網路監看員常見問題 (FAQ)

本文提供許多關於 Azure 網路監看員之常見問題的答案。

一般

什麼是網路監看員？

網路監看員提供一套工具來監視、診斷、檢視計量，以及啟用或停用 IaaS (基礎結構即服務) 資源的記錄，其中包括虛擬機器、虛擬網路、應用程式閘道、負載平衡器，以及 Azure 虛擬網路中的其他資源。 此解決方案不適合用來監視 PaaS (平台即服務) 基礎結構或取得 Web/行動分析。

網路監看員提供哪些工具？

網路監看員提供三組主要功能：

• 監視
  • 拓撲檢視會顯示您虛擬網路中的資源，以及其間的關聯性。
  • 連線監視器可讓您監視 Azure 內外端點之間的連線能力和延遲。
• 網路診斷工具
  • IP 流量驗證可讓您偵測虛擬機器層級的流量篩選問題。
  • NSG 診斷可讓您偵測虛擬機器、虛擬機器擴展集或應用程式閘道層級的流量篩選問題。
  • 下一個躍點可協助您驗證流量路由，並偵測路由問題。
  • 連線疑難排解啟用虛擬機器與 Bastion 主機、應用程式閘道或其他虛擬機器之間的一次性連線能力和延遲檢查。
  • 封包擷取可讓您擷取虛擬機器流量。
  • VPN 疑難排解會在 VPN 閘道和連線上執行多個診斷檢查，以協助偵錯問題。
• 交通流量
  • 虛擬網路流量記錄和網路安全性群組流量記錄可讓您分別記錄通過虛擬網路和網路安全性群組 (NSG) 的網路流量。
  • 流量分析會處理網路安全性群組流量記錄資料，讓您能夠視覺化、查詢、分析及了解網路流量。

如需更多詳細資訊，請參閱網路監看員概觀。

網路監看員定價如何運作？

如需不同網路監看員元件的價格詳細資料，請參閱網路監看員定價。

網路監看員目前支援哪些區域且可供使用？

請參閱網路監看員區域，以瞭解支援網路監看員的區域。

需要有哪些權限才能使用網路監看員？

如需網路監看員每個功能所需權限的詳細清單，請參閱使用網路監看員所需的 Azure RBAC 權限。

如何啟用網路監看員？

每個訂用帳戶都會自動啟用網路監看員服務。 如果您退出宣告網路監看員自動啟用，則必須手動啟用網路監看員。 如需詳細資訊，請參閱啟用或停用 Azure 網路監看員。

什麼是網路監看員部署模型？

網路監看員父資源會在每個區域中透過唯一執行個體來部署。 預設命名格式：NetworkWatcher_RegionName。 範例：NetworkWatcher_centralus 是「美國中部」區域的網路監看員資源。 您可以使用 PowerShell 或 REST API 來自訂網路監看員執行個體的名稱。

為什麼 Azure 每個區域只允許一個網路監看員執行個體？

網路監看員只需要針對每個訂用帳戶的每個區域啟用一次，即可使其功能正常運作。 網路監看員是在該區域中建立網路監看員執行個體，以在區域中啟用。

如何管理網路監看員資源？

網路監看員資源代表網路監看員的後端服務，完全由 Azure 管理。 不過，您可以建立或刪除網路監看員資源，以在特定區域中啟用或刪除它。 如需詳細資訊，請參閱啟用或停用 Azure 網路監看員。

我可以將網路監看員執行個體從一個區域移到另一個區域嗎？

否，不支援跨區域移動網路監看員資源或其任何子資源。 如需詳細資訊，請參閱網路資源的移動作業支援。

我可以將網路監看員執行個體從某個資源群組移至另一個資源群組嗎？

是，支援在資源群組之間移動網路監看員資源。 如需詳細資訊，請參閱網路資源的移動作業支援。

什麼是 NetworkWatcherRG？

NetworkWatcherRG 是針對網路監看員資源自動建立的資源群組。 例如，網路監看員區域執行個體和網路安全性群組流量記錄資源是在 NetworkWatcherRG 資源群組中建立。 您可以使用 PowerShell、 Azure CLI 或 REST API 來自訂網路監看員資源群組的名稱。

網路監看員是否儲存客戶資料？

除了「連線」監視器服務之外，Azure 網路監看員不會儲存客戶資料。 連線監視器會儲存客戶資料，此資料由網路監看員自動儲存在單一區域中，以滿足區域內的資料落地需求。

網路監看員的資源限制為何？

網路監看員具有下列限制:

資源	限制
每個訂用帳戶在每個區域中的網路監看員執行個體數	1 個 (一個區域中一個執行個體，用以存取區域中的服務)
每個訂用帳戶在每個區域中的連線監視器	100
每個連線監視器的測試群組上限	20
每個連線監視器的來源和目的地上限	100
每個連線監視器的測試設定上限	20
每個訂用帳戶在每個區域中的封包擷取工作階段數	10,000 個 (僅限工作階段數目，不含已儲存的擷取)
每個訂用帳戶的 VPN 疑難排解作業數	1 個 (一次作業數目)

服務可用性與備援能力

網路監看員區域是否具有復原性？

是，網路監看員服務預設為區域復原。

如何將網路監看員服務設定為區域復原？

不需要設定即可啟用區域復原。 預設會為網路監看員資源提供區域復原，並由服務本身加以管理。

網路監看員代理程式

為什麼需要安裝網路監看員代理程式？

任何產生或攔截虛擬機器流量的網路監看員功能都需要網路監看員代理程式。

哪些功能需要網路監看員代理程式？

連線監視器、封包擷取和連線疑難排解 (連線能力測試) 都需要有網路監看員擴充功能。

什麼是最新版的網路監看員代理程式？

最新版的網路監看員擴充功能為 1.4.3614.3。 如需詳細資訊，請參閱將 Azure 網路監看員擴充功能更新為最新版本。

網路監看員代理程式使用哪些連接埠？

• Linux：網路監看員代理程式會使用從 port 50000 開始的可用連接埠，直到到達 port 65535 為止。
• Windows：網路監看員代理程式會使用作業系統在查詢可用連接埠時所回應的連接埠。

網路監看員代理程式會與哪些 IP 位址通訊？

網路監看員代理程式需要透過 port 80 輸出 TCP 連線至 169.254.169.254，並透過 port 8037 至 168.63.129.16。 代理程式會使用這些 IP 位址，來與 Azure 平台進行通訊。

連線監視

連線監視器是否支援傳統 VM？

否，連線監視器不支援傳統 VM。 如需詳細資訊，請參閱將 IaaS 資源從傳統移轉至 Azure Resource Manager。

如果我的拓撲未裝飾或我的躍點遺漏資訊，該怎麼辦？

只有在目的地 Azure 資源和連線監視器資源位於相同的區域中時，才能將拓撲從非 Azure 裝飾為 Azure。

如果連線監視器建立失敗，並出現下列錯誤，會發生什麼事：「我們不允許為相同的 VM 建立不同的端點」？

相同的 Azure VM 無法與相同連線監視器中的不同組態搭配使用。 例如，不支援在相同連線監視器中使用具有篩選和沒有篩選的相同 VM。

如果測試失敗原因為「不顯示任何內容」，會發生什麼事？

在拓撲探索或躍點探索期間，會在連線監視器儀表板上顯示的問題。 在某些情況下，對遺失百分比或 RTT 所做的閾值設定已達到，但躍點上找不到任何問題。

將現有的連線監視器 (傳統) 移轉至最新的連線監視器時，如果外部端點測試僅使用 TCP 通訊協定移轉，會發生什麼事？

連線監視器 (傳統) 中沒有通訊協定選取選項。 在連線監視器中測試 (傳統) 只會使用 TCP 通訊協定，這就是為什麼在移轉期間，我們會在新連線監視器的測試中建立 TCP 組態。

搭配連線監視器使用 Azure 監視器和 Arc 代理程式是否有任何限制？

當端點搭配相關聯的 Log Analytics 工作區使用 Azure 監視器和 Arc 代理程式時，目前有區域邊界。 由於這項限制，相關聯的 Log Analytics 工作區必須位於與 Arc 端點相同的區域中。 擷取至個別工作區的資料可以針對單一檢視進行聯集化，請參閱在 Azure 監視器中跨 Log Analytics 工作區、應用程式和資源查詢資料。

流程記錄

流量記錄有何用途？

流量記錄可讓您記錄透過網路安全組或 Azure 虛擬網路傳遞之 Azure IP 流量的 5 Tuple 流量資訊。 原始流量記錄會寫入 Azure 儲存體帳戶。 您可以視需要進一步處理、分析、查詢或匯出它們。

流量記錄會影響網路等待時間或效能嗎？

流量記錄資料是在網路流量路徑之外收集，因此不會影響網路輸送量或延遲。 您可以建立或刪除流量記錄，而無需擔憂對網路效能造成任何影響。

NSG 流量記錄與 NSG 診斷之間的差異為何？

網路安全性群組流量記錄會記錄流經網路安全性群組的流量。 另一方面，NSG 診斷會傳回流量所流經的所有網路安全性群組，以及套用至此流量的每個網路安全性群組規則。 使用 NSG 診斷來確認您的網路安全性群組規則是否如預期般套用。

我可以使用網路安全性群組流量記錄來記錄 ESP 和 AH 流量嗎？

否，網路安全性群組流量記錄不支援 ESP 和 AH 通訊協定。

我可以使用流量記錄來記錄 ICMP 流量嗎？

否，網路安全性群組流量記錄和虛擬網路流量記錄不支援 ICMP 通訊協定。

我可以刪除已啟用流量記錄的網路安全性群組嗎？

是。 相關聯的流量記錄資源也會一併刪除。 流量記錄資料將按照流量記錄中設定的保留期限保留在儲存體帳戶中。

是否可以將已啟用流量記錄的網路安全性群組移至不同的資源群組或訂用帳戶？

是，但您必須刪除相關聯的流量記錄資源。 移轉網路安全性群組之後，您可以重新建立流量記錄，以啟用流量記錄。

我可以在與啟用流量記錄的網路安全性群組或虛擬網路不同的訂用帳戶中使用儲存體帳戶嗎？

是的，您可以使用來自不同訂用帳戶的儲存體帳戶，只要該訂用帳戶位於網路安全性群組的相同區域中並且與網路安全性群組或虛擬網路之訂用帳戶的相同 Microsoft Entra 租用戶相關聯即可。

如何使用流量記錄搭配防火牆後方的儲存體帳戶？

若要在防火牆後方使用儲存體帳戶，您必須允許受信任的 Azure 服務存取您的儲存體帳戶：

1. 在入口網站頂端的搜尋方塊中輸入儲存體帳戶的名稱，以移至儲存體帳戶。
2. 在 [安全性 + 網路功能]下，選取 [網路]，然後選取 [防火牆和虛擬網路]。
3. 在 [公用網路存取] 中，選取 [已從選取的虛擬網路和 IP 位址啟用]。 然後在 [例外狀況] 中，核取 [允許受信任服務清單上的 Azure 服務以存取此儲存體帳戶] 旁的方塊。
4. 使用儲存體帳戶為您的目標資源建立流量記錄，以啟用流量記錄。 如需詳細資訊，請參閱建立流量記錄。

您可以在幾分鐘後檢查儲存體記錄。 您應該會看到已更新的 TimeStamp 或已建立新的 JSON 檔案。

儲存體帳戶可以有多少個資料保留規則？

目前，儲存體帳戶支援 100 個規則，而每個規則可以容納 10 個 Blob 前置詞。 如果您達到限制，您可以在啟用新的虛擬網路流程記錄時將保留原則設定為 0 ，然後手動新增訂用帳戶的保留規則。

若要建立保留原則訂用帳戶規則，請遵循下列步驟：

1. 在入口網站頂端的搜尋方塊中輸入儲存體帳戶的名稱，以移至儲存體帳戶。
2. 在 資料管理下，選取 生命週期管理。
3. 選取 [+ 新增規則]。
4. 在 [詳細資料] 區段中，選取下列設定：規則範圍：限制 Blob 使用篩選器，Blob 類型：Block Blob，以及 Blob 子類型：Base Blob。
5. 在 [基底 Blob] 區段中，設定您的保留設定。
6. 在 [篩選集] 區段中，將 Blob 前置詞 的格式設定為下列： "insights-logs-flowlogflowevent/flowLogResourceID=/<yourSubscriptionId>_NETWORKWATCHERRG"
7. 選取 ，然後新增。

如果我同時具有流程記錄保留原則規則和訂用帳戶層級規則，會發生什麼情況？

保留期間較短的規則優先。

為什麼我在儲存體帳戶活動記錄中看到一些 403 錯誤？

網路監看員有內建後援機制，在連線到防火牆後方的儲存體帳戶時，會使用此機制 (已啟用防火牆)。 它會嘗試使用金鑰連線到儲存體帳戶，如果失敗，則會切換至權杖。 在此情況下，儲存體帳戶活動記錄中會記錄 403 錯誤。

網路監看員是否可以將流量記錄資料傳送至使用私人端點啟用的儲存體帳戶？

是的，網路監看員支援將流量記錄資料傳送至使用私人端點啟用的儲存體帳戶。

如何使用流量記錄搭配服務端點後方的儲存體帳戶？

流量記錄與服務端點相容，無需任何額外設定。 如需詳細資訊，請參閱啟用服務端點。

流量記錄版本 1 與版本 2 之間的差異為何？

流量記錄版本 2 引進了流量狀態的概念並儲存所傳輸位元組和封包的相關資訊。 如需詳細資訊，請參閱網路安全性群組流量記錄格式。

我可以為具有唯讀鎖定的網路安全性群組建立流量記錄嗎？

否，網路安全性群組的唯讀鎖定可防止建立對應的網路安全性群組流量記錄。

我可以為具有無法刪除鎖定的網路安全性群組建立流量記錄嗎？

是，網路安全性群組上的無法刪除鎖定不會防止建立或修改對應的網路安全性群組流量記錄。

如何自動化網路安全性群組流量記錄？

是，您可以透過 Azure Resource Manager 範本 (ARM 範本)，將網路安全性群組流量記錄自動化。 如需詳細資訊，請參閱使用 Azure Resource Manager (ARM) 範本設定 NSG 流量記錄。

流量分析

我可以為與工作區區域不同的資源啟用流程記錄嗎？

是，虛擬網路和網路安全性群組可以位於與 Log Analytics 工作區區域不同的區域。

可以在單一工作區內設定多個網路安全性群組嗎？

是。

為什麼流量分析不會顯示已啟用流量分析的網路安全性群組的資料？

在流量分析儀錶板的資源選取下拉式清單中，必須選取 虛擬網路 資源的資源群組，而不是虛擬機器或網路安全性群組的資源群組。

為什麼某些資源在流量分析中顯示為「未知」？

流量分析每 6 小時執行一次資源探索掃描，以識別新的 VM、NIC、虛擬網路和子網路。 在最近的探索週期之後建立新的 VM 或 NIC，並在下一次探索之前收集流量資料時，流量分析尚無法將流量與已知資源產生關聯。 因此，這些資源會在分析檢視中暫時標示為 未知 。

我可以限制對流量分析所建立之資料收集端點 （DCE） 資源的公用存取嗎？

是，您可以停用對資料收集端點 （DCE） 資源的公開存取，以封鎖其公用傳入流量。 擷取會繼續運作，而不會將 DCE 資源與 Azure 監視器私人連結範圍產生關聯。

我可以使用現有的工作區嗎？

是。 如果您選取現有的工作區，請確定它已移轉至新的查詢語言。 如果您不想升級工作區，則需要建立新的工作區。 如需 Kusto 查詢語言 （KQL） 的詳細資訊，請參閱 Azure 監視器中的記錄查詢。

我的 Azure 儲存體帳戶可以位於一個訂用帳戶中，而我的 Log Analytics 工作區可以位於不同的訂用帳戶中嗎？

是，您的 Azure 儲存體帳戶可以位於一個訂用帳戶中，而您的 Log Analytics 工作區可以位於不同的訂用帳戶中。

我可以將原始記錄儲存在與用於網路安全性群組或虛擬網路的訂用帳戶不同的訂用帳戶中嗎？

是。 您可以設定流程記錄傳送至位於不同訂用帳戶中的儲存體帳戶，前提是您具有適當的許可權，且儲存體帳戶位於與網路安全性群組 （網路安全性群組流程記錄） 或虛擬網路 （虛擬網路流程記錄） 相同的區域中。 目的地儲存體帳戶必須共用網路安全性群組或虛擬網路的相同 Microsoft Entra 租用戶。

我的流量日誌資源和儲存體帳戶可以位於不同的租戶中嗎？

否。 所有的資源必須在相同的租用戶中，包括網路安全性群組（網路安全性群組的流量記錄）、虛擬網路（虛擬網路的流量記錄）、流量記錄、儲存體帳戶，以及 Log Analytics 工作區（如果已啟用流量分析）。

我可以為儲存體帳戶設定與 Log Analytics 工作區不同的保留原則嗎？

是。

檢視我的流量分析活頁簿時，由於「記憶體不足錯誤」，無法載入我的資料。 如何解決此問題以在工作簿中查看數據？

流量分析活頁簿是由 Log Analytics 查詢提供支援。 如果查詢超出 Log Analytics 的限制，活頁簿可能出現記憶體不足錯誤。 若要改善效能並減少記憶體不足錯誤，使用者可以使用專用 Log Analytics 叢集。

如果我刪除用於流程記錄的儲存體帳戶，是否會遺失儲存在 Log Analytics 工作區中的資料？

否。 如果您刪除用於流程記錄的儲存體帳戶，則儲存在 Log Analytics 工作區中的資料不會受到影響。 您仍然可以在 Log Analytics 工作區中檢視歷程記錄資料 （某些計量會受到影響），但流量分析將不再處理任何新的流量記錄，直到您更新流程記錄以使用不同的儲存體帳戶為止。

如果我因為「找不到」錯誤而無法設定流量分析的網路安全性群組，該怎麼辦？

選取支援的區域。 如果您選取不支援的區域，您會收到「找不到」錯誤。 如需詳細資訊，請參閱 流量分析支援的區域。

如果我在流程記錄頁面中收到狀態：「載入失敗」，該怎麼辦？

為了讓流量記錄正常運作，您必須註冊 Microsoft.Insights 提供者。 如果您不確定 Microsoft.Insights 是否已為訂用帳戶註冊提供者，請參閱管理 NSG 流程記錄中如何註冊的指示。

我配置了解決方案。 為什麼我在儀表板上看不到任何內容？

儀表板最多可能需要 30 分鐘才能首次顯示報告。 解決方案必須先彙總足夠的資料，以便得出有意義的見解，然後產生報告。

如果我收到此訊息，該怎麼辦：「在選取的時間間隔內，我們找不到此工作區的任何資料。 嘗試更改時間間隔或選擇不同的工作區。

請嘗試下列選項：

• 變更上方列中的時間間隔。
• 在上方列中選取不同的 Log Analytics 工作區。
• 如果最近啟用了流量分析，請嘗試在 30 分鐘後存取流量分析。

如果我收到此訊息：「第一次分析您的 NSG 流量記錄。」會怎麼辦? 此過程可能需要 20-30 分鐘才能完成。 過一段時間再回來查看。

您可能會看到此訊息，因為：

• 流量分析最近啟用，可能尚未彙總足夠的數據來得出有意義的見解。
• 您使用的是免費版本的 Log Analytics 工作區，而且超出配額限制。 您可能需要使用容量較大的工作區。

嘗試針對上一個問題建議的解決方案。 如果問題仍然存在，請在 Microsoft Q&A 中提出問題。

如果我收到此訊息，該怎麼辦：「看起來我們有資源資料（拓撲）但沒有流量資訊。 欲了解更多信息，請單擊此處查看資源數據並參閱常見問題解答。

您會在儀表板上看到資源資訊;不過，不存在與流量相關的統計資料。 資料可能不存在，因為資源之間沒有通訊流程。 等待 60 分鐘，然後重新檢查狀態。 如果問題持續發生，而且您確定資源之間的通訊流程存在，請在 Microsoft Q&A 中提出疑慮。

流量分析如何定價？

流量分析已計量。 計量是以服務對原始流程記錄資料的處理為基礎。 如需詳細資訊，請參閱網路監看員定價。
在 Log Analytics 工作區中擷取的增強型記錄最多可免費保留前 31 天 （如果在工作區上啟用 Microsoft Sentinel，則為 90 天）。 如需詳細資訊，請參閱 Azure 監視器計量價格。

流量分析處理資料的頻率如何？

流量分析的預設處理間隔為 60 分鐘，不過，您可以選取以 10 分鐘為間隔的加速處理。 如需詳細資訊，請參閱 流量分析中的資料彙總。

使用我的工作區建立的其他資源有哪些？

流量分析會在與工作區相同的資源群組中建立和管理資料收集規則（DCR）和資料收集端點（DCE）資源，並以NWTA為前綴。 如果您對這些資源進行任何操作，流量分析可能無法如預期般運作。 如需詳細資訊，請參閱 流量分析中的資料彙總。 如需詳細資訊，請參閱 Azure 監視器中的資料收集規則 和 Azure 監視 器中的資料收集端點。

我可以將鎖定套用至流量分析所建立的 DCE 和 DCR 資源嗎？

不建議將鎖定套用至流量分析所建立的 DCR 和 DCE 資源，因為這些資源是由服務管理。 刪除相關流程記錄時，不會清除鎖定的資源。 如果您對這些資源進行任何操作，流量分析可能無法如預期般運作。 如需詳細資訊，請參閱 流量分析中的資料彙總。

流量分析如何判斷 IP 是惡意的？

流量分析依賴 Microsoft 內部威脅情報系統將 IP 視為惡意。 這些系統會使用不同的遙測來源，例如 Microsoft 產品和服務、Microsoft 數位犯罪部門（DCU）、Microsoft 安全性回應中心（MSRC）和外部來源，並在其上建構智能資訊。 其中一些數據是 Microsoft 內部數據。 如果有已知 IP 被標示為惡意，請建立支援票證以了解詳細資料。

如何設定流量分析資料的警示？

流量分析沒有內建的警示支援。 不過，由於流量分析資料會儲存在 Log Analytics 中，因此您可以撰寫自訂查詢，並在其中設定警示。 執行下列步驟:

• 您可以在流量分析中使用 Log Analytics 連結。
• 使用 流量分析結構描述 來撰寫查詢。
• 選取 [ 新增警示規則 ] 以建立警示。
• 請參閱 建立新的警示規則 以建立警示。

已啟用網路安全性邊界的 Log Analytics 工作區是否支援流量分析？

否，目前不支援。 如果 Log Analytics 工作區部署在網路安全性周邊後方，流量分析將無法從中擷取資料。

網路診斷工具

應用程式閘道的網路診斷工具是否有任何限制？

是。 連線疑難排解和 NSG 診斷不支援私人應用程式閘道部署。 如需詳細資訊，請參閱私人應用程式閘道部署。

本文提供許多關於 Azure 網路監看員之常見問題的答案。

網路監看員提供一套工具來監視、診斷、檢視計量，以及啟用或停用 IaaS (基礎結構即服務) 資源的記錄，其中包括虛擬機器、虛擬網路、應用程式閘道、負載平衡器，以及 Azure 虛擬網路中的其他資源。 此解決方案不適合用來監視 PaaS (平台即服務) 基礎結構或取得 Web/行動分析。

網路監看員提供三組主要功能：

• 監視
  • 拓撲檢視會顯示您虛擬網路中的資源，以及其間的關聯性。
  • 連線監視器可讓您監視 Azure 內外端點之間的連線能力和延遲。
• 網路診斷工具
  • IP 流量驗證可讓您偵測虛擬機器層級的流量篩選問題。
  • NSG 診斷可讓您偵測虛擬機器、虛擬機器擴展集或應用程式閘道層級的流量篩選問題。
  • 下一個躍點可協助您驗證流量路由，並偵測路由問題。
  • 連線疑難排解啟用虛擬機器與 Bastion 主機、應用程式閘道或其他虛擬機器之間的一次性連線能力和延遲檢查。
  • 封包擷取可讓您擷取虛擬機器流量。
  • VPN 疑難排解會在 VPN 閘道和連線上執行多個診斷檢查，以協助偵錯問題。
• 交通流量
  • 虛擬網路流量記錄和網路安全性群組流量記錄可讓您分別記錄通過虛擬網路和網路安全性群組 (NSG) 的網路流量。
  • 流量分析會處理網路安全性群組流量記錄資料，讓您能夠視覺化、查詢、分析及了解網路流量。

如需更多詳細資訊，請參閱網路監看員概觀。

如需不同網路監看員元件的價格詳細資料，請參閱網路監看員定價。

請參閱網路監看員區域，以瞭解支援網路監看員的區域。

如需網路監看員每個功能所需權限的詳細清單，請參閱使用網路監看員所需的 Azure RBAC 權限。

每個訂用帳戶都會自動啟用網路監看員服務。 如果您退出宣告網路監看員自動啟用，則必須手動啟用網路監看員。 如需詳細資訊，請參閱啟用或停用 Azure 網路監看員。

網路監看員父資源會在每個區域中透過唯一執行個體來部署。 預設命名格式：NetworkWatcher_RegionName。 範例：NetworkWatcher_centralus 是「美國中部」區域的網路監看員資源。 您可以使用 PowerShell 或 REST API 來自訂網路監看員執行個體的名稱。

網路監看員只需要針對每個訂用帳戶的每個區域啟用一次，即可使其功能正常運作。 網路監看員是在該區域中建立網路監看員執行個體，以在區域中啟用。

網路監看員資源代表網路監看員的後端服務，完全由 Azure 管理。 不過，您可以建立或刪除網路監看員資源，以在特定區域中啟用或刪除它。 如需詳細資訊，請參閱啟用或停用 Azure 網路監看員。

否，不支援跨區域移動網路監看員資源或其任何子資源。 如需詳細資訊，請參閱網路資源的移動作業支援。

是，支援在資源群組之間移動網路監看員資源。 如需詳細資訊，請參閱網路資源的移動作業支援。

NetworkWatcherRG 是針對網路監看員資源自動建立的資源群組。 例如，網路監看員區域執行個體和網路安全性群組流量記錄資源是在 NetworkWatcherRG 資源群組中建立。 您可以使用 PowerShell、 Azure CLI 或 REST API 來自訂網路監看員資源群組的名稱。

除了「連線」監視器服務之外，Azure 網路監看員不會儲存客戶資料。 連線監視器會儲存客戶資料，此資料由網路監看員自動儲存在單一區域中，以滿足區域內的資料落地需求。

網路監看員具有下列限制:

資源	限制
每個訂用帳戶在每個區域中的網路監看員執行個體數	1 個 (一個區域中一個執行個體，用以存取區域中的服務)
每個訂用帳戶在每個區域中的連線監視器	100
每個連線監視器的測試群組上限	20
每個連線監視器的來源和目的地上限	100
每個連線監視器的測試設定上限	20
每個訂用帳戶在每個區域中的封包擷取工作階段數	10,000 個 (僅限工作階段數目，不含已儲存的擷取)
每個訂用帳戶的 VPN 疑難排解作業數	1 個 (一次作業數目)

是，網路監看員服務預設為區域復原。

不需要設定即可啟用區域復原。 預設會為網路監看員資源提供區域復原，並由服務本身加以管理。

任何產生或攔截虛擬機器流量的網路監看員功能都需要網路監看員代理程式。

連線監視器、封包擷取和連線疑難排解 (連線能力測試) 都需要有網路監看員擴充功能。

最新版的網路監看員擴充功能為 1.4.3614.3。 如需詳細資訊，請參閱將 Azure 網路監看員擴充功能更新為最新版本。

• Linux：網路監看員代理程式會使用從 port 50000 開始的可用連接埠，直到到達 port 65535 為止。
• Windows：網路監看員代理程式會使用作業系統在查詢可用連接埠時所回應的連接埠。

網路監看員代理程式需要透過 port 80 輸出 TCP 連線至 169.254.169.254，並透過 port 8037 至 168.63.129.16。 代理程式會使用這些 IP 位址，來與 Azure 平台進行通訊。

否，連線監視器不支援傳統 VM。 如需詳細資訊，請參閱將 IaaS 資源從傳統移轉至 Azure Resource Manager。

只有在目的地 Azure 資源和連線監視器資源位於相同的區域中時，才能將拓撲從非 Azure 裝飾為 Azure。

相同的 Azure VM 無法與相同連線監視器中的不同組態搭配使用。 例如，不支援在相同連線監視器中使用具有篩選和沒有篩選的相同 VM。

在拓撲探索或躍點探索期間，會在連線監視器儀表板上顯示的問題。 在某些情況下，對遺失百分比或 RTT 所做的閾值設定已達到，但躍點上找不到任何問題。

連線監視器 (傳統) 中沒有通訊協定選取選項。 在連線監視器中測試 (傳統) 只會使用 TCP 通訊協定，這就是為什麼在移轉期間，我們會在新連線監視器的測試中建立 TCP 組態。

當端點搭配相關聯的 Log Analytics 工作區使用 Azure 監視器和 Arc 代理程式時，目前有區域邊界。 由於這項限制，相關聯的 Log Analytics 工作區必須位於與 Arc 端點相同的區域中。 擷取至個別工作區的資料可以針對單一檢視進行聯集化，請參閱在 Azure 監視器中跨 Log Analytics 工作區、應用程式和資源查詢資料。

流量記錄可讓您記錄透過網路安全組或 Azure 虛擬網路傳遞之 Azure IP 流量的 5 Tuple 流量資訊。 原始流量記錄會寫入 Azure 儲存體帳戶。 您可以視需要進一步處理、分析、查詢或匯出它們。

流量記錄資料是在網路流量路徑之外收集，因此不會影響網路輸送量或延遲。 您可以建立或刪除流量記錄，而無需擔憂對網路效能造成任何影響。

網路安全性群組流量記錄會記錄流經網路安全性群組的流量。 另一方面，NSG 診斷會傳回流量所流經的所有網路安全性群組，以及套用至此流量的每個網路安全性群組規則。 使用 NSG 診斷來確認您的網路安全性群組規則是否如預期般套用。

否，網路安全性群組流量記錄不支援 ESP 和 AH 通訊協定。

否，網路安全性群組流量記錄和虛擬網路流量記錄不支援 ICMP 通訊協定。

是。 相關聯的流量記錄資源也會一併刪除。 流量記錄資料將按照流量記錄中設定的保留期限保留在儲存體帳戶中。

是，但您必須刪除相關聯的流量記錄資源。 移轉網路安全性群組之後，您可以重新建立流量記錄，以啟用流量記錄。

是的，您可以使用來自不同訂用帳戶的儲存體帳戶，只要該訂用帳戶位於網路安全性群組的相同區域中並且與網路安全性群組或虛擬網路之訂用帳戶的相同 Microsoft Entra 租用戶相關聯即可。

若要在防火牆後方使用儲存體帳戶，您必須允許受信任的 Azure 服務存取您的儲存體帳戶：

1. 在入口網站頂端的搜尋方塊中輸入儲存體帳戶的名稱，以移至儲存體帳戶。
2. 在 [安全性 + 網路功能]下，選取 [網路]，然後選取 [防火牆和虛擬網路]。
3. 在 [公用網路存取] 中，選取 [已從選取的虛擬網路和 IP 位址啟用]。 然後在 [例外狀況] 中，核取 [允許受信任服務清單上的 Azure 服務以存取此儲存體帳戶] 旁的方塊。
4. 使用儲存體帳戶為您的目標資源建立流量記錄，以啟用流量記錄。 如需詳細資訊，請參閱建立流量記錄。

您可以在幾分鐘後檢查儲存體記錄。 您應該會看到已更新的 TimeStamp 或已建立新的 JSON 檔案。

目前，儲存體帳戶支援 100 個規則，而每個規則可以容納 10 個 Blob 前置詞。 如果您達到限制，您可以在啟用新的虛擬網路流程記錄時將保留原則設定為 0 ，然後手動新增訂用帳戶的保留規則。

若要建立保留原則訂用帳戶規則，請遵循下列步驟：

1. 在入口網站頂端的搜尋方塊中輸入儲存體帳戶的名稱，以移至儲存體帳戶。
2. 在 資料管理下，選取 生命週期管理。
3. 選取 [+ 新增規則]。
4. 在 [詳細資料] 區段中，選取下列設定：規則範圍：限制 Blob 使用篩選器，Blob 類型：Block Blob，以及 Blob 子類型：Base Blob。
5. 在 [基底 Blob] 區段中，設定您的保留設定。
6. 在 [篩選集] 區段中，將 Blob 前置詞 的格式設定為下列： "insights-logs-flowlogflowevent/flowLogResourceID=/<yourSubscriptionId>_NETWORKWATCHERRG"
7. 選取 ，然後新增。

保留期間較短的規則優先。

網路監看員有內建後援機制，在連線到防火牆後方的儲存體帳戶時，會使用此機制 (已啟用防火牆)。 它會嘗試使用金鑰連線到儲存體帳戶，如果失敗，則會切換至權杖。 在此情況下，儲存體帳戶活動記錄中會記錄 403 錯誤。

是的，網路監看員支援將流量記錄資料傳送至使用私人端點啟用的儲存體帳戶。

流量記錄與服務端點相容，無需任何額外設定。 如需詳細資訊，請參閱啟用服務端點。

流量記錄版本 2 引進了流量狀態的概念並儲存所傳輸位元組和封包的相關資訊。 如需詳細資訊，請參閱網路安全性群組流量記錄格式。

否，網路安全性群組的唯讀鎖定可防止建立對應的網路安全性群組流量記錄。

是，網路安全性群組上的無法刪除鎖定不會防止建立或修改對應的網路安全性群組流量記錄。

是，您可以透過 Azure Resource Manager 範本 (ARM 範本)，將網路安全性群組流量記錄自動化。 如需詳細資訊，請參閱使用 Azure Resource Manager (ARM) 範本設定 NSG 流量記錄。

是，虛擬網路和網路安全性群組可以位於與 Log Analytics 工作區區域不同的區域。

是。

在流量分析儀錶板的資源選取下拉式清單中，必須選取 虛擬網路 資源的資源群組，而不是虛擬機器或網路安全性群組的資源群組。

流量分析每 6 小時執行一次資源探索掃描，以識別新的 VM、NIC、虛擬網路和子網路。 在最近的探索週期之後建立新的 VM 或 NIC，並在下一次探索之前收集流量資料時，流量分析尚無法將流量與已知資源產生關聯。 因此，這些資源會在分析檢視中暫時標示為 未知 。

是，您可以停用對資料收集端點 （DCE） 資源的公開存取，以封鎖其公用傳入流量。 擷取會繼續運作，而不會將 DCE 資源與 Azure 監視器私人連結範圍產生關聯。

是。 如果您選取現有的工作區，請確定它已移轉至新的查詢語言。 如果您不想升級工作區，則需要建立新的工作區。 如需 Kusto 查詢語言 （KQL） 的詳細資訊，請參閱 Azure 監視器中的記錄查詢。

是，您的 Azure 儲存體帳戶可以位於一個訂用帳戶中，而您的 Log Analytics 工作區可以位於不同的訂用帳戶中。

是。 您可以設定流程記錄傳送至位於不同訂用帳戶中的儲存體帳戶，前提是您具有適當的許可權，且儲存體帳戶位於與網路安全性群組 （網路安全性群組流程記錄） 或虛擬網路 （虛擬網路流程記錄） 相同的區域中。 目的地儲存體帳戶必須共用網路安全性群組或虛擬網路的相同 Microsoft Entra 租用戶。

否。 所有的資源必須在相同的租用戶中，包括網路安全性群組（網路安全性群組的流量記錄）、虛擬網路（虛擬網路的流量記錄）、流量記錄、儲存體帳戶，以及 Log Analytics 工作區（如果已啟用流量分析）。

是。

流量分析活頁簿是由 Log Analytics 查詢提供支援。 如果查詢超出 Log Analytics 的限制，活頁簿可能出現記憶體不足錯誤。 若要改善效能並減少記憶體不足錯誤，使用者可以使用專用 Log Analytics 叢集。

否。 如果您刪除用於流程記錄的儲存體帳戶，則儲存在 Log Analytics 工作區中的資料不會受到影響。 您仍然可以在 Log Analytics 工作區中檢視歷程記錄資料 （某些計量會受到影響），但流量分析將不再處理任何新的流量記錄，直到您更新流程記錄以使用不同的儲存體帳戶為止。

選取支援的區域。 如果您選取不支援的區域，您會收到「找不到」錯誤。 如需詳細資訊，請參閱 流量分析支援的區域。

為了讓流量記錄正常運作，您必須註冊 Microsoft.Insights 提供者。 如果您不確定 Microsoft.Insights 是否已為訂用帳戶註冊提供者，請參閱管理 NSG 流程記錄中如何註冊的指示。

儀表板最多可能需要 30 分鐘才能首次顯示報告。 解決方案必須先彙總足夠的資料，以便得出有意義的見解，然後產生報告。

請嘗試下列選項：

• 變更上方列中的時間間隔。
• 在上方列中選取不同的 Log Analytics 工作區。
• 如果最近啟用了流量分析，請嘗試在 30 分鐘後存取流量分析。

您可能會看到此訊息，因為：

• 流量分析最近啟用，可能尚未彙總足夠的數據來得出有意義的見解。
• 您使用的是免費版本的 Log Analytics 工作區，而且超出配額限制。 您可能需要使用容量較大的工作區。

嘗試針對上一個問題建議的解決方案。 如果問題仍然存在，請在 Microsoft Q&A 中提出問題。

您會在儀表板上看到資源資訊;不過，不存在與流量相關的統計資料。 資料可能不存在，因為資源之間沒有通訊流程。 等待 60 分鐘，然後重新檢查狀態。 如果問題持續發生，而且您確定資源之間的通訊流程存在，請在 Microsoft Q&A 中提出疑慮。

流量分析已計量。 計量是以服務對原始流程記錄資料的處理為基礎。 如需詳細資訊，請參閱網路監看員定價。
在 Log Analytics 工作區中擷取的增強型記錄最多可免費保留前 31 天 （如果在工作區上啟用 Microsoft Sentinel，則為 90 天）。 如需詳細資訊，請參閱 Azure 監視器計量價格。

流量分析的預設處理間隔為 60 分鐘，不過，您可以選取以 10 分鐘為間隔的加速處理。 如需詳細資訊，請參閱 流量分析中的資料彙總。

流量分析會在與工作區相同的資源群組中建立和管理資料收集規則（DCR）和資料收集端點（DCE）資源，並以NWTA為前綴。 如果您對這些資源進行任何操作，流量分析可能無法如預期般運作。 如需詳細資訊，請參閱 流量分析中的資料彙總。 如需詳細資訊，請參閱 Azure 監視器中的資料收集規則 和 Azure 監視 器中的資料收集端點。

不建議將鎖定套用至流量分析所建立的 DCR 和 DCE 資源，因為這些資源是由服務管理。 刪除相關流程記錄時，不會清除鎖定的資源。 如果您對這些資源進行任何操作，流量分析可能無法如預期般運作。 如需詳細資訊，請參閱 流量分析中的資料彙總。

流量分析依賴 Microsoft 內部威脅情報系統將 IP 視為惡意。 這些系統會使用不同的遙測來源，例如 Microsoft 產品和服務、Microsoft 數位犯罪部門（DCU）、Microsoft 安全性回應中心（MSRC）和外部來源，並在其上建構智能資訊。 其中一些數據是 Microsoft 內部數據。 如果有已知 IP 被標示為惡意，請建立支援票證以了解詳細資料。

流量分析沒有內建的警示支援。 不過，由於流量分析資料會儲存在 Log Analytics 中，因此您可以撰寫自訂查詢，並在其中設定警示。 執行下列步驟:

• 您可以在流量分析中使用 Log Analytics 連結。
• 使用 流量分析結構描述 來撰寫查詢。
• 選取 [ 新增警示規則 ] 以建立警示。
• 請參閱 建立新的警示規則 以建立警示。

否，目前不支援。 如果 Log Analytics 工作區部署在網路安全性周邊後方，流量分析將無法從中擷取資料。

是。 連線疑難排解和 NSG 診斷不支援私人應用程式閘道部署。 如需詳細資訊，請參閱私人應用程式閘道部署。