編輯

共用方式為


網路監看員常見問題 (FAQ)

本文提供 Azure 網路監看員 常見問題的解答。

一般

什麼是網路監看員?

網路監看員提供一套工具來監視、診斷、檢視計量,以及啟用或停用 IaaS (基礎結構即服務) 資源的記錄,其中包括虛擬機器、虛擬網路、應用程式閘道、負載平衡器,以及 Azure 虛擬網路中的其他資源。 此解決方案不適合用來監視 PaaS (平台即服務) 基礎結構或取得 Web/行動分析。

網路監看員提供哪些工具?

網路監看員提供三組主要功能:

  • 監視
    • 拓撲檢視會顯示您虛擬網路中的資源,以及其間的關聯性。
    • 連線監視器可讓您監視 Azure 內外端點之間的連線能力和延遲。
  • 網路診斷工具
    • IP 流量驗證 可讓您偵測虛擬機器層級的流量篩選問題。
    • NSG 診斷 可讓您偵測虛擬機器、虛擬機器擴展集或應用程式閘道層級的流量篩選問題。
    • 下一個躍點可協助您驗證流量路由,並偵測路由問題。
    • 連線疑難排解啟用虛擬機器與 Bastion 主機、應用程式閘道或其他虛擬機器之間的一次性連線能力和延遲檢查。
    • 封包擷取可讓您擷取虛擬機器流量。
    • VPN 疑難排解會在 VPN 閘道和連線上執行多個診斷檢查,以協助偵錯問題。
  • 交通流量

如需更多詳細資訊,請參閱網路監看員概觀

網路監看員定價如何運作?

如需不同網路監看員元件的價格詳細資料,請參閱網路監看員定價

網路監看員目前支援哪些區域且可供使用?

請參閱網路監看員區域,以瞭解支援網路監看員的區域。

需要有哪些權限才能使用網路監看員?

如需網路監看員每個功能所需權限的詳細清單,請參閱使用網路監看員所需的 Azure RBAC 權限

如何啟用網路監看員?

每個訂用帳戶都會自動啟用網路監看員服務。 如果您退出宣告網路監看員自動啟用,則必須手動啟用網路監看員。 如需詳細資訊,請參閱啟用或停用 Azure 網路監看員

什麼是網路監看員部署模型?

網路監看員父資源會在每個區域中透過唯一執行個體來部署。 預設命名格式:NetworkWatcher_RegionName。 範例:NetworkWatcher_centralus 是「美國中部」區域的網路監看員資源。 您可以使用 PowerShellREST API 來自訂網路監看員執行個體的名稱。

為什麼 Azure 每個區域只允許一個網路監看員執行個體?

網路監看員只需要針對每個訂用帳戶的每個區域啟用一次,即可使其功能正常運作。 網路監看員是在該區域中建立網路監看員執行個體,以在區域中啟用。

如何管理網路監看員資源?

網路監看員資源代表網路監看員的後端服務,完全由 Azure 管理。 不過,您可以建立或刪除網路監看員資源,以在特定區域中啟用或刪除它。 如需詳細資訊,請參閱啟用或停用 Azure 網路監看員

我可以將網路監看員執行個體從一個區域移到另一個區域嗎?

否,不支援跨區域移動網路監看員資源或其任何子資源。 如需詳細資訊,請參閱網路資源的移動作業支援

我可以將網路監看員執行個體從某個資源群組移至另一個資源群組嗎?

是,支援在資源群組之間移動網路監看員資源。 如需詳細資訊,請參閱網路資源的移動作業支援

什麼是 NetworkWatcherRG?

NetworkWatcherRG 是針對網路監看員資源自動建立的資源群組。 例如,網路監看員區域執行個體和網路安全性群組流量記錄資源是在 NetworkWatcherRG 資源群組中建立。 您可以使用 PowerShellAzure CLIREST API 來自訂網路監看員資源群組的名稱。

網路監看員是否儲存客戶資料?

除了「連線」監視器服務之外,Azure 網路監看員不會儲存客戶資料。 連線監視器會儲存客戶資料,此資料由網路監看員自動儲存在單一區域中,以滿足區域內的資料落地需求。

網路監看員的資源限制為何?

網路監看員具有下列限制:

資源 限制
每個訂用帳戶在每個區域中的網路監看員執行個體數 1 個 (一個區域中一個執行個體,用以存取區域中的服務)
每個訂用帳戶在每個區域中的連線監視器 100
每個連線監視器的測試群組上限 20
每個連線監視器的來源和目的地上限 100
每個連線監視器的測試設定上限 20
每個訂用帳戶在每個區域中的封包擷取工作階段數 10,000 個 (僅限工作階段數目,不含已儲存的擷取)
每個訂用帳戶的 VPN 疑難排解作業數 1 個 (一次作業數目)

服務可用性與備援能力

網路監看員區域是否具有復原性?

是,網路監看員服務預設為區域復原。

如何將網路監看員服務設定為區域復原?

不需要設定即可啟用區域復原。 預設會為網路監看員資源提供區域復原,並由服務本身加以管理。

網路監看員代理程式

為什麼需要安裝網路監看員代理程式?

任何產生或攔截虛擬機器流量的網路監看員功能都需要網路監看員代理程式。

哪些功能需要網路監看員代理程式?

封包擷取、連線疑難排解及連線監視器功能都需要有網路監看員擴充功能。

什麼是最新版的網路監看員代理程式?

最新版的網路監看員擴充功能為 1.4.3422.1。 如需詳細資訊,請參閱將 Azure 網路監看員擴充功能更新為最新版本

網路監看員代理程式使用哪些連接埠?

  • Linux:網路監看員代理程式會使用從 port 50000 開始的可用連接埠,直到到達 port 65535 為止。
  • Windows:網路監看員代理程式會使用作業系統在查詢可用連接埠時所回應的連接埠。

網路監看員代理程式會與哪些 IP 位址通訊?

網路監看員代理程式需要透過 port 80 輸出 TCP 連線至 169.254.169.254,並透過 port 8037168.63.129.16。 代理程式會使用這些 IP 位址,來與 Azure 平台進行通訊。

連線監視器

連線監視器是否支援傳統 VM?

否,連線監視器不支援傳統 VM。 如需詳細資訊,請參閱將 IaaS 資源從傳統移轉至 Azure Resource Manager

如果我的拓撲未裝飾或我的躍點遺漏資訊,該怎麼辦?

只有在目的地 Azure 資源和連線監視器資源位於相同的區域中時,才能將拓撲從非 Azure 裝飾為 Azure。

如果連線監視器建立失敗,並出現下列錯誤,會發生什麼事:「我們不允許為相同的 VM 建立不同的端點」?

相同的 Azure VM 無法與相同連線監視器中的不同組態搭配使用。 例如,不支援在相同連線監視器中使用具有篩選和沒有篩選的相同 VM。

如果測試失敗原因為「不顯示任何內容」,會發生什麼事?

在拓撲探索或躍點探索期間,會在連線監視器儀表板上顯示的問題。 在某些情況下,對遺失百分比或 RTT 所做的閾值設定已達到,但躍點上找不到任何問題。

將現有的連線監視器 (傳統) 移轉至最新的連線監視器時,如果外部端點測試僅使用 TCP 通訊協定移轉,會發生什麼事?

連線監視器 (傳統) 中沒有通訊協定選取選項。 在連線監視器中測試 (傳統) 只會使用 TCP 通訊協定,這就是為什麼在移轉期間,我們會在新連線監視器的測試中建立 TCP 組態。

搭配連線監視器使用 Azure 監視器和 Arc 代理程式是否有任何限制?

當端點搭配相關聯的 Log Analytics 工作區使用 Azure 監視器和 Arc 代理程式時,目前有區域邊界。 由於這項限制,相關聯的 Log Analytics 工作區必須位於與 Arc 端點相同的區域中。 擷取至個別工作區的資料可以針對單一檢視進行聯集化,請參閱在 Azure 監視器中跨 Log Analytics 工作區、應用程式和資源查詢資料

流程記錄

流量記錄有何用途?

流量記錄可讓您記錄透過網路安全組或 Azure 虛擬網路傳遞之 Azure IP 流量的 5 Tuple 流量資訊。 原始流量記錄會寫入 Azure 儲存體帳戶。 您可以視需要進一步處理、分析、查詢或匯出它們。

流量記錄會影響網路等待時間或效能嗎?

流量記錄資料是在網路流量路徑之外收集,因此不會影響網路輸送量或延遲。 您可以建立或刪除流量記錄,而無需擔憂對網路效能造成任何影響。

NSG 流量記錄與 NSG 診斷之間的差異為何?

網路安全性群組流量記錄會記錄流經網路安全性群組的流量。 另一方面,NSG 診斷會傳回流量所流經的所有網路安全性群組,以及套用至此流量的每個網路安全性群組規則。 使用 NSG 診斷來確認您的網路安全性群組規則是否如預期般套用。

我可以使用網路安全性群組流量記錄來記錄 ESP 和 AH 流量嗎?

否,網路安全性群組流量記錄不支援 ESP 和 AH 通訊協定。

我可以使用流量記錄來記錄 ICMP 流量嗎?

否,網路安全性群組流量記錄和虛擬網路流量記錄不支援 ICMP 通訊協定。

我可以刪除已啟用流量記錄的網路安全性群組嗎?

是。 相關聯的流量記錄資源也會一併刪除。 流量記錄資料將按照流量記錄中設定的保留期限保留在儲存體帳戶中。

是否可以將已啟用流量記錄的網路安全性群組移至不同的資源群組或訂用帳戶?

是,但您必須刪除相關聯的流量記錄資源。 移轉網路安全性群組之後,您可以重新建立流量記錄,以啟用流量記錄。

我可以在與啟用流量記錄的網路安全性群組或虛擬網路不同的訂用帳戶中使用儲存體帳戶嗎?

是的,您可以使用來自不同訂用帳戶的儲存體帳戶,只要該訂用帳戶位於網路安全性群組的相同區域中並且與網路安全性群組或虛擬網路之訂用帳戶的相同 Microsoft Entra 租用戶相關聯即可。

如何使用網路安全性群組流量記錄,搭配防火牆後方的儲存體帳戶?

若要使用防火牆後方的儲存體帳戶,您必須為信任的 Microsoft 服務提供例外狀況,以存取儲存體帳戶:

  1. 在入口網站頂端的搜尋方塊中輸入儲存體帳戶的名稱,以移至儲存體帳戶。
  2. 在 [安全性 + 網路功能]下,選取 [網路],然後選取 [防火牆和虛擬網路]
  3. 在 [公用網路存取] 中,選取 [已從選取的虛擬網路和 IP 位址啟用]。 然後在 [例外狀況] 中,核取 [允許受信任服務清單上的 Azure 服務以存取此儲存體帳戶] 旁的方塊。
  4. 使用儲存體帳戶為您的目標網路安全性群組建立流量記錄,以啟用網路安全性群組流量記錄。 如需詳細資訊,請參閱建立流量記錄

您可以在幾分鐘後檢查儲存體記錄。 您應該會看到已更新的 TimeStamp 或已建立新的 JSON 檔案。

為什麼我在儲存體帳戶活動記錄中看到一些 403 錯誤?

網路監看員有內建後援機制,在連線到防火牆後方的儲存體帳戶時,會使用此機制 (已啟用防火牆)。 它會嘗試使用金鑰連線到儲存體帳戶,如果失敗,則會切換至權杖。 在此情況下,儲存體帳戶活動記錄中會記錄 403 錯誤。

網路監看員會將網路安全性群組流量記錄資料,傳送至使用私人端點啟用的儲存體帳戶嗎?

是,網路監看員支援將網路安全性群組流量記錄資料傳送至使用私人端點啟用的儲存體帳戶。

如何使用網路安全性群組流量記錄,搭配服務端點後方的儲存體帳戶?

網路安全性群組流量記錄與服務端點相容,無需任何額外設定。 如需詳細資訊,請參閱啟用服務端點

流量記錄版本 1 與版本 2 之間的差異為何?

流量記錄版本 2 引進了流量狀態的概念並儲存所傳輸位元組和封包的相關資訊。 如需詳細資訊,請參閱網路安全性群組流量記錄格式

我可以為具有唯讀鎖定的網路安全性群組建立流量記錄嗎?

否,網路安全性群組的唯讀鎖定可防止建立對應的網路安全性群組流量記錄。

我可以為具有無法刪除鎖定的網路安全性群組建立流量記錄嗎?

是,網路安全性群組上的無法刪除鎖定不會防止建立或修改對應的網路安全性群組流量記錄。

如何自動化網路安全性群組流量記錄?

是,您可以透過 Azure Resource Manager 範本 (ARM 範本),將網路安全性群組流量記錄自動化。 如需詳細資訊,請參閱使用 Azure Resource Manager (ARM) 範本設定 NSG 流量記錄