你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

监视虚拟 WAN - 数据参考

本文提供了对所收集日志和指标数据的引用,用于分析虚拟 WAN 的性能和可用性。 如需监视虚拟 WAN 的数据的说明和其他上下文,请参阅监视虚拟 WAN

指标

虚拟中心路由器指标

以下指标适用于虚拟中心内的虚拟中心路由器:

指标 说明
处理的虚拟中心数据 给定时间段内有多少流量遍历虚拟中心路由器的数据。 只有以下流使用虚拟中心路由器:VNet 到 VNet(同一中心和中心间)和 VPN/ExpressRoute 分支到 VNet(interhub)。 如果虚拟中心使用路由意向进行保护,则这些流会遍历防火墙而不是中心路由器。

PowerShell 步骤

若要进行查询,请使用以下示例 PowerShell 命令。 示例下方解释了必填字段。

步骤 1:

$MetricInformation = Get-AzMetric -ResourceId "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/VirtualHubs/<VirtualHubName>" -MetricName "VirtualHubDataProcessed" -TimeGrain 00:05:00 -StartTime 2022-2-20T01:00:00Z -EndTime 2022-2-20T01:30:00Z -AggregationType Sum

步骤 2:

$MetricInformation.Data
  • 资源 ID - 可在 Azure 门户找到虚拟中心的资源 ID。 导航到 vWAN 中的“虚拟中心”页,然后选择“基本信息”下的“JSON 视图”。

  • 指标名称 - 指要查询的指标的名称,在这种情况下称为“VirtualHubDataProcessed”。 此指标显示虚拟中心路由器在中心的选定时间段处理的所有数据。

  • 时间粒度 - 指想要查看聚合的频率。 在当前命令中,每 5 分钟会看到一个选定的聚合单元。 可以选择 - 5 分钟/15 分钟/30 分钟/1 小时/6 小时/12 小时和 1 天。

  • 开始时间和结束时间 - 此时间基于 UTC。 请确保在输入这些参数时输入 UTC 值。 如果未使用这些参数,则默认显示过去一小时的数据。

  • 总和聚合类型 - 此聚合类型显示所选时间段内遍历虚拟中心路由器的字节总数。 MaxMin 聚合类型没有意义。

站点到站点 VPN 网关指标

虚拟 WAN 站点到站点 VPN 网关提供以下指标:

隧道数据包丢弃指标

指标 说明
隧道传出数据包丢弃计数 隧道丢弃的传出数据包计数。
隧道传入数据包丢弃计数 隧道丢弃的传入数据包计数。
隧道 NAT 数据包丢包数 丢包类型和 NAT 规则列出的隧道丢弃 NAT 处理数据包数
隧道流出 TS 不匹配数据包丢弃 因隧道的流量选择器不匹配而导致的传出数据包丢弃计数。
隧道流入 TS 不匹配数据包丢弃 因隧道的流量选择器不匹配而导致的传入数据包丢弃计数。

IPSec 指标

指标 描述
隧道 MMSA 计数 创建或删除的 MMSA 数。
隧道 QMSA 计数 创建或删除的 IPSEC QMSA 数。

路由指标

指标 描述
BGP 对等方状态 每个对等机和每个实例的 BGP 连接状态。
播发的 BGP 路由数 每个对等机和每个实例播发的路由数。
获知的 BGP 路由数 每个对等机和每个实例学习的路由数。
VNET 地址前缀计数 网关使用/播发的 VNET 地址前缀数。

可以通过选择“应用拆分”并选择首选值来查看每个对等机和实例的指标。

流量流指标

指标 说明
网关带宽 网关站点到站点的平均聚合带宽(字节/秒)。
隧道带宽 隧道带宽平均值(字节/秒)。
隧道流出字节 隧道的传出字节数。
隧道流出数据包 隧道的传出数据包计数。
隧道流入字节 隧道的传入字节数。
隧道流入数据包 隧道的传入数据包计数。
隧道峰值 PPS 过去一分钟内每个链接连接每秒的数据包数。
隧道流计数 每个链接连接创建非重复流的数量。

点到站点 VPN 网关指标

虚拟 WAN 点到站点 VPN 网关提供以下指标:

指标 说明
网关 P2S 带宽 网关点到站点的平均聚合带宽(字节/秒)。
P2S 连接计数 网关的点到站点连接计数。 为确保在 Azure Monitor 中查看准确的指标,请选择“Sum”作为“P2S 连接计数”的“聚合类型”。 如果按实例拆分,还可以选择“最大值”。
用户 VPN 路由计数 VPN 网关上配置的用户 VPN 路由数。 此指标可以分解为“静态”路由和”动态“路由。

Azure ExpressRoute 网关指标

Azure ExpressRoute 网关提供以下指标:

指标 说明
BitsInPerSecond 每秒通过 ExpressRoute 流入 Azure 的位数,可以针对特定连接进一步拆分。
BitsOutPerSecond 每秒通过 ExpressRoute 流出 Azure 的位数,可以针对特定连接进一步拆分。
每秒接收的位数 在 ExpressRoute 网关上每秒接收到的总位数。
CPU 使用率 ExpressRoute 网关的 CPU 使用率。
每秒的数据包数 在 ExpressRoute 网关上每秒接收到的总包数。
播发到对等机的路由计数 ExpressRoute 网关播发到对等机的路由计数。
从对等机获知的路由计数 ExpressRoute 网关从对等机获知的路由计数。
路由更改频率 ExpressRoute 网关中的路由更改频率。

诊断日志

除非另有说明,否则以下诊断日志可用。

站点到站点 VPN 网关诊断

虚拟 WAN 站点到站点 VPN 网关提供以下诊断:

指标 说明
网关诊断日志 特定于网关的诊断,例如运行状况、配置、服务更新以及其他诊断。
隧道诊断日志 这是与 IPsec 隧道相关的日志,例如站点到站点 IPsec 隧道的连接和断开连接事件、协商的 SA、断开连接原因以及其他诊断。 对于连接和断开连接事件,这些日志还显示相应本地 VPN 设备的远程 IP 地址。
路由诊断日志 这是与静态路由、BGP、路由更新以及其他诊断的事件相关的日志。
IKE 诊断日志 用于 IPsec 连接的特定于 IKE 的诊断。

点到站点 VPN 网关诊断

虚拟 WAN 点到站点 VPN 网关提供以下诊断:

指标 说明
网关诊断日志 特定于网关的诊断,例如运行状况、配置、服务更新以及其他诊断。
IKE 诊断日志 用于 IPsec 连接的特定于 IKE 的诊断。
P2S 诊断日志 这是用户 VPN P2S(点到站点)配置和客户端事件。 它们包括客户端连接/断开连接、VPN 客户端地址分配以及其他诊断。

ExpressRoute 网关诊断

在 Azure 虚拟 WAN中,可以通过诊断设置将 ExpressRoute 网关指标导出为日志。

Log Analytics 示例查询

如果选择将诊断数据发送到 Log Analytics 工作区,则可以使用类似于 SQL 的查询(如以下示例)来检查数据。 有关详细信息,请参阅 Log Analytics 查询语言

以下示例包含一个查询,用于获取站点到站点路由诊断。

AzureDiagnostics | where Category == "RouteDiagnosticLog"

根据本文上一部分中报告的表,根据 = =之后替换以下值。

  • "GatewayDiagnosticLog"
  • "IKEDiagnosticLog"
  • "P2SDiagnosticLog”
  • "TunnelDiagnosticLog"
  • "RouteDiagnosticLog"

若要执行查询,必须打开配置为接收诊断日志的 Log Analytics 资源,然后在窗格左侧的“常规”选项卡下选择“日志”:

Screenshot of Log Analytics Query samples.

对于 Azure 防火墙,提供了一个工作簿以简化日志分析。 使用图形界面,无需手动编写任何 Log Analytics 查询即可调查诊断数据。

活动日志

默认情况下会收集活动日志条目,可在 Azure 门户中查看它们。 可以使用 Azure 活动日志(以前称为操作日志和审核日志)查看提交到 Azure 订阅的所有操作。

你可以单独查看活动日志或将其路由到 Azure Monitor 日志,然后在其中使用 Log Analytics 执行更加复杂的查询。

有关活动日志条目架构的详细信息,请参阅活动日志架构

架构

有关顶级诊断日志架构的详细说明,请参阅 Azure 诊断日志支持的服务、架构和类别

通过 Log Analytics 查看任何指标时,输出包含以下列:

类型 说明
TimeGrain 字符串 PT1M(每分钟推送一次指标值)
Count real 通常等于 2(每个 MSEE 每分钟推送一个指标值)
最低配置 real 两个 MSEE 推送的两个指标值中的最小值
最大值 real 两个 MSEE 推送的两个指标值中的最大值
平均值 real 等于 (最小值 + 最大值)/2
总计 real 来自两个 MSEE 的两个指标值的总和(所查询指标的需关注的主要值)

监视受保护的中心(Azure 防火墙)

如果选择使用Azure 防火墙保护虚拟中心,此处提供了相关的日志和指标:Azure 防火墙日志和指标。 可以使用 Azure 防火墙日志和指标监视受保护的中心。 此外,可以使用活动日志来审核对 Azure 防火墙资源执行的操作。 对于保护并转换为安全中心的每个 Azure 虚拟 WAN,都会在该中心所在的资源组中创建一个显式防火墙资源对象。

Screenshot shows a Firewall resource in the vWAN hub resource group.

后续步骤