建立、變更、啟用、停用或刪除虛擬網路流量記錄

2025-06-12

虛擬網路流量記錄是 Azure 網路監看員的一項功能，可讓您記錄流經 Azure 虛擬網路的 IP 流量資訊。如需虛擬網路流量記錄的詳細資訊，請參閱虛擬網路流量記錄概觀。

在本文中，您將瞭解如何使用 Azure 入口網站、PowerShell 和 Azure CLI 來建立、變更、啟用、停用或刪除虛擬網路流量記錄。

先決條件

具有有效訂閱的 Azure 帳戶。免費建立帳戶。
見解提供者。如需詳細資訊，請參閱註冊 Insights 提供者。
虛擬網路。如果您需要建立虛擬網路，請參閱使用 Azure 入口網站建立虛擬網路。
一個 Azure 儲存體帳戶。如果您需要建立儲存體帳戶，請參閱使用 Azure 入口網站建立儲存體帳戶。

註冊數據洞察提供商

您必須註冊 Microsoft.Insights 提供者，才能成功記錄流經虛擬網路的流量。如果您不確定是否已註冊 Microsoft.Insights 提供者，請遵循下列步驟在 Azure 入口網站中檢查其狀態：

在入口網站頂端的搜尋方塊中，輸入訂用帳戶。從搜尋結果，選取 [訂用帳戶]。
在訂用帳戶中，選取您想要啟用提供者的 Azure 訂用帳戶。
在 [設定] 下，選取 [資源提供者]。
在篩選方塊中輸入「深入解析」。
確認顯示的提供者狀態為 [已註冊]。如果狀態為 [NotRegistered]，請選取 [Microsoft.Insights] 提供者，然後選取 [註冊]。

您必須註冊 Microsoft.Insights 提供者，才能成功記錄虛擬網路中的流量。如果您不確定是否已註冊 Microsoft.Insights 提供者，請使用 Register-AzResourceProvider 進行註冊。

# Register Microsoft.Insights provider.
Register-AzResourceProvider -ProviderNamespace Microsoft.Insights

您必須註冊 Microsoft.Insights 提供者，才能成功記錄虛擬網路中的流量。如果您不確定是否已註冊 Microsoft.Insights 提供者，請使用 az provider register 進行註冊。

# Register Microsoft.Insights provider.
az provider register --namespace Microsoft.Insights

建立流量記錄

為您的虛擬網路、子網路或網路介面建立流量記錄。此流量記錄會儲存在 Azure 儲存體帳戶中。

在入口網站頂端的搜尋方塊中，輸入網路監看員。從搜尋結果中，選取 [網路監看員]。
在 [記錄] 底下，選取 [流量記錄]。
在 [網路監看員 | 流量記錄] 中，選取 [+ 建立] 或 [建立流量記錄] 藍色按鈕。

在 [建立流量記錄] 的 [基本資料] 索引標籤上，輸入或選取下列值：

設定	價值觀
專案詳細資料
訂閱	針對您要記錄的虛擬網路，選取其 Azure 訂用帳戶。
流量記錄類型	選取 [虛擬網路]，然後選取 [+ 選取目標資源] (可用的選項包括：[虛擬網路]、[子網路] 和 [網路介面])。選取您要流量記錄的資源，然後選取 [確認選取項目]。
流量記錄名稱	輸入流量記錄的名稱，或保留預設名稱。 Azure 入口網站會使用 {ResourceName}-{ResourceGroupName}-flowlog 作為流量記錄的預設名稱。
執行個體詳細資料
訂閱	選取儲存體帳戶的 Azure 訂閱。
儲存體帳戶	選取您想要儲存流量記錄的儲存體帳戶。若要建立新的儲存體帳戶，請選取 [建立新的儲存體帳戶]。
保留 (天數)	輸入日誌的保留期限 (此選項僅適用於標準一般用途 v2 儲存體帳戶)。如果您要永遠保留儲存體帳戶中的流量記錄資料 (直到您從儲存體帳戶手動刪除資料為止)，請輸入 0。如需價格的詳細資訊，請參閱 Azure 儲存體價格。

備註

如果儲存帳戶位於不同的訂用帳戶中，您記錄的資源（如虛擬網路、子網路或網路介面）和儲存帳戶必須與相同的 Microsoft Entra 租用戶相關聯。為每個訂用帳戶所使用的帳戶必須具有必要的權限。

若要啟用流量分析，請選取 [下一步：分析] 按鈕，或選取 [分析] 索引標籤。輸入或選取下列值：

設定	價值觀
啟用流量分析	選取核取方塊，為您的流量記錄啟用流量分析。
流量分析處理間隔	選取您偏好的處理間隔，可用的選項如下：[每 1 小時] 和 [每 10 分鐘]。預設處理間隔是每一小時一次。如需詳細資訊，請參閱流量分析。
訂閱	選取 Log Analytics 工作區的 Azure 訂用帳戶。
Log Analytics 工作區	選取 Log Analytics 工作區。根據預設，Azure 入口網站會在 defaultresourcegroup-{Region} 資源群組中建立 DefaultWorkspace-{SubscriptionID}-{Region} Log Analytics 工作區。

備註

若要建立和選取預設工作區以外的 Log Analytics 工作區，請參閱建立 Log Analytics 工作區

謹慎

流量分析會在與 Log Analytics 工作區相同的資源群組中建立和管理資料收集規則（DCR）和資料收集端點（DCE）資源，並在前面加上 NWTA。如果您對這些資源進行任何操作，流量分析可能無法如預期般運作。

選擇 檢閱 + 創建。
檢閱設定，然後選取 [建立]。

使用 New-AzNetworkWatcherFlowLog Cmdlet 來建立虛擬網路流程記錄。

在沒有使用分析的情況下啟用虛擬網路流量記錄

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Create a VNet flow log.
New-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2

啟用虛擬網路流量日誌和流量分析

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Create a traffic analytics workspace and place its configuration into a variable.
$workspace = New-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup' -Location 'EastUS'

# Create a VNet flow log.
New-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2 -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId -TrafficAnalyticsInterval 10

謹慎

使用 az network watcher flow-log create 命令來建立虛擬網路流程記錄。

在沒有使用分析的情況下啟用虛擬網路流量記錄

# Create a VNet flow log.
az network watcher flow-log create --location 'eastus' --resource-group 'myResourceGroup' --name 'myVNetFlowLog' --vnet 'myVNet' --storage-account 'myStorageAccount'

# Create a VNet flow log (storage account is in a different resource group from the virtual network).
az network watcher flow-log create --location 'eastus' --resource-group 'myResourceGroup' --name 'myVNetFlowLog' --vnet 'myVNet' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount'

啟用虛擬網路流量日誌和流量分析

# Create a traffic analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup' --location 'eastus'

# Create a VNet flow log.
az network watcher flow-log create --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics true --workspace 'myWorkspace' --interval 10

# Create a traffic analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup' --location 'eastus'

# Create a VNet flow log (storage account and traffic analytics workspace are in different resource groups from the virtual network).
az network watcher flow-log create --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount' --traffic-analytics true --workspace '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/WorkspaceRG/providers/Microsoft.OperationalInsights/workspaces/myWorkspace' --interval 10

謹慎

啟用或停用流量分析

啟用流量記錄的流量分析，以分析流量記錄資料。流量分析可讓您深入了解虛擬網路的流量模式。您可以隨時啟用或停用流程記錄的流量分析功能。

備註

除了啟用或停用使用分析之外，您也可以變更其他流量記錄設定。

若要啟用流量記錄的流量分析，請遵循下列步驟：

在入口網站頂端的搜尋方塊中，輸入網路監看員。從搜尋結果中，選取 [網路監看員]。
在 [記錄] 底下，選取 [流量記錄]。
在 [網路監看員 | 流量記錄] 中，選取您要啟用流量分析的流量記錄。
在 [流量記錄設定] 的 [流量分析] 下，勾選 [啟用流量分析] 核取方塊。

輸入或選取下列值：

設定	價值觀
訂閱	選取 Log Analytics 工作區的 Azure 訂用帳戶。
Log Analytics 工作區	選取 Log Analytics 工作區。根據預設，Azure 入口網站會在 defaultresourcegroup-{Region} 資源群組中建立 DefaultWorkspace-{SubscriptionID}-{Region} Log Analytics 工作區。
流量記錄間隔	選取您偏好的處理間隔，可用的選項如下：[每 1 小時] 和 [每 10 分鐘]。預設處理間隔是每一小時一次。如需詳細資訊，請參閱流量分析。

選取儲存以套用變更。

若要停用流量記錄的流量分析，請採取先前的步驟 1-3，然後取消勾選 [啟用流量分析] 核取方塊，然後選取 [儲存]。

若要在流量記錄資源上啟用流量分析功能，請使用 Set-AzNetworkWatcherFlowLog cmdlet。

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Place the workspace configuration into a variable.
$workspace = Get-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup'

# Update the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2 -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId -TrafficAnalyticsInterval 10

若要停用流量記錄資源的使用分析，並繼續產生虛擬網路流量記錄並將其儲存至記憶體帳戶，請使用 Set-AzNetworkWatcherFlowLog Cmdlet。

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2

若要在流量記錄資源上啟用流量分析，請使用 az network watcher flow-log update 命令。

# Update the VNet flow log.
az network watcher flow-log update --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics true --workspace 'myWorkspace' --interval 10

若要停用流量記錄資源的使用分析，並繼續產生虛擬網路流量記錄並將其儲存至記憶體帳戶，請使用 az network watcher flow-log update 命令。

# Update the VNet flow log.
az network watcher flow-log update --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics false

謹慎

列出所有流量記錄

您可以列出訂用帳戶或訂用帳戶群組中的所有流程記錄（Azure 入口網站）。您也可以列出區域中的所有流量記錄。

在入口網站頂端的搜尋方塊中，輸入網路監看員。從搜尋結果中，選取 [網路監看員]。
在 [記錄] 底下，選取 [流量記錄]。
選取 [訂用帳戶等於] 篩選條件，選擇一或多個訂用帳戶。您可以套用其他篩選條件，例如 [位置等於]，列出區域中所有的流量記錄。

使用 Get-AzNetworkWatcherFlowLog Cmdlet 列出您訂用帳戶中特定區域中的所有流量記錄資源。

# Get all flow logs in East US region.
Get-AzNetworkWatcherFlowLog -Location 'eastus' | format-table

使用 az network watcher flow-log list 命令來列出您訂用帳戶中特定區域中的所有流量記錄資源。

# Get all flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table

檢視流量記錄資源的詳細資料

您可以檢視流程記錄檔的詳細數據。

在入口網站頂端的搜尋方塊中，輸入網路監看員。從搜尋結果中，選取 [網路監看員]。
在 [記錄] 底下，選取 [流量記錄]。
在 [網路監看員 | 流量記錄]，選取您要查看的流量記錄。
在 [流量記錄設定] 中，您可以檢視流量記錄資源的設定。
選取 [取消] 關閉設定頁面，而不進行變更。

使用 Get-AzNetworkWatcherFlowLog Cmdlet 來查看流量記錄資源的詳細數據。

# Get the flow log details.
Get-AzNetworkWatcherFlowLog -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -Name 'myVNetFlowLog'

使用 az network watcher flow-log show 查看流量記錄資源的詳細資料。

# Get the flow log details.
az network watcher flow-log show --name 'myVNetFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'

下載流程記錄檔

您可以從儲存流量記錄的儲存體帳戶下載流量記錄資料。

在入口網站頂端的搜尋方塊中，輸入儲存體帳戶。選取搜尋結果中的 [儲存體帳戶]。
選取您用來儲存記錄的儲存體帳戶。
在 [資料儲存體] 下選取 [容器]。
選取 [insights-logs-flowlogflowevent] 容器。

在 insights-logs-flowlogflowevent 中，瀏覽資料夾階層，直到您取得您想要下載的 PT1H.json 檔案為止。虛擬網路流量記錄檔案遵循下列路徑：

https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/{subscriptionID}_NETWORKWATCHERRG/NETWORKWATCHER_{Region}_{ResourceName}-{ResourceGroupName}-FLOWLOGS/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

選取檔案右邊的省略符號 [...]PT1H.json，然後選取 [下載]。

若要從記憶體帳戶下載虛擬網路流量記錄，請使用 Get-AzStorageBlobContent Cmdlet。如需詳細資訊，請參閱下載 Blob。

虛擬網路流量記錄檔會儲存至記憶體帳戶，路徑如下：

https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_{Region}/FLOWLOGS/{FlowlogResourceName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

若要從記憶體帳戶下載虛擬網路流量記錄，請使用 az storage blob download 命令。如需詳細資訊，請參閱下載 Blob。

虛擬網路流量記錄檔會儲存至記憶體帳戶，路徑如下：

https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_{Region}/FLOWLOGS/{FlowlogResourceName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

備註

作為從儲存體帳戶存取和下載流量記錄的替代方法，您可以使用 Azure 儲存體總管。如需詳細資訊，請參閱開始使用儲存體總管和使用儲存體瀏覽器下載 Blob (部分內容可能是機器或 AI 翻譯)。

如需流量記錄結構的相關資訊，請參閱虛擬網路流量記錄的記錄格式。

停用流量記錄

您可以暫時停用虛擬網路流量記錄，而不加以刪除。停用流量記錄會停止相關虛擬網路的流量記錄。然而，流量記錄資源會保留其所有設定和關聯。您可隨時重新啟用，以繼續所設定虛擬網路的流量記錄。

在入口網站頂端的搜尋方塊中，輸入網路監看員。從搜尋結果中，選取 [網路監看員]。
在 [記錄] 底下，選取 [流量記錄]。
在 [網路監看員 | 流量記錄]，選取您所要停用流量記錄的核取方塊。
選取「停用」。

備註

如果已針對流量記錄啟用流量分析，您必須先停用流量分析，才能停用流量記錄。若要停用流量分析，請參閱啟用或停用流量分析。

使用 Set-AzNetworkWatcherFlowLog Cmdlet 來停用流程記錄。

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Disable the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $false -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id

備註

如果您停用已啟用流量分析的流量記錄，您必須在同一個命令中停用流量分析，或者先停用流量分析，然後再停用流量記錄。

使用 az network watcher flow-log update 命令來停用流程記錄。

# Update the VNet flow log.
az network watcher flow-log update --enabled false --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount'

備註

如果您停用已啟用流量分析的流量記錄，您必須在同一個命令中停用流量分析，或者先停用流量分析，然後再停用流量記錄。

刪除流量記錄

您可以永久刪除虛擬網路流量記錄。刪除流量記錄也會刪除其所有設定和關聯。若要針對相同的資源再次開始流程記錄，您必須為其建立新的流程記錄。

在入口網站頂端的搜尋方塊中，輸入網路監看員。從搜尋結果中，選取 [網路監看員]。
在 [記錄] 底下，選取 [流量記錄]。
在 [網路監看員 | 流量記錄]，選取您要刪除之流量記錄的核取方塊。
選擇刪除。

若要刪除虛擬網路流程記錄資源，請使用 Remove-AzNetworkWatcherFlowLog Cmdlet。

# Delete the VNet flow log.
Remove-AzNetworkWatcherFlowLog -Name 'myVNetFlowLog' -Location 'eastus'

若要刪除虛擬網路流程記錄資源，請使用 az network watcher flow-log delete 命令。

# Delete the VNet flow log.
az network watcher flow-log delete --name 'myVNetFlowLog' --location 'eastus'

備註

刪除流量記錄不會從儲存體帳戶刪除流量記錄資料。儲存在儲存體帳戶中的流量記錄資料會遵循已設定的保留原則，或保留儲存在儲存體帳戶中，直到手動刪除為止。