上一個

下一個

使用 Azure 網路監看員監視您的網路

已完成

Azure 網路監看員

Azure 網路監看員是一種區域服務，可讓您在網路情節層級上監視和診斷位於和往返 Azure 的狀況。 情節層級監視可讓您以端對端網路層級的觀點來診斷問題。 網路監看員所提供的網路診斷和視覺效果工具可協助您了解、診斷及取得 Azure 中網路的見解。 建立網路監看員資源來啟用網路監看員，即可利用網路監看員的功能。 網路監看員旨在監視和修復 IaaS 產品的網路健康情況，包括虛擬機器、虛擬網路、應用程式閘道和負載平衡器。

• 利用封包擷取以將遠端網路監視自動化。 使用網路監看員無須登入您的虛擬機器 (VM)，就能監視及診斷網路問題。 設定警示以觸發封包擷取，並存取封包層級的即時效能資訊。 發現問題時，您可以詳加調查來妥善診斷。
• 利用流量記錄獲取網路流量的見解。 使用網路安全性群組流量記錄更進一步了解您的網路流量模式。 流量記錄提供的資訊可協助您收集合規性資料，來稽核及監視網路安全性設定檔。
• 診斷 VPN 連線問題。 網路監看員讓您可以診斷一些最常見的 VPN 閘道及連線問題。 您不僅可以找出問題，還能利用已建立的詳細記錄來進一步調查。

網路拓撲：拓撲功能可讓您產生視覺化圖表，以呈現虛擬網路中的資源及資源之間的關聯性。

驗證 IP 流量：快速診斷往返網際網路和往返內部部署環境的連線問題。 例如，確認安全性規則是否封鎖往返虛擬機器的輸入或輸出流量。 IP 流量驗證很適合用來確保正確套用安全性規則。 用於疑難排解時，如果 IP 流量驗證未顯示問題，則您需要探索其他方面，例如防火牆限制。

下一個躍點：顯示下一個躍點，以判斷流量是否導向預定目的地。 這有助於判斷是否正確設定網路路由。 下一個躍點也會傳回與下一個躍點相關聯的路由表。 如果路由定義為使用者定義的路由，便會傳回該路由。 否則，下一個躍點會傳回系統路由。 根據您的情況而定，下一個躍點可能是網際網路、虛擬設備、虛擬網路閘道、VNet 本地、VNet 對等互連或「無」。 「無」可讓您知道，雖然存在有效的系統路由通往目的地，但沒有下一個躍點可將流量路由傳送至目的地。 建立虛擬網路時，Azure 會為網路流量建立幾個預設輸出路由。 所有資源 (例如在虛擬網路中部署的 VM) 的輸出流量都會根據 Azure 的預設路由進行路由傳送。 您可以覆寫 Azure 的預設路由，或建立其他路由。

有效安全性規則：網路安全性群組是在子網路層級或 NIC 層級產生關聯。 在子網路層級建立關聯時，其會套用至子網路中的所有 VM 執行個體。 [有效安全性規則] 檢視會針對虛擬機器，傳回於 NIC 和子網路層級產生關聯的所有已設定的 NSG 和規則，讓您深入解析設定。 此外，針對 VM 中的每個 NIC 都會傳回有效的安全性規則。 您可以使用 [有效安全性規則] 檢視來評估 VM 的網路弱點，例如開放的連接埠。

VPN 診斷：針對閘道和連線進行疑難排解。 VPN 診斷會傳回豐富的資訊。 入口網站中提供摘要資訊，記錄中提供更詳細的資訊。 記錄檔儲存在儲存體帳戶中，資訊包括連線統計資料、CPU 和記憶體資訊、IKE 安全性錯誤、封包捨棄及緩衝區和事件等。

封包擷取：網路監看員變數封包擷取可讓您建立封包擷取工作階段，以追蹤往返虛擬機器的流量。 封包擷取有助於被動和主動地診斷網路異常。 其他用途包括收集網路統計資料、取得網路入侵資訊、偵錯用戶端-伺服器通訊等等。

連線疑難排解：網路監看員的網路工具和功能套件中最近新增「Azure 網路監看員連線疑難排解」。 連線疑難排解可讓您針對 Azure 中的網路效能和連線問題進行疑難排解。

NSG 流量記錄：NSG 流量記錄會對應通過網路安全性群組的 IP 流量。 這些功能可以用於安全性合規性和稽核。 您可以將一組指導性的安全性規則定義為組織中安全性治理的模型。 定期合規性稽核可以透過程式設計方式來實作，方法是比較指導性規則與網路中每個 VM 的有效規則。

設定網路監看員

當您建立或更新訂用帳戶中的虛擬網路時，網路監看員將會在虛擬網路的區域中自動啟用。 自動啟用網路監看員不會對您的資源或相關費用造成任何影響。

若要在 Azure 入口網站中建立網路監看員：

1. 瀏覽至 [所有服務]>[網路]>[網路監看員]。

   

2. 以滑鼠右鍵按一下您的訂用帳戶，然後選擇 [在所有區域中啟用網路監看員]。

   

3. 請注意，狀態現在顯示為 [已啟用]。

   

4. 如果您展開區域，則會看到此訂用帳戶內的所有區域都已啟用。

   

5. 當您使用入口網站啟用網路監看員時，網路監看員執行個體的名稱會自動設定為 NetworkWatcher_region_name，其中 region_name 對應至已啟用執行個體的 Azure 區域。 例如，在美國西部區域啟用的網路監看員名為 NetworkWatcher_westus。

6. 網路監看員執行個體會自動在名為 NetworkWatcherRG 的資源群組中建立。 若尚無該資源群組，將會加以建立。

   

7. 若要在 Azure 入口網站中停用某個區域的網路監看員，請展開 [區域] 區段，以滑鼠右鍵按一下您想要停用網路監看員的區域名稱，然後按一下 [停用網路監看員]。

   

設定 NSG 流量記錄

網路安全性群組 (NSG) 允許或拒絕 VM 中對於網路介面的輸入或輸出流量。

NSG 流量記錄是 Azure 網路監看員的一項功能，可讓您針對流經 NSG 的 IP 流量來記錄相關資訊。 NSG 流量記錄功能可讓您記錄來源和目的地 IP 位址、連接埠、通訊協定，以及 NSG 是否允許或拒絕流量。 您可以使用各種工具來分析記錄，例如 Power BI 及 Azure 網路監看員的流量分析功能。

NSG 流量記錄的常見使用案例包括：

• 網路監視 - 識別未知或不想要的流量。 監視流量層級和頻寬耗用量。 依 IP 和連接埠篩選流量記錄，以了解應用程式行為。 將流量記錄匯出至您選擇的分析和視覺效果工具，以設定監視儀表板。
• 使用量監視和最佳化 - 識別網路中的用量最高者。 結合 GeoIP 資料來識別跨區域的流量。 了解流量成長來預測容量。 使用資料來移除太嚴格的流量規則。
• 合規性 - 使用流量資料來確認網路隔離和符合企業存取規則。
• 網路鑑識和安全性分析 - 分析來自遭入侵 IP 和網路介面的網路流量。 將流量記錄匯出至您選擇的任何 SIEM 或 IDS 工具。

您可以從下列任何地方啟用 NSG 流量記錄：

• Azure 入口網站
• PowerShell
• Azure CLI
• REST
• Azure Resource Manager

1. 若要在 Azure 入口網站中設定 NSG 流量記錄的參數，請瀏覽至 [網路監看員] 中的 [NSG 流量記錄] 區段。

2. 按一下 NSG 的名稱，以顯示流量記錄的 [設定] 窗格。

   

3. 變更您想要的參數，然後按一下 [儲存] 以部署變更。

連線監視

連線監視概觀

連線監視在 Azure 網路監看員中提供統一的端對端連線監視。 連線監視功能支援混合式和 Azure 雲端部署。 網路監看員提供工具來監視、診斷和檢視 Azure 部署的連線相關計量。

以下為連線監視的一些使用案例：

• 在多層應用程式中，前端 Web 伺服器 VM 與資料庫伺服器 VM 通訊。 您想要檢查這兩部 VM 之間的網路連線能力。
• 您想要讓美國東部區域的 VM 偵測美國中部區域的 VM，還想要比較跨區域網路延遲。
• 您有多個內部部署辦公室網站位於華盛頓州西雅圖和維吉尼亞州阿什本。 辦公室網站連線到 Microsoft 365 URL。 針對 Microsoft 365 URL 的使用者，比較西雅圖與阿什本之間的延遲。
• 混合式應用程式需要連線到 Azure 儲存體端點。 內部部署網站和 Azure 應用程式連線到相同的 Azure 儲存體端點。 您想要比較內部部署網站的延遲與 Azure 應用程式的延遲。
• 您想要檢查內部部署環境與裝載雲端應用程式的 Azure VM 之間的連線能力。

連線監視結合兩項最佳功能：網路監看員連線監視器 (傳統) 功能及網路效能監控 (NPM) 服務連線監視器、ExpressRoute 監視和效能監視功能。

以下是連接監視的一些優點：

• Azure 和混合式監視需求的統一、直覺體驗
• 跨區域、跨工作區的連線能力監視
• 更高的探查頻率及更深入了解網路效能
• 在混合式部署中更快速警示
• 支援以 HTTP、TCP 和 ICMP 為基礎的連線能力檢查
• 對於 Azure 和非 Azure 測試設定都支援計量和 Log Analytics

設定連線監視

您必須執行幾個主要步驟，才能設定連線監視來進行監視：

1. 安裝監視代理程式 - 連線監視依賴輕量型可執行檔來執行連線能力檢查。 支援從 Azure 環境與內部部署環境執行連線能力檢查。 您使用的可執行檔取決於 VM 是裝載於 Azure 或內部部署。 如需詳細資訊，請參閱安裝監視代理程式。
2. 在訂用帳戶上啟用網路監看員 - 具有虛擬網路的所有訂用帳戶都啟用網路監看員。 當您在訂用帳戶中建立虛擬網路時，虛擬網路的區域和訂用帳戶中會自動啟用網路監看員。 這種自動啟用並不會影響您的資源，也不會產生費用。 請確定訂用帳戶未明確停用網路監看員。
3. 建立連線監視器 - 連線監視會定期監視通訊。 在連線性和延遲有所變化時會通知您。 您也可以檢查來源代理程式和目的地端點之間的目前和歷史網路拓撲。 來源可以是已安裝監視代理程式的 Azure VM 或內部部署機器。 目的地端點可以是 Microsoft 365 URL、Dynamics 365 URL、自訂 URL、Azure VM 資源識別碼、IPv4、IPv6、FQDN 或任何網域名稱。
4. 設定資料分析和警示 - 連線監視收集的資料儲存在 Log Analytics 工作區。 您在建立連線監視器時會設定此工作區。 Azure 監視器計量也提供監視資料。 您可以使用 Log Analytics 來無限期保留監視資料。 Azure 監視器預設只保存計量 30 天。 如需詳細資訊，請參閱資料收集、分析和警示。
5. 診斷網路的問題 - 連線監視可協助您診斷連線監視器和網路的問題。 您稍早安裝的 Log Analytics 代理程式會偵測混合式網路的問題。 網路監看員延伸模組會偵測 Azure 的問題。 您可以在網路拓撲中檢視 Azure 網路的問題。 如需詳細資訊，請瀏覽診斷網路的問題。

建立連線監視器

在您使用連線監視建立的連線監視器中，您可以將內部部署機器和 Azure VM 新增為來源。 這些連線監視器也可以監視端點的連線能力。 端點可以位於 Azure 或任何其他 URL 或 IP 上。

連接監視包含下列實體：

• 連線監視器資源 – 區域特定的 Azure 資源。 下列所有實體都是連線監視器資源的屬性。
• 端點 – 參與連線檢查的來源或目的地。 端點的例子包括 Azure VM、內部部署代理程式、URL 和 IP。
• 測試設定 – 適用於測試的通訊協定特定設定。 根據您選擇的通訊協定，您可以定義連接埠、閾值、測試頻率及其他參數。
• 測試群組 – 包含來源端點、目的地端點和測試設定的群組。 一個連接監視器可以包含一個以上的測試群組。
• 測試 – 來源端點、目的地端點和測試設定的組合。 測試是監視資料可達到的最細微層級。 監視資料包括失敗檢查的百分比和往返時間 (RTT)。

您可以使用 Azure 入口網站、ARMClient 或 PowerShell 來建立連線監視器。

若要使用 Azure 入口網站在連線監視中建立監視器：

1. 在 Azure 入口網站首頁上，移至 [網路監看員]。

   

2. 在左窗格的 [監視] 下，選取 [連線監視]，然後按一下 [建立]。

   

3. 在 [建立連線監視器] 頁面的 [基本] 索引標籤上，您必須為新的連線監視器輸入下列資訊：

   欄位	資訊
   連線監視器名稱	輸入連線監視器的名稱。 使用 Azure 資源的標準命名規則。
   訂用帳戶	從清單中選取您的 Azure 訂用帳戶。
   區域	選取連線監視器的區域。 您只能選取在此區域中建立的來源 VM。
   工作區設定	選擇自訂工作區或預設工作區。 工作區會保存監視資料。 若要使用預設工作區，請選取此核取方塊。 若要選擇自訂工作區，請清除此核取方塊。 然後為自訂工作區選取訂用帳戶和區域。

   

4. 按 [下一步：測試群組 >>]。

5. 在下一頁，您可以在測試群組中新增來源、測試設定和目的地。 連線監視器中的每個測試群組都以網路參數來測試的來源和目的地。 經過測試從測試設定上找出失敗檢查的百分比和往返時間 (RTT)。

   

6. 按一下 [新增測試群組]。

   

7. 按 [下一步：建立警示 >>]。

8. 在 [建立警示] 索引標籤上，您可以根據測試設定中設定的閾值，在失敗的測試上設定警示。

9. 您必須為警示輸入下列資訊：

   • 建立警示 (核取方塊)：您可以選取此核取方塊，在 Azure 監視器中建立計量警示。 當您選取此核取方塊時，將會啟用其他欄位供您編輯。 (附註：警示會產生額外費用。)
   • 範圍 (資源/階層)：根據您在 [基本] 索引標籤上指定的值，將為您自動填入此處的值。
   • 條件：在測試結果 (預覽) 計量上建立警示。 當連線監視測試的結果失敗時，將會觸引警示規則。
   • 動作群組：您可以選擇直接輸入電子郵件，或透過動作群組建立警示。 如果您直接輸入電子郵件，則會建立名為「NPM 電子郵件動作群組」的動作群組。 電子郵件識別碼會新增至該動作群組。 如果您選擇使用動作群組，則需要選取先前建立的動作群組。
   • 警示規則名稱：這是連線監視器的名稱，已替您填妥。
   • 在建立時啟用規則：選取此核取方塊，以根據條件啟用警示規則 (預設設定)。 如果您想建立規則但不啟用，也許是為了評估和測試，或因為您還沒準備好部署，請停用此核取方塊。

   

10. 按一下 [下一步：檢閱 + 建立 >>]。

    

11. 檢閱您的資訊，然後按一下 [建立]。

流量分析

流量分析 (雲端解決方案) 能對雲端網路中提供使用者與應用程式活動的可見度。 流量分析會分析網路監看員網路安全性群組 (NSG) 流量記錄，以深入解析 Azure 雲端的流量，並針對寫入 NSG 流量記錄的資料提供豐富的視覺效果。

使用流量分析，您可以：

• 將 Azure 訂用帳戶上的網路活動視覺化，並找出作用點。
• 使用開放連接埠、嘗試網際網路存取的應用程式，以及連線至未經授權網路的虛擬機器 (VM) 等資訊，識別安全性威脅並保護您的網路。
• 了解跨 Azure 區域和網際網路的流量模式，以針對效能和容量最佳化網路部署。
• 找出導致網路中連線失敗的網路設定錯誤。

流量分析的運作方式

流量分析會檢查原始 NSG 流量記錄，並藉由匯總相同來源 IP 位址、目的地 IP 位址、目的地連接埠和通訊協定之間的常見流程，來擷取減少的記錄。 例如，主機 1 (IP 位址：10.10.10.10) 使用連接埠 (例如 80) 和通訊協定 (例如 HTTP)，在 1 小時內與主機 2 (IP 位址：10.10.20.10) 通訊 100 次。 減少的記錄檔有一個專案，主機 1 和主機 2 使用埠 80 和通訊協定 HTTP 在 1 小時內通訊 100 次，而不是有 100 個專案。 減少的記錄會隨著地理位置、安全性和拓撲資訊而增強，然後儲存在 Log Analytics 工作區中。

下圖說明這個資料流程：

流量分析的主要元件如下：

• 網路安全性群組 (NSG) - 包含安全性規則的清單，可允許或拒絕網路流量流向已連線至 Azure 虛擬網路的資源。 NSG 可以與連結至 VM (Resource Manager) 的子網路、個別 VM (傳統) 或個別網路介面 (NIC) 相關聯。 如需詳細資訊，請參閱〈網路安全性群組概觀〉。
• 網路安全性群組 (NSG) 流量記錄 - 可讓您透過網路安全性群組檢視輸入和輸出 IP 流量的相關資訊。 NSG 流量記錄會以 JSON 格式撰寫，並依規則顯示輸出和輸入流量、流量適用的 NIC、流量的五個 Tuple 資訊 (來源/目的地 IP 位址、來源/目的地連接埠和通訊協定)，以及允許或拒絕流量。 如需 NSG 流量記錄的詳細資訊，請參閱 NSG 流量記錄。
• Log Analytics - 一種 Azure 服務，可收集監視資料，並將資料儲存在中央存放庫。 這些資料可包含透過 API 提供的事件、效能資料或自訂資料。 資料在收集之後，可用於警示、分析和匯出。 使用 Azure 監視器記錄作為基礎所建置的網路效能監視器和流量分析等監視應用程式。 如需詳細資訊，請參閱〈Azure 監視器記錄〉。
• Log Analytics 工作區 - Azure 監視器記錄的執行個體，儲存 Azure 帳戶的相關資料。 如需 Log Analytics 工作區的詳細資訊，請參閱〈建立 Log Analytics 工作區〉。
• 網路監看員 - 一種區域服務，可讓您監視及診斷 Azure 中發生在網路案例層級的情況。 您可以使用網路監看員來開啟和關閉 NSG 流量記錄。 如需詳細資訊，請參閱〈網路監看員〉。

若要分析流量，您必須擁有現有的網路監看員，或在每個區域中啟用您想要分析流量的 NSG 的網路監看員。 針對裝載在任何支援區域中的 NSG，可以啟用流量分析。

啟用 NSG 流量記錄之前，您必須有網路安全性群組才能記錄流程。 如果您沒有網路安全性群組，則必須使用 Azure 連接埠、Azure CLI 或 PowerShell 建立一個群組。

若要檢視流量分析，請在入口網站搜尋列中搜尋網路監看員。 在網路監看員中，若要探索流量分析及其功能，請從左側功能表中選取 [流量分析]。

以下的範例螢幕擷取畫面顯示流量分析儀表板。

檢定您的知識

1.

下列關於網路監看員的敘述何者正確？

必須針對每個虛擬網路手動啟用網路監看員。

網路監看員預設會針對所有區域啟用。

當您建立虛擬網路時，會自動啟用網路監看員。

2.

下列何者是流量分析的元件？

後端集區

網路安全性群組 (NSG) 流量記錄

可用性區域

您必須先回答所有問題，才能檢查進度。

繼續