如果受監視的應用程式或基礎結構位於防火牆後方,您必須設定網路存取以允許與 Azure 監視器 服務的通訊。
Azure 監視器會使用 服務標籤,以提供更可靠且動態的方式來管理網路存取。 服務標籤會定期更新,並可透過 API 擷取,以確保您有最新的可用 IP 位址資訊,而不需要手動更新。
如果您使用 Azure 網路安全組,您可以使用 Azure 網路服務標籤來管理存取權。 針對混合式或內部部署資源,您可以將對等的IP位址清單下載為 JSON 檔案,這會每周重新整理。 若要涵蓋所有必要的例外狀況,請使用服務標籤 ActionGroup、 ApplicationInsightsAvailability和 AzureMonitor。 如需詳細資訊,請參閱 Azure 服務標籤觀。
備註
- 所有 Application Insights 流量都代表輸出流量,但可用性監視和 Webhook 動作群組除外,這些群組也需要輸入防火牆規則。
- 服務卷標不會取代客戶 Azure 資源與其他服務標籤資源之間跨租用戶通訊所需的驗證/驗證檢查。
傳出埠
您必須在伺服器的防火牆中開啟一些傳出埠,以允許ApplicationInsights SDK或Application Insights代理程式將數據傳送至入口網站。
| 目標 | 主機名稱 | 類型 | 港口 |
|---|---|---|---|
| 遙測 | dc.applicationinsights.azure.comdc.applicationinsights.microsoft.comdc.services.visualstudio.com{region}.in.applicationinsights.azure.com |
全球 全球 全球 區域性 |
443 |
| 即時計量 | live.applicationinsights.azure.comrt.applicationinsights.microsoft.comrt.services.visualstudio.com{region}.livediagnostics.monitor.azure.com範例: {region}westus2 |
全球 全球 全球 區域性 |
443 |
備註
Application Insights 擷取端點僅限 IPv4。
Azure Government 會使用最上層網域
.us,.com而不是 。 比較常見 Azure 服務的 Azure 公共和 Azure 政府端點。
Application Insights 代理程式
只有在進行變更時,才需要 Application Insights 代理程式設定。
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| 設定 | management.core.windows.net |
443 |
| 設定 | management.azure.com |
443 |
| 設定 | login.windows.net |
443 |
| 設定 | login.microsoftonline.com |
443 |
| 設定 | secure.aadcdn.microsoftonline-p.com |
443 |
| 設定 | auth.gfx.ms |
443 |
| 設定 | login.live.com |
443 |
| 安裝 |
globalcdn.nuget.org、、 packages.nuget.org 、api.nuget.org/v3/index.jsonnuget.org、api.nuget.org、dc.services.vsallin.net |
443 |
可用性測試
如需可用性測試的詳細資訊,請參閱 私人可用性測試。
記錄查詢 API 端點
從 2025 年 7 月 1 日起,Log Analytics 會針對安全通訊強制執行 TLS 1.2 或更高版本。 如需詳細資訊,請參閱 保護傳輸中的記錄數據。
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| Application Insights | api.applicationinsights.ioapi1.applicationinsights.ioapi2.applicationinsights.ioapi3.applicationinsights.ioapi4.applicationinsights.ioapi5.applicationinsights.ioapi.applicationinsights.azure.com*.api.applicationinsights.azure.com |
443 |
| Log Analytics | api.loganalytics.io*.api.loganalytics.ioapi.loganalytics.azure.comapi.monitor.azure.com*.api.monitor.azure.com |
443 |
| Azure 數據總管 | ade.loganalytics.ioade.applicationinsights.ioadx.monitor.azure.com*.adx.monitor.azure.com*.adx.applicationinsights.azure.comadx.applicationinsights.azure.comadx.loganalytics.azure.com*.adx.loganalytics.azure.com |
443 |
記錄擷取 API 端點
從 2026 年 3 月 1 日起,記錄擷取會強制 TLS 1.2 或更高版本進行安全通訊。 如需詳細資訊,請參閱 保護傳輸中的記錄數據。
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| 記錄擷取 API | *.ingest.monitor.azure.comprod.la.ingest.monitor.core.windows.NET*.prod.la.ingestion.msftcloudes.comprod.la.ingestion.msftcloudes.com*.prod.la.ingest.monitor.core.windows.NET |
443 |
Application Insights 分析
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| CDN (內容傳遞網路) | applicationanalytics.azureedge.net |
80,443 |
| 媒體CDN | applicationanalyticsmedia.azureedge.net |
80,443 |
Application Insights 小組擁有 *.applicationinsights.io 網域。
Log Analytics 入口網站
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| Portal | portal.loganalytics.io |
443 |
Log Analytics 小組擁有 *.loganalytics.io 網域。
Application Insights Azure 入口網站 擴充功能
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| Application Insights 擴充功能 | stamp2.app.insightsportal.visualstudio.com |
80,443 |
| Application Insights 擴充功能 CDN | insightsportal-prod2-cdn.aisvc.visualstudio.cominsightsportal-prod2-asiae-cdn.aisvc.visualstudio.cominsightsportal-cdn-aimon.applicationinsights.io |
80,443 |
Application Insights SDK (軟體開發工具包)
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| Application Insights JS SDK CDN | az416426.vo.msecnd.netjs.monitor.azure.com |
80,443 |
動作群組 Webhook
您可以使用 Get-AzNetworkServiceTag PowerShell 命令來查詢動作群組所使用的 IP 位址清單。
動作群組服務標籤
管理來源IP位址的變更可能很耗時。 使用 服務標籤 就不需要更新您的設定。 服務標籤代表來自特定 Azure 服務的一組 IP 位址首碼。 Microsoft會管理IP位址,並在位址變更時自動更新服務標籤,這樣就不需要更新動作群組的網路安全性規則。
在 [Azure 服務] 底下的 [Azure 入口網站] 中,搜尋網路安全組。
選取 [ 新增 ] 並建立網路安全組:
- 新增資源組名,然後輸入 實例詳細數據 資訊。
- 選取 [檢閱 + 建立],然後選取 [建立]。
移至 [ 資源群組],然後選取您建立的網路安全組:
- 選取 [輸入安全性規則]。
- 選取 ,然後新增。
新視窗會在右窗格中開啟:
- 在 [來源] 底下,輸入服務標籤。
- 在 [來源服務卷標] 底下,輸入 ActionGroup。
- 選取 ,然後新增。
適用於 .NET 的 Application Insights Profiler
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| 代理人 | agent.azureserviceprofiler.net*.agent.azureserviceprofiler.netprofiler.monitor.azure.com |
443 |
| Portal | gateway.azureserviceprofiler.netdataplane.diagnosticservices.azure.com |
443 |
| 儲存體 | *.core.windows.net |
443 |
快照偵錯工具
備註
適用於 .NET 和快照集調試程式的 Application Insights Profiler 共用相同的一組 IP 位址。
| 目標 | 主機名稱 | 港口 |
|---|---|---|
| 代理人 | agent.azureserviceprofiler.net*.agent.azureserviceprofiler.netsnapshot.monitor.azure.com |
443 |
| Portal | gateway.azureserviceprofiler.netdataplane.diagnosticservices.azure.com |
443 |
| 儲存體 | *.core.windows.net |
443 |
常見問題
本節提供常見問題的解答。
我可以監視內部網路網頁伺服器嗎?
是的,但您必須允許流量透過防火牆例外狀況或 Proxy 重新導向來傳送至我們的服務。
請參閱 Azure 監視器 所使用的 IP 位址,以檢閱我們完整的服務和 IP 位址清單。
如何? 將流量從我的伺服器重新路由傳送至內部網路上的閘道?
藉由覆寫設定中的端點,將來自伺服器的流量路由傳送至內部網路上的閘道。
Endpoint如果設定中沒有屬性,這些類別會使用 Azure 監視器所使用 IP 位址中記載的預設值。
您的閘道應將流量路由傳送至端點的基位址。 在您的群組態中,將預設值取代為 http://<your.gateway.address>/<relative path>。
如果我的產品不支援服務標籤,該怎麼辦?
如果您的產品不支援服務標籤,請採取下列步驟以確保完整的連線能力:
- 檢查 可下載的 Azure IP 範圍和服務標籤 JSON 檔案中最新的 IP 範圍,以每周更新。
- 檢閱封鎖要求的防火牆記錄,並視需要更新您的允許清單。
如需詳細資訊,請參閱 Azure 服務標籤觀。