Övning – Felsöka ett nätverk med hjälp av mått och loggar i Network Watcher

  • 30 minuter

I Azure Network Watcher kan du använda mått och loggar till att diagnostisera komplicerade konfigurationsproblem.

Anta att du har två virtuella datorer (VM) som inte kan kommunicera. Du vill samla in så mycket information som möjligt för att diagnostisera problemet.

I den här enheten felsöker du med hjälp av mått och loggar i Network Watcher. Du kommer sedan att använda NSG-flödesloggarna till att diagnostisera anslutningsproblemet mellan de två virtuella datorerna.

Registrera Microsoft Insights-providern

Providern Microsoft.Insights krävs för NSG-flödesloggning. Slutför följande steg för att registrera dig för Microsoft.Insights-providern.

  1. Logga in på Azure-portalen och på katalogen som har åtkomst till den prenumeration du har skapat resurser i.

  2. I Azure-portalen söker du efter, väljer Prenumerationer och väljer sedan din prenumeration. Fönstret Prenumeration visas.

  3. Välj Resursproviders under Inställningar på prenumerationsmenyn. Fönstret Resursproviders för din prenumeration visas.

  4. I filterfältet anger du microsoft.insights.

  5. Om statusen för microsoft.insights-providern är NotRegistered väljer du Registrera i kommandofältet.

    Screenshot showing the registered Microsoft.Insights provider.

Skapa ett lagringskonto

Nu ska du skapa ett lagringskonto för NSG-flödesloggarna.

  1. I menyn i Azure-portalen eller på sidan Start väljer du Skapa en resurs.

  2. På resursmenyn väljer du Lagring och söker sedan efter och väljer Lagringskonto. Fönstret Lagringskonto visas.

  3. Välj Skapa. Fönstret Skapa lagringskonto visas.

  4. På fliken Grundläggande anger du följande värden för varje inställning.

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration
    Resursgrupp Välj din resursgrupp
    Instansinformation
    Lagringskontonamn Skapa ett unikt namn
    Region Välj samma region som för din resursgrupp

  5. Välj Nästa: Fliken Avancerat och kontrollera att följande värde har angetts.

    Inställning Värde
    Blob Storage
    Åtkomstnivå Frekvent (standard)

  6. Välj Granska + skapa och välj Skapa när valideringen godkänns.

Skapa en Log Analytics-arbetsyta

Visa NSG-flödesloggarna genom att använda Log Analytics.

  1. På Menyn i Azure-portalen eller på sidan Start söker du efter och väljer Log Analytics-arbetsytor. Fönstret Log Analytics-arbetsytor visas.

  2. I kommandofältet väljer du Skapa. Fönstret Skapa Log Analytics-arbetsyta visas.

  3. På fliken Grundläggande anger du följande värden för varje inställning.

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration
    Resursgrupp Välj din resursgrupp
    Instansinformation
    Name testsworkspace
    Region Välj samma region som för din resursgrupp

  4. Välj Granska + Skapa och när valideringen har godkänts väljer du Skapa.

Aktivera flödesloggar

Om du vill konfigurera flödesloggar måste du ställa in att nätverkssäkerhetsgruppen ansluter till lagringskontot och sedan lägga till trafikanalys för nätverkssäkerhetsgruppen.

  1. Välj Alla resurser på menyn i Azure-portalen. Välj sedan nätverkssäkerhetsgruppen MyNsg .

  2. På Menyn MyNsg går du till Övervakning och väljer NSG-flödesloggar. MyNsg | Fönstret NSG-flödesloggar visas.

  3. Välj Skapa. Fönstret Skapa en flödeslogg visas.

  4. På fliken Grundläggande väljer eller anger du följande värden.

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration i listrutan.
    + Välj resurs I fönstret Välj nätverkssäkerhetsgrupp söker du efter och väljer MyNsg och Bekräfta.
    Instansinformation
    Prenumeration Välj din prenumeration i listrutan.
    Lagringskonton Välj ditt unika lagringskontonamn.
    Kvarhållning (dagar) 1

  5. Välj Nästa: Analys och välj eller ange sedan följande värden.

    Inställning Värde
    Version av flödesloggar Version 2
    Trafikanalys Aktivera Trafikanalys är markerat.
    Bearbetningsintervall för Trafikanalys Var 10:e minut
    Prenumeration Välj din prenumeration i listrutan.
    Log Analytics-arbetsyta Välj testworkspace i listrutan.

  6. Välj Granska + skapa.

  7. Välj Skapa.

  8. När distributionen är slutförd, välj Gå till resurs.

Generera testtrafik

Nu är du redo att generera viss nätverkstrafik mellan virtuella datorer och fånga upp den i flödesloggen.

  1. På resursmenyn väljer du Alla resurser och sedan FrontendVM.

  2. I kommandofältet väljer du Anslut, sedan RDP och sedan Ladda ned RDP-fil. Om du ser en varning om fjärranslutningens utgivare väljer du Anslut.

  3. Starta filen FrontendVM.rdp och välj Anslut.

  4. När du tillfrågas om dina autentiseringsuppgifter väljer du Fler alternativ och loggar in med användarnamnet azureuser och lösenordet du angav när du skapade den virtuella datorn.

  5. När du tillfrågas om ett säkerhetscertifikat väljer du Ja.

  6. Om du uppmanas att göra det i RDP-sessionen kan du bara identifiera enheten om den finns i ett privat nätverk.

  7. Öppna en PowerShell-prompt och kör följande kommando.

    Test-NetConnection 10.10.2.4 -port 80

TCP-anslutningstestet misslyckas efter några sekunder.

Diagnostisera problemet

Nu ska du använda Log Analytics till att visa NSG-flödesloggarna.

  1. På resursmenyn i Azure-portalen väljer du Alla tjänster, nätverk och sedan Network Watcher. Fönstret Network Watcher visas.

  2. I resursmenyn går du till Loggar och väljer Trafikanalys. Network Watcher | Fönstret Trafikanalys visas.

  3. I listrutan FlowLog-prenumerationer väljer du din prenumeration.

  4. I listrutan Log Analytics-arbetsyta väljer du testworkspace.

  5. Använd de olika vyerna till att diagnostisera problemet som förhindrar kommunikationen från den virtuella datorn i klientdelen till den virtuella datorn i serverdelen.

Åtgärda problemet

En NSG-regel blockerar inkommande trafik till serverdelsundernätet överallt via portarna 80, 443 och 3389 i stället för att bara blockera inkommande trafik från Internet. Nu ska vi konfigurera om den här regeln.

  1. På resursmenyn i Azure-portalen väljer du Alla resurser och sedan MyNsg i listan.

  2. På Menyn MyNsg går du till Inställningar, väljer Inkommande säkerhetsregler och väljer sedan MyNSGRule. Fönstret MyNSGRule visas.

  3. I listrutan Källa väljer du Tjänsttagg och i listrutan Källtjänsttagg väljer du Internet.

  4. I kommandofältet MyNSGRule väljer du Spara för att uppdatera säkerhetsregeln.

Testa anslutningen igen

Anslutningar via port 80 ska nu fungera utan problem.

  1. I RDP-klienten ansluter du till FrontendVM. Kör följande kommando i PowerShell-prompten.

    Test-NetConnection 10.10.2.4 -port 80

Anslutningstestet bör nu lyckas.