekar nätverkstrafik till resurser som är anslutna till ett virtuellt Azure-nätverk. Nätverkssäkerhetsgrupper kan kopplas till undernät, enskilda virtuella datorer (klassisk) eller enskilda nätverkskort (NIC) som är anslutna till virtuella datorer (Resource Manager). Mer information finns i Översikt över nätverkssäkerhetsgrupp.
  • Flödesloggar för nätverkssäkerhetsgrupp (NSG) – Gör att du kan visa information om inkommande och utgående IP-trafik via en nätverkssäkerhetsgrupp. NSG-flödesloggar skrivs i json-format och visar utgående och inkommande flöden per regel, det nätverkskort som flödet gäller för, fem tupplar om flödet (käll-/mål-IP-adress, käll-/målport och protokoll) och om trafiken tilläts eller nekades. Mer information om NSG-flödesloggar finns i NSG-flödesloggar.
  • Log Analytics – en Azure-tjänst som samlar in övervakningsdata och lagrar data på en central lagringsplats. Dessa data kan omfatta händelser, prestandadata eller anpassade data som tillhandahålls via Azure API. När data har samlats in är de tillgängliga för avisering, analys och export. Övervakningsprogram som övervakning av nätverksprestanda och trafikanalys skapas med Hjälp av Azure Monitor-loggar som grund. Mer information finns i Azure Monitor-loggar.
  • Log Analytics-arbetsyta – En instans av Azure Monitor-loggar, där data som rör ett Azure-konto lagras. Mer information om Log Analytics-arbetsytor finns i Skapa en Log Analytics-arbetsyta.
  • Network Watcher – en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i Azure. Du kan aktivera och inaktivera NSG-flödesloggar med Network Watcher. Mer information finns i Network Watcher.

För att analysera trafik måste du ha en befintlig nätverksbevakare eller aktivera en nätverksbevakare i varje region som du har NSG:er som du vill analysera trafik för. Trafikanalys kan aktiveras för NSG:er som finns i någon av de regioner som stöds.

Innan du aktiverar NSG-flödesloggning måste du ha en nätverkssäkerhetsgrupp att logga flöden för. Om du inte har någon nätverkssäkerhetsgrupp måste du skapa en med hjälp av Azure-porten, Azure CLI eller PowerShell.

Om du vill visa Traffic Analytics söker du efter Network Watcher i portalsökningsfältet. I Network Watcher, för att utforska trafikanalys och dess funktioner, väljer du Trafikanalys på den vänstra menyn.

Exempelskärmbilden nedan visar instrumentpanelen För Trafikanalys.

Network Watcher - Traffic Analytics dashboard

Testa dina kunskaper

1.

Vilket av följande påståenden om Network Watcher är korrekt?

2.

Vilket av följande är en komponent i Traffic Analytics?