Наблюдатель за сетями часто задаваемые вопросы (вопросы и ответы)

Наблюдатель за сетями предоставляет набор средств для мониторинга, диагностики, просмотра метрик и включения или отключения журналов для ресурсов IaaS (инфраструктура как услуга), которые включают виртуальные машины, виртуальные сети, шлюзы приложений, подсистемы балансировки нагрузки и другие ресурсы в виртуальной сети Azure. Это не решение для мониторинга инфраструктуры PaaS (платформа как услуга) или получения веб-аналитики или мобильных устройств.

Наблюдатель за сетями предоставляет три основных набора возможностей:

• Контроль
  • В представлении топологии отображаются ресурсы в виртуальной сети и связи между ними.
  • Монитор подключений позволяет отслеживать подключение и задержку между конечными точками внутри и за пределами Azure.
• Средства диагностики сети
  • Проверка IP-потока позволяет обнаруживать проблемы с фильтрацией трафика на уровне виртуальной машины.
  • NSG диагностика позволяет обнаруживать проблемы с фильтрацией трафика на уровне виртуальной машины, масштабируемого набора виртуальных машин или шлюза приложений.
  • Следующий прыжок помогает проверить маршруты трафика и обнаружить проблемы с маршрутизацией.
  • Устранение неполадок подключения обеспечивает однократную проверку подключения и задержки между виртуальной машиной и узлом Бастиона, шлюзом приложений или другой виртуальной машиной.
  • Запись пакетов позволяет записывать трафик виртуальной машины.
  • Устранение неполадок VPN выполняет несколько проверок диагностика vpn-шлюзов и подключений для отладки проблем.
• Движение
  • Журналы потоков виртуальной сети и журналы потоков группы безопасности сети позволяют регистрировать сетевой трафик, проходящий через виртуальные сети и группы безопасности сети (NSG) соответственно.
  • Аналитика трафика обрабатывает данные журнала потоков группы безопасности сети, позволяющие визуализировать, запрашивать, анализировать и анализировать сетевой трафик.

Дополнительные сведения см. в Наблюдатель за сетями обзоре.

См. Наблюдатель за сетями цены на различные компоненты Наблюдатель за сетями.

Ознакомьтесь с Наблюдатель за сетями регионами, чтобы узнать о регионах, поддерживающих Наблюдатель за сетями.

Подробный список необходимых разрешений для каждой возможности Наблюдатель за сетями см. в разрешениях Azure RBAC, необходимых для использования Наблюдатель за сетями.

Служба Наблюдатель за сетями автоматически включена для каждой подписки. Вы должны вручную включить Наблюдатель за сетями, если вы отказались от автоматического включения Наблюдатель за сетями. Дополнительные сведения см. в статье "Включение или отключение Azure Наблюдатель за сетями".

Родительский ресурс Наблюдателя за сетями развертывается с использованием уникального экземпляра в каждом регионе. Формат именования по умолчанию: NetworkWatcher_RegionName. Пример: NetworkWatcher_centralus — это ресурс Наблюдателя за сетями для региона "Центральная часть США". Имя экземпляра Наблюдатель за сетями можно настроить с помощью PowerShell или REST API.

Наблюдатель за сетями необходимо включить один раз в каждом регионе для каждой подписки, чтобы ее функции работали. Наблюдатель за сетями включен в регионе путем создания экземпляра Наблюдатель за сетями в этом регионе.

Ресурс Наблюдатель за сетями представляет серверную службу для Наблюдатель за сетями, которая полностью управляется Azure. Однако можно создать или удалить ресурс Наблюдатель за сетями, чтобы включить или отключить его в определенном регионе. Дополнительные сведения см. в статье "Включение или отключение Azure Наблюдатель за сетями".

Нет, перемещение Наблюдатель за сетями ресурса или любого дочернего ресурса в разных регионах не поддерживается. Дополнительные сведения см. в разделе "Поддержка операций перемещения для сетевых ресурсов".

Да, поддерживается перемещение ресурсов Наблюдатель за сетями между группами ресурсов. Дополнительные сведения см. в разделе "Поддержка операций перемещения для сетевых ресурсов".

NetworkWatcherRG — это группа ресурсов, которая автоматически создается для Наблюдатель за сетями ресурсов. Например, в группе ресурсов NetworkWatcherRG создаются Наблюдатель за сетями региональные экземпляры и ресурсы журнала потоков группы безопасности сети. Вы можете настроить имя группы ресурсов Наблюдатель за сетями с помощью PowerShell, Azure CLI или REST API.

Azure Наблюдатель за сетями не хранит данные клиентов, за исключением монитора подключений. Монитор подключений хранит данные клиента, которые автоматически хранятся Наблюдатель за сетями в одном регионе для удовлетворения требований к месту расположения данных в регионе.

Наблюдатель за сетями имеет следующие ограничения:

Да, служба Наблюдатель за сетями по умолчанию устойчива к зонам.

Настройка не требуется для включения устойчивости зоны. Устойчивость в пределах зоны для ресурсов Наблюдателя за сетями доступна по умолчанию и находится под управлением самой службой.

Агент Наблюдатель за сетями необходим для любой функции Наблюдатель за сетями, которая создает или перехватывает трафик из виртуальной машины.

Функции монитора подключения, записи пакетов и устранения неполадок подключения (тест подключения) требуют наличия расширения Наблюдатель за сетями.

Последняя версия расширения 1.4.3783.1Наблюдатель за сетями . Дополнительные сведения см. в статье об обновлении расширения Azure Наблюдатель за сетями до последней версии.

• Linux: агент Наблюдатель за сетями использует доступные порты, начиная с port 50000 его достиженияport 65535.
• Windows: агент Наблюдатель за сетями использует порты, с которыми отвечает операционная система при запросе доступных портов.

Агент Наблюдатель за сетями требует исходящего TCP-подключения для 169.254.169.254 перебора и port 80 перебора 168.63.129.16port 8037. Агент использует эти IP-адреса для взаимодействия с платформой Azure.

Нет, монитор подключений не поддерживает классические виртуальные машины. Дополнительные сведения см. в статье Перенос ресурсов IaaS из классической модели в модель Azure Resource Manager.

Топология может быть украшена из Azure, отличной от Azure, только если целевой ресурс Azure и ресурс монитора подключений находятся в одном регионе.

Одну и ту же виртуальную машину Azure нельзя использовать с разными конфигурациями в одном мониторе подключений. Например, использование одной виртуальной машины с фильтром и без фильтра в одном мониторе подключений не поддерживается.

Проблемы, отображаемые на панели мониторинга монитора подключений, обнаруживаются во время обнаружения топологии или просмотра прыжков. В некоторых случаях пороговое значение, заданное для % потери или RTT, достигается, но проблемы не найдены при прыжках.

В мониторе подключений (классическом) отсутствует параметр выбора протокола. Тесты в мониторе подключений (классический) используют только протокол TCP, поэтому во время миграции мы создадим конфигурацию TCP в тестах в новом мониторе подключения.

В настоящее время существует региональная граница, когда конечная точка использует агенты Azure Monitor и Arc с связанной рабочей областью Log Analytics. В результате этого ограничения связанная рабочая область Log Analytics должна находиться в том же регионе, что и конечная точка Arc. Данные, которые принимаются в отдельные рабочие области, можно объединить для единого представления, см. в статье "Запрос данных" в рабочих областях, приложениях и ресурсах Log Analytics в Azure Monitor.

Журналы потоков позволяют регистрировать данные потока 5 кортежей о IP-трафике Azure, который проходит через группу безопасности сети или виртуальную сеть Azure. Необработанные журналы потоков записываются в учетную запись хранения Azure. Оттуда можно дополнительно обрабатывать, анализировать, запрашивать или экспортировать их по мере необходимости.

Данные журнала потоков собираются вне пути сетевого трафика, поэтому он не влияет на пропускную способность сети или задержку. Вы можете создавать и удалять журналы потоков без риска, что они скажутся на производительности сети.

Журналы потоков группы безопасности сети записывают трафик, проходящий через группу безопасности сети. С другой стороны, NSG диагностика возвращает все группы безопасности сети, которые выполняет трафик, и правила каждой группы безопасности сети, применяемой к этому трафику. Используйте группу безопасности сети диагностика, чтобы убедиться, что правила группы безопасности сети применяются должным образом.

Нет, журналы потоков группы безопасности сети не поддерживают протоколы ESP и AH.

Нет, журналы потоков группы безопасности сети и журналы потоков виртуальной сети не поддерживают протокол ICMP.

Да. Связанный ресурс журнала потоков также будет удален. Данные журнала потоков хранятся в учетной записи хранения за период хранения, настроенный в журнале потоков.

Да, но необходимо удалить связанный ресурс журнала потоков. После переноса группы безопасности сети можно повторно создать журналы потоков, чтобы включить ведение журнала потоков.

Да, вы можете использовать учетную запись хранения из другой подписки, если эта подписка находится в том же регионе группы безопасности сети и связана с тем же клиентом Microsoft Entra группы безопасности сети или подписки виртуальной сети.

Необходимо включить по крайней мере один журнал потока виртуальной сети в подписке. Аналитика трафика обрабатывает данные только из включенных журналов потоков, поэтому настройка журнала потоков гарантирует, что Аналитика трафика может получать доступ к ресурсам и анализировать сетевые действия для ресурсов в этой подписке.

Чтобы использовать учетную запись хранения за брандмауэром, необходимо разрешить доверенным службам Azure доступ к учетной записи хранения:

1. Перейдите к учетной записи хранения, введя имя учетной записи хранения в поле поиска в верхней части портала.
2. В разделе "Безопасность и сеть" выберите "Сеть" и выберите "Брандмауэры" и "Виртуальные сети".
3. В общедоступном сетевом доступе выберите "Включено" из выбранных виртуальных сетей и IP-адресов. Затем в разделе "Исключения" установите флажок "Разрешить службам Azure" в списке доверенных служб доступ к этой учетной записи хранения.
4. Включите журналы потоков, создав журнал потоков для целевого ресурса с помощью учетной записи хранения. Дополнительные сведения см. в разделе "Создание журнала потоков".

Журналы хранения можно проверить через несколько минут. Вы увидите обновленную метку времени или новый json-файл.

В настоящее время учетная запись хранения поддерживает 100 правил, и каждое правило может содержать 10 префиксов BLOB-объектов. Если достигнут предел, вы можете задать политику хранения на 0, когда включаете новые журналы потоков для виртуальной сети, а затем вручную добавить правило ретенции для подписки.

Чтобы создать правило подписки на политику хранения, выполните следующие действия.

1. Перейдите к учетной записи хранения, введя имя учетной записи хранения в поле поиска в верхней части портала.
2. В разделе "Управление данными" выберите управление жизненным циклом.
3. Выберите +Добавить правило.
4. В разделе "Сведения" выберите следующие параметры: область правил:Ограничить большие двоичные объекты с фильтрами, тип BLOB-объектов:Блокировать большие двоичные объекты и подтип BLOB-объектов:Базовые BLOB-объекты.
5. В разделе "Базовые блобы" настройте параметры удержания.
6. В разделе Набор фильтров отформатируйте префикс BLOB следующим образом: "insights-logs-flowlogflowevent/flowLogResourceID=/<yourSubscriptionId>_NETWORKWATCHERRG"
7. Нажмите кнопку "Добавить".

Правило с более коротким периодом хранения имеет приоритет.

Наблюдатель за сетями имеет встроенный резервный механизм, который он использует при подключении к учетной записи хранения за брандмауэром (включен брандмауэр). Он пытается подключиться к учетной записи хранения с помощью ключа, и при сбое он переключается на маркер. В этом случае ошибка 403 регистрируется в журнале действий учетной записи хранения.

Да, наблюдатель за сетями поддерживает отправку данных журналов потоков в учетную запись хранения, включенную с частной конечной точкой.

Журналы потоков совместимы с конечными точками службы без дополнительной настройки. Дополнительные сведения см. в разделе "Включить конечную точку службы".

Журналы потоков версии 2 представляют концепцию состояния потока и хранят сведения о байтах и пакетах, передаваемых. Дополнительные сведения см . в формате журнала потоков группы безопасности сети.

Нет, блокировка только для чтения в группе безопасности сети предотвращает создание соответствующего журнала потока группы безопасности сети.

Да, блокировка не удаляемая в группе безопасности сети не предотвращает создание или изменение соответствующего журнала потока группы безопасности сети.

Да, вы можете автоматизировать журналы потоков групп безопасности сети с помощью шаблонов Azure Resource Manager (шаблонов ARM). Дополнительные сведения см. в разделе "Настройка журналов потоков NSG" с помощью шаблона Azure Resource Manager (ARM).

Да, виртуальные сети и группы безопасности сети могут находиться в разных регионах, отличных от региона рабочей области Log Analytics.

Да.

В раскрывающемся списке выбора ресурсов на панели мониторинга аналитики трафика необходимо выбрать группу ресурсов ресурса виртуальной сети , а не группу ресурсов виртуальной машины или группы безопасности сети.

Аналитика трафика выполняет проверку обнаружения ресурсов каждые 6 часов, чтобы определить новые виртуальные машины, сетевые адаптеры, виртуальные сети и подсети. При создании новой виртуальной машины или сетевой карты после последнего цикла обнаружения и сбора данных потока до следующего обнаружения аналитика трафика пока не может связать трафик с известным ресурсом. В результате эти ресурсы временно помечены как неизвестные в представлении аналитики.

Да, вы можете отключить общедоступный доступ к ресурсу конечной точки сбора данных (DCE), чтобы заблокировать общедоступный входящий трафик к нему. Продолжает работать процесс ингестирования без ассоциации ресурса DCE с областью частного подключения Azure Monitor.

Да. Если выбрать существующую рабочую область, убедитесь, что она была перенесена на новый язык запросов. Если вы не хотите обновить рабочую область, необходимо создать новую. Дополнительные сведения о языке запросов Kusto (KQL) см. в разделе "Запросы журналов" в Azure Monitor.

Да, ваша учетная запись хранения Azure может находиться в одной подписке, а рабочая область Log Analytics может находиться в другой подписке.

Да. Журналы потоков можно настроить для отправки в учетную запись хранения, расположенную в другой подписке, если у вас есть соответствующие привилегии, и что учетная запись хранения находится в том же регионе, что и группа безопасности сети (журналы потоков групп безопасности сети) или виртуальная сеть (журналы потоков виртуальной сети). Целевая учетная запись хранения должна совместно использовать один клиент Microsoft Entra группы безопасности сети или виртуальной сети.

Нет. Все ресурсы должны находиться в одном клиенте, включая группы безопасности сети (журналы потоков сетевой безопасности), виртуальные сети (журналы потоков виртуальной сети), журналы потоков, учетные записи хранения и рабочие области Log Analytics (если включена аналитика трафика).

Да.

Рабочие книги аналитики трафика работают с помощью запросов Log Analytics. Если запрос превышает ограничения для Log Analytics, рабочая книга может вызывать ошибки, связанные с нехваткой памяти. Для повышения производительности и уменьшения ошибок из-за недостатка памяти пользователи могут использовать дедицированные кластеры Log Analytics.

Нет. Если удалить учетную запись хранения, используемую для журналов потоков, данные, хранящиеся в рабочей области Log Analytics, не будут затронуты. Вы по-прежнему можете просматривать исторические данные в рабочей области Log Analytics (некоторые метрики будут затронуты), но аналитика трафика больше не будет обрабатывать новые журналы потоков, пока не обновите журналы потоков, чтобы использовать другую учетную запись хранения.

Выберите поддерживаемый регион. Если выбрать неподдерживаемый регион, вы получите ошибку "Не найден". Дополнительные сведения см. в поддерживаемых регионах аналитики трафика.

Поставщик Microsoft.Insights должен быть зарегистрирован для правильной работы журнала потоков. Если вы не уверены, зарегистрирован ли Microsoft.Insights поставщик для вашей подписки, см. инструкции в разделе Управление журналами потоков NSG о том, как зарегистрировать его.

Панель мониторинга может занять до 30 минут, чтобы отобразить отчеты в первый раз. Решение должно сначала агрегировать достаточно данных для получения значимых аналитических сведений, а затем создает отчеты.

Попробуйте выполнить следующие действия.

• Измените интервал времени в верхней строке.
• Выберите другую рабочую область Log Analytics в верхней строке.
• Попробуйте получить доступ к аналитике трафика через 30 минут, если она была недавно включена.

Это сообщение может появиться по следующим причинам:

• Аналитика трафика недавно включена и, возможно, еще не агрегировали достаточно данных для получения значимых аналитических сведений.
• Вы используете бесплатную версию рабочей области Log Analytics и превысили ограничения квоты. Возможно, потребуется использовать рабочую область с большей емкостью.

Попробуйте предложенные решения для предыдущего вопроса. Если проблемы сохраняются, сообщите о них в Microsoft Q&A.

Вы видите сведения о ресурсах на панели мониторинга; однако статистика, связанная с потоком, отсутствует. Данные могут не присутствовать из-за отсутствия потоков обмена данными между ресурсами. Подождите 60 минут и выполните повторную проверку состояния. Если проблема сохраняется, и вы удостоверились, что потоки взаимодействия между ресурсами существуют, поднимите вопрос в Microsoft Q&A.

Аналитика трафика подлежит тарификации. Измерение основано на обработке данных журнала необработанных потоков службой. Для получения дополнительной информации см. цены на Network Watcher.
Расширенные журналы, входящие в рабочую область Log Analytics, могут храниться без оплаты в течение первых 31 дней (или 90 дней, если Microsoft Sentinel включен в рабочую область). Дополнительные сведения см. в разделе о ценах на Azure Monitor.

Если включены журналы потоков NSG, записи журнала потоков записываются в настроенную учетную запись хранения Azure. Чтобы создать аналитические сведения о трафике, наблюдатель за сетями Azure выполняет внутренние операции с данными для обработки, агрегирования и обогащения записей журнала потоков. Эти взаимодействия с серверным хранилищем необходимы для функций аналитики и возникают, даже если вы не активно запрашиваете данные. Вы можете контролировать общее влияние на затраты, изменив область журнала потоков, хранение и включена ли аналитика трафика. Дополнительные сведения см. в разделе о ценах на журналы потоков NSG.

Интервал обработки трафика по умолчанию составляет 60 минут, однако можно выбрать ускоренную обработку через 10 минут. Дополнительные сведения см. в разделе "Агрегирование данных" в аналитике трафика.

Аналитика трафика создает и управляет ресурсами правил сбора данных (DCR) и конечных точек сбора данных (DCE) в той же группе ресурсов, что и рабочая область, с префиксом NWTA. Если вы выполняете любую операцию с этими ресурсами, аналитика трафика может не функционировать должным образом. Дополнительные сведения см. в разделе "Агрегирование данных" в аналитике трафика. Для получения дополнительной информации см. раздел "Правила сбора данных в Azure Monitor" и раздел "Конечные точки сбора данных в Azure Monitor".

Не рекомендуется применять блокировки к ресурсам DCR и DCE, созданным аналитикой трафика, так как эти ресурсы управляются службой. Заблокированные ресурсы не очищаются при удалении связанных журналов потоков. Если вы выполняете любую операцию с этими ресурсами, аналитика трафика может не функционировать должным образом. Дополнительные сведения см. в разделе "Агрегирование данных" в аналитике трафика.

Аналитика трафика использует внутренние системы аналитики угроз Майкрософт, чтобы считать IP-адрес вредоносным. Эти системы используют различные источники телеметрии, такие как продукты и службы Microsoft, отдел Microsoft Digital Crimes Unit (DCU), Центр реагирования на инциденты Microsoft (MSRC), а также внешние каналы и строят на них аналитику. Некоторые из этих данных являются внутренними данными Microsoft. Если известный IP-адрес помечается как вредоносный, создайте запрос в службу поддержки, чтобы узнать подробности.

У аналитики трафика нет встроенной поддержки оповещений. Тем не менее, так как данные аналитики трафика хранятся в Log Analytics, вы можете написать пользовательские запросы и задать для них оповещения. Выполните следующие действия:

• Вы можете использовать ссылку Log Analytics в аналитике трафика.
• Используйте схему аналитики трафика для записи запросов.
• Выберите новое правило генерации оповещений , чтобы создать оповещение.
• См. статью "Создание нового правила генерации оповещений", чтобы создать оповещение.

Нет, в настоящее время он не поддерживается. Если рабочая область Log Analytics развернута за периметром безопасности сети, аналитика трафика не сможет получать данные из него.

Да. Устранение неполадок подключения и диагностика NSG не поддерживают развертывания частного шлюза приложений. Для получения дополнительной информации см. развертывание частного шлюза приложений.