你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure 网络观察程序是什么？

Azure 网络观察程序提供一套工具，用于监视、诊断 Azure IaaS（基础结构即服务）资源，查看其指标，以及为其启用或禁用日志。 使用网络观察程序可以监视和修复 IaaS 产品的网络运行状况，例如虚拟机 (VM)、虚拟网络 (VNet)、应用程序网关、负载均衡器等。网络观察程序不是为 PaaS 监视或 Web 分析设计或专用的。

网络观察程序由三组主要的工具和功能组成：

• 监视
• 网络诊断工具
• 交通

注意

在订阅中创建或更新虚拟网络时，在虚拟网络的区域中自动启用网络观察程序。 自动启用网络观察程序对资源或相关费用没有任何影响。 有关详细信息，请参阅启用或禁用网络观察程序。

监视

网络观察程序提供了两种监视工具，有助于查看和监视资源：

• 拓扑
• 连接监视器

拓扑

拓扑提供了整个网络的可视化效果，便于理解网络配置。 它提供了一个交互式界面，用于查看 Azure 中的资源及其关系，涵盖多个订阅、资源组和位置。 有关详细信息，请参阅拓扑概述。

连接监视器

连接监视器为 Azure 和混合终结点提供端到端连接监视。 它有助于了解网络基础结构中各种终结点之间的网络性能。 有关详细信息，请参阅连接监视器概述和监视两个虚拟机之间的网络通信。

网络诊断工具

网络观察程序提供了七种网络诊断工具，可帮助排查和诊断网络问题：

• IP 流验证
• NSG 诊断
• 下一跃点
• 有效安全规则
• 连接故障排除
• 数据包捕获
• VPN 故障排除

IP 流验证

IP 流验证可用于在虚拟机级别检测流量筛选问题。 它检查是允许还是拒绝来自 IP 地址（IPv4 或 IPv6 地址）的数据包。 它还会告知允许或拒绝流量的安全规则。 有关详细信息，请参阅IP 流验证概述和诊断虚拟机网络流量筛选器问题。

NSG 诊断

NSG 诊断可用于在虚拟机、虚拟机规模集或应用程序网关级别检测流量筛选问题。 它检查是允许还是拒绝来自 IP 地址、IP 前缀或服务标记的数据包。 它会告知允许或拒绝流量的安全规则。 它还允许新增具有更高优先级的安全规则，从而允许或拒绝流量。 有关详细信息，请参阅NSG 诊断概述和诊断网络安全规则。

下一跃点

下一个跃点允许检测路由问题。 它会检查流量是否正确路由到预期目标。 它提供有关特定目标 IP 地址的下一个跃点类型、IP 地址和路由表 ID 的信息。 有关详细信息，请参阅下一个跃点概述和诊断虚拟机网络路由问题。

有效安全规则

有效安全规则允许查看应用于网络接口的有效安全规则。 它显示应用到网络接口、网络接口所在的子网和两者的聚合的所有安全规则。 有关详细信息，请参阅有效安全规则概述和查看安全规则的详细信息。

连接故障排除

使用连接故障排除可以测试虚拟机、虚拟机规模集、应用程序网关或 Bastion 主机与虚拟机、FQDN、URI 或 IPv4 地址之间的连接。 该项测试返回的信息与使用连接监视器功能返回的信息类似，但测试的是某个时间点的连接，而不是像连接监视器那样监视各时间段的连接。 有关详细信息，请参阅连接故障排除概述和对 Azure 网络观察程序连接进行故障排除。

数据包捕获

数据包捕获允许远程创建数据包捕获会话以跟踪进出虚拟机 (VM) 或虚拟机规模集的流量。 有关详细信息，请参阅数据包捕获和管理虚拟机的数据包捕获。

VPN 故障排除

使用VPN 故障排除可以对虚拟网络网关及其连接进行故障排除。 有关详细信息，请参阅VPN 故障排除概述和诊断网络之间的通信问题。

交通

网络观察程序提供了两种流量工具，有助于记录和可视化网络流量：

• 流日志
• 流量分析

流日志

流日志允许记录有关 Azure IP 流量的信息并将数据存储在 Azure 存储中。 可以记录流经网络安全组或 Azure 虚拟网络的 IP 流量。 有关详细信息，请参阅：

• NSG 流日志和管理 NSG 流日志。
• VNet 流日志（预览版）和管理 VNet 流日志。

流量分析

流量分析提供流日志数据的丰富可视化效果。 有关流量分析的详细信息，请参阅流量分析和使用 Azure Policy 管理流量分析。

使用情况 + 配额

网络观察程序的“使用情况 + 配额”功能概述了订阅和区域内部署的网络资源，包括每个资源的当前使用情况和相应的限制。 有关详细信息，请参阅网络限制，了解每个订阅每个区域每个 Azure 网络资源的限制。 此信息在规划未来的资源部署时非常有用，因为如果在订阅或区域内达到资源限制，无法创建更多资源。

网络观察程序限制

网络观察程序具有以下限制：

资源	限制
每个订阅在每个区域的网络观察程序实例数量	1 个（一个区域中有一个实例用于支持访问该区域中的服务）
每个订阅在每个区域的连接监视器数量	100
每个连接监视器的最大测试组数量	20
每个连接监视器的最大源和目标数量	100
每个连接监视器的最大测试配置数量	20
每个订阅在每个区域的数据包捕获会话数量	10,000 个（只是会话数，不是保存的捕获数）
每个订阅的 VPN 故障排除操作数量	1 个（同一时间的操作数量）

定价

有关定价详细信息，请参阅网络观察程序定价。

服务级别协议 (SLA)

有关服务级别协议的详细信息，请参阅联机服务的服务级别协议 (SLA)。

常见问题 (FAQ)

要获取有关网络观察程序的最常见问题解答，请参阅Azure 网络观察程序常见问题解答 (FAQ)。

新增功能

要查看最新的网络观察程序功能更新，请参阅服务更新。

相关内容

• 若要开始使用网络观察程序诊断工具，请参阅快速入门：诊断虚拟机网络流量筛选器问题。
• 若要了解有关网络观察程序的详细信息，请参阅培训模块：Azure 网络观察程序简介。