網路監看員 常見問題 （FAQ）

網路監看員 提供一套工具來監視、診斷、檢視計量，以及啟用或停用 IaaS（基礎結構即服務）資源的記錄，其中包括虛擬機、虛擬網路、應用程式閘道、負載平衡器，以及 Azure 虛擬網路中的其他資源。 這不是監視 PaaS（平臺即服務）基礎結構或取得 Web/行動分析的解決方案。

網路監看員 提供三個主要功能集：

• 監視
  • 拓撲檢視 會顯示虛擬網路中的資源及其之間的關聯性。
  • 連線 ion 監視器可讓您監視 Azure 內外端點之間的連線和延遲。
• 網路診斷工具
  • IP 流量驗證 可讓您偵測虛擬機器層級的流量篩選問題。
  • NSG 診斷 可讓您偵測虛擬機器、虛擬機器擴展集或應用程式閘道層級的流量篩選問題。
  • 下一個躍點 可協助您驗證流量路由並偵測路由問題。
  • 連線 疑難解答可啟用虛擬機與 Bastion 主機、應用程式閘道或其他虛擬機之間的一次性連線和延遲檢查。
  • 封包擷取可讓您擷取 虛擬機流量。
  • VPN 疑難解答 會在 VPN 閘道和連線上執行多個診斷檢查，以協助偵錯問題。
• 交通流量
  • 網路安全組流量記錄和虛擬網路流量記錄可讓您分別記錄通過網路安全組 （NSG） 和虛擬網路的網路流量。
  • 使用分析會 處理網路安全組流量記錄數據，讓您能夠可視化、查詢、分析及瞭解您的網路流量。

如需詳細資訊，請參閱 網路監看員 概觀。

如需不同 網路監看員元件的價格詳細數據，請參閱 網路監看員 定價。

請參閱 網路監看員 區域，以了解支援 網路監看員 的區域。

如需每個 網路監看員 功能所需許可權的詳細清單，請參閱使用 網路監看員 所需的 Azure RBAC 許可權。

每個訂用帳戶都會自動啟用 網路監看員 服務。 如果您退出退出 網路監看員 自動啟用，則必須手動啟用 網路監看員。 如需詳細資訊，請參閱啟用或停用 Azure 網路監看員。

網路監看員 父資源是以每個區域中的唯一實例部署。 預設命名格式：NetworkWatcher_RegionName。 範例：NetworkWatcher_centralus是「美國中部」區域的 網路監看員 資源。 您可以使用 PowerShell 或 REST API 自定義 網路監看員 實例的名稱。

網路監看員 只需要針對每個訂用帳戶的每個區域啟用一次，其功能才能運作。 網路監看員 是在區域中建立 網路監看員 實例，以在區域中啟用。

網路監看員 資源代表由 Azure 完全管理的 網路監看員 後端服務。 不過，您可以建立或刪除 網路監看員 資源，以在特定區域中啟用或停用它。 如需詳細資訊，請參閱啟用或停用 Azure 網路監看員。

否，不支援跨區域移動 網路監看員 資源或其任何子資源。 如需詳細資訊，請參閱 移動網路資源的作業支援。

是，支援在資源群組之間移動 網路監看員 資源。 如需詳細資訊，請參閱 移動網路資源的作業支援。

NetworkWatcherRG 是針對 網路監看員 資源自動建立的資源群組。 例如，網路監看員 區域實例和網路安全組流量記錄資源是在 NetworkWatcherRG 資源群組中建立。 您可以使用 PowerShell、Azure CLI 或 REST API 自訂 網路監看員 資源群組的名稱。

Azure 網路監看員 不會儲存客戶數據，但 連線 監視器除外。 連線 ion 監視器會儲存客戶數據，該數據是由 網路監看員 自動儲存在單一區域中，以滿足區域內的數據落地需求。

網路監看員 具有下列限制：

是，根據預設，網路監看員 服務具有區域復原性。

不需要任何設定，才能啟用區域復原功能。 網路監看員 資源的區域復原功能預設為可用，並由服務本身管理。

任何產生或攔截虛擬機流量的 網路監看員 功能都需要 網路監看員 代理程式。

封包擷取、連線 疑難解答和 連線 監視功能需要有 網路監看員 擴充功能。

最新版的網路監看員擴充功能為 1.4.3206.1。 如需詳細資訊，請參閱將 Azure 網路監看員 擴充功能更新為最新版本。

• Linux：網路監看員 代理程式會使用從 開始port 50000到到達 port 65535的可用埠。
• Windows：網路監看員 代理程式會在查詢可用的埠時，使用操作系統回應的埠。

網路監看員 代理程式需要透過和168.63.129.16透過 port 80port 8037的169.254.169.254輸出 TCP 連線。 代理程式會使用這些IP位址與 Azure 平台通訊。

否，連線監視器不支援傳統 VM。 如需詳細資訊，請參閱 將 IaaS 資源從傳統移轉至 Azure Resource Manager。

只有在目的地 Azure 資源和連線監視器資源位於相同區域中時，才能將拓撲從非 Azure 裝飾到 Azure。

相同的 Azure VM 無法與相同連線監視器中的不同組態搭配使用。 例如，不支援在相同連線監視器中使用相同 VM 搭配篩選，且沒有篩選條件。

在拓撲探索或躍點探索期間，會在聯機監視器儀錶板上顯示的問題。 在某些情況下，達到 %遺失或 RTT 的臨界值，但在躍點上找不到任何問題。

線上監視器 （傳統） 中沒有通訊協定選擇選項。 在連線監視器中測試 （傳統） 只會使用 TCP 通訊協定，這就是為什麼在移轉期間，我們會在新連線監視器的測試中建立 TCP 組態。

當端點搭配相關聯的Log Analytics工作區使用 Azure 監視器和 Arc 代理程式時，目前有區域界限。 由於這項限制，相關聯的Log Analytics工作區必須位於與Arc端點相同的區域中。 擷取到個別工作區的數據可以針對單一檢視進行聯集化，請參閱 在 Azure 監視器中跨 Log Analytics 工作區、應用程式和資源查詢數據。

流量記錄可讓您記錄透過網路安全組或 Azure 虛擬網路傳遞之 Azure IP 流量的 5 Tuple 流量資訊。 原始流程記錄會寫入 Azure 記憶體帳戶。 您可以視需要進一步處理、分析、查詢或匯出它們。

流量記錄數據會收集到網路流量的路徑之外，因此不會影響網路輸送量或延遲。 您可以建立或刪除流量記錄，而不會對網路效能造成任何影響。

網路安全組流量會記錄流經網路安全組的記錄流量。 另一方面，NSG 診斷會傳回流量周遊的所有網路安全組，以及套用至此流量的每個網路安全組的規則。 使用 NSG 診斷來確認您的網路安全組規則是否如預期般套用。

否，網路安全組流量記錄不支援ESP和AH通訊協定。

否，網路安全組流量記錄和虛擬網路流量記錄不支援ICMP通訊協定。

是。 相關聯的流量記錄資源也會一併刪除。 流量記錄數據會保留在記憶體帳戶中，以在流量記錄中設定的保留期間。

是，但您必須刪除相關聯的流量記錄資源。 移轉網路安全組之後，您可以重新建立流程記錄，以啟用流量記錄。

是，只要此訂用帳戶位於網路安全組的相同區域，並與網路安全組或虛擬網路訂用帳戶的相同 Microsoft Entra 租使用者相關聯，您就可以使用來自不同訂用帳戶的記憶體帳戶。

若要在防火牆後方使用記憶體帳戶，您必須為受信任的 Microsoft 服務提供例外狀況，才能存取您的記憶體帳戶：

1. 在入口網站頂端的搜尋方塊中輸入記憶體帳戶的名稱，以移至記憶體帳戶。
2. 在 [ 安全性 + 網络功能] 底下，選取 [ 網络]，然後選取 [防火牆和虛擬網络]。
3. 在 [公用網络存取] 中，選取 [從選取的虛擬網络和IP 位址啟用]。 然後在 [例外狀況] 底下，核取 [允許受信任服務清單上的 Azure 服務存取此記憶體帳戶] 旁的方塊。
4. 使用記憶體帳戶為您的目標網路安全組建立流量記錄，以啟用網路安全組流量記錄。 如需詳細資訊，請參閱 建立流程記錄。

您可以在幾分鐘后檢查記憶體記錄。 您應該會看到已更新的 TimeStamp 或已建立新的 JSON 檔案。

網路監看員 具有內建後援機制，其會在防火牆後方連線到記憶體帳戶時使用（已啟用防火牆）。 它會嘗試使用密鑰連線到記憶體帳戶，如果失敗，則會切換至令牌。 在此情況下，記憶體帳戶活動記錄中會記錄 403 錯誤。

是，網路監看員 支援將網路安全組流量記錄數據傳送至已啟用私人端點的記憶體帳戶。

網路安全組流量記錄與服務端點相容，而不需要任何額外的設定。 如需詳細資訊，請參閱 啟用服務端點。

流程記錄第 2 版引進了流程狀態的概念，並儲存傳輸之位元組和封包的相關信息。 如需詳細資訊，請參閱 網路安全組流量記錄格式。

否， 網路安全組的唯讀 鎖定可防止建立對應的網路安全組流量記錄。

是， 網路安全組上的無法刪除 鎖定不會防止建立或修改對應的網路安全組流量記錄。

是，您可以透過 Azure Resource Manager 範本（ARM 範本）將網路安全組流量記錄自動化。 如需詳細資訊，請參閱 使用 Azure Resource Manager （ARM） 範本設定 NSG 流量記錄。