Dit artikel bevat antwoorden op de meest gestelde vragen over Azure Network Watcher.
Algemeen
Wat is Network Watcher?
Network Watcher biedt een reeks hulpprogramma's voor het bewaken, diagnosticeren, weergeven van metrische gegevens en het in- of uitschakelen van logboeken voor IaaS-resources (Infrastructure-as-a-Service), waaronder virtuele machines, virtuele netwerken, toepassingsgateways, load balancers en andere resources in een virtueel Azure-netwerk. Het is geen oplossing voor het bewaken van de PaaS-infrastructuur (Platform-as-a-Service) of het verkrijgen van web-/mobiele analyses.
Welke hulpprogramma's biedt Network Watcher?
Network Watcher biedt drie belangrijke sets mogelijkheden:
- Monitoring
- In de topologieweergave ziet u de resources in uw virtuele netwerk en de relaties ertussen.
- Met verbindingsmonitor kunt u connectiviteit en latentie tussen eindpunten binnen en buiten Azure bewaken.
- Diagnostische hulpprogramma's voor netwerken
- Met IP-stroomverificatie kunt u problemen met het filteren van verkeer op het niveau van een virtuele machine detecteren.
- Met NSG-diagnostische gegevens kunt u problemen met het filteren van verkeer detecteren op het niveau van een virtuele machine, virtuele-machineschaalset of toepassingsgateway.
- Volgende hop helpt u bij het controleren van verkeersroutes en het detecteren van routeringsproblemen.
- Problemen met verbindingen maken een eenmalige connectiviteit en latentiecontrole mogelijk tussen een virtuele machine en bastionhost, toepassingsgateway of een andere virtuele machine.
- Met pakketopname kunt u verkeer van uw virtuele machine vastleggen.
- Vpn-probleemoplossing voert meerdere diagnostische controles uit op uw VPN-gateways en -verbindingen om problemen op te lossen.
- Verkeer
- Met stroomlogboeken voor netwerkbeveiligingsgroepen en stroomlogboeken voor virtuele netwerken kunt u netwerkverkeer registreren dat wordt doorgegeven via respectievelijk uw netwerkbeveiligingsgroepen (NSG's) en virtuele netwerken.
- Verkeersanalyse verwerkt de logboekgegevens van uw netwerkbeveiligingsgroep, zodat u uw netwerkverkeer kunt visualiseren, opvragen, analyseren en begrijpen.
Zie Network Watcher-overzicht voor meer informatie.
Hoe werken de prijzen van Network Watcher?
Zie de prijzen van Network Watcher voor prijsinformatie over verschillende Network Watcher-onderdelen.
In welke regio's wordt Network Watcher momenteel ondersteund en beschikbaar?
Zie Network Watcher-regio's voor meer informatie over de regio's die Ondersteuning bieden voor Network Watcher.
Welke machtigingen zijn vereist voor het gebruik van Network Watcher?
Zie Azure RBAC-machtigingen die zijn vereist voor het gebruik van Network Watcher voor een gedetailleerde lijst met vereiste machtigingen voor elk van de mogelijkheden van Network Watcher.
Hoe kan ik Network Watcher inschakelen?
De Network Watcher-service wordt automatisch ingeschakeld voor elk abonnement. U moet Network Watcher handmatig inschakelen als u automatische activering van Network Watcher hebt uitgeschakeld. Zie Azure Network Watcher in- of uitschakelen voor meer informatie.
Wat is het Network Watcher-implementatiemodel?
De bovenliggende network Watcher-resource wordt geïmplementeerd met een uniek exemplaar in elke regio. Standaardnaamgevingsindeling: NetworkWatcher_RegionName. Voorbeeld: NetworkWatcher_centralus is de Network Watcher-resource voor de regio VS - centraal. U kunt de naam van het Network Watcher-exemplaar aanpassen met behulp van PowerShell of REST API.
Waarom staat Azure slechts één exemplaar van Network Watcher per regio toe?
Network Watcher hoeft slechts één keer per regio per abonnement te worden ingeschakeld, zodat de functies ervan werken. Network Watcher is ingeschakeld in een regio door een Network Watcher-exemplaar in die regio te maken.
Hoe kan ik Network Watcher-resource beheren?
De Network Watcher-resource vertegenwoordigt de back-endservice voor Network Watcher, die volledig wordt beheerd door Azure. U kunt echter de Network Watcher-resource maken of verwijderen om deze in of uit te schakelen in een bepaalde regio. Zie Azure Network Watcher in- of uitschakelen voor meer informatie.
Kan ik het Network Watcher-exemplaar van de ene regio naar de andere verplaatsen?
Nee, het verplaatsen van Een Network Watcher-resource of een van de onderliggende resources in verschillende regio's wordt niet ondersteund. Zie Ondersteuning voor verplaatsingsbewerkingen voor netwerkresources voor meer informatie.
Kan ik het Network Watcher-exemplaar van de ene resourcegroep naar een andere verplaatsen?
Ja, het verplaatsen van Network Watcher-resource tussen resourcegroepen wordt ondersteund. Zie Ondersteuning voor verplaatsingsbewerkingen voor netwerkresources voor meer informatie.
Wat is networkWatcherRG?
NetworkWatcherRG is een resourcegroep die automatisch wordt gemaakt voor Network Watcher-resources. Bijvoorbeeld: regionale instanties van Network Watcher en de stroomlogboekresources voor de netwerkbeveiligingsgroep worden gemaakt in de resourcegroep NetworkWatcherRG . U kunt de naam van de Network Watcher-resourcegroep aanpassen met behulp van PowerShell, Azure CLI of REST API.
Slaat Network Watcher klantgegevens op?
Azure Network Watcher slaat geen klantgegevens op, met uitzondering van de verbindingsmonitor. De verbindingsmonitor slaat klantgegevens op, die automatisch door Network Watcher in één regio worden opgeslagen om te voldoen aan de vereisten voor gegevenslocatie in de regio.
Wat zijn de resourcelimieten voor Network Watcher?
Network Watcher heeft de volgende limieten:
Bron | Limiet |
---|---|
Network Watcher-exemplaren per regio per abonnement | 1 (Eén exemplaar in een regio om toegang tot de service in de regio in te schakelen) |
Verbindingsmonitors per regio per abonnement | 100 |
Maximumaantal testgroepen per verbindingsmonitor | 20 |
Maximum aantal bronnen en bestemmingen per verbindingsmonitor | 100 |
Maximale testconfiguraties per verbindingsmonitor | 20 |
Pakketopnamesessies per regio per abonnement | 10.000 (alleen aantal sessies, niet opgeslagen opnamen) |
VPN-probleemoplossingsbewerkingen per abonnement | 1 (aantal bewerkingen tegelijk) |
Servicebeschikbaarheid en redundantie
Is de Network Watcher-zone tolerant?
Ja, de Network Watcher-service is standaard zonetolerant.
Hoe kan ik de Network Watcher-service zo configureren dat deze zonebestendig is?
Er is geen configuratie nodig om zonetolerantie in te schakelen. Zonetolerantie voor Network Watcher-resources is standaard beschikbaar en wordt beheerd door de service zelf.
Network Watcher-agent
Waarom moet ik de Network Watcher-agent installeren?
De Network Watcher-agent is vereist voor elke Network Watcher-functie waarmee verkeer van een virtuele machine wordt gegenereerd of onderschept.
Voor welke functies is de Network Watcher-agent vereist?
Voor de functies pakketopname, verbindingsproblemen en verbindingsmonitorfuncties moet de Network Watcher-extensie aanwezig zijn.
Wat is de nieuwste versie van de Network Watcher-agent?
De nieuwste versie van de Network Watcher-extensie is 1.4.3422.1
. Zie Azure Network Watcher-extensie bijwerken naar de nieuwste versie voor meer informatie.
Welke poorten gebruikt de Network Watcher-agent?
- Linux: de Network Watcher-agent gebruikt beschikbare poorten die beginnen totdat
port 50000
deze bereiktport 65535
. - Windows: de Network Watcher-agent gebruikt de poorten waarmee het besturingssysteem reageert wanneer er een query wordt uitgevoerd op beschikbare poorten.
Met welke IP-adressen communiceert de Network Watcher-agent?
De Network Watcher-agent vereist uitgaande TCP-connectiviteit naar 169.254.169.254
over port 80
en 168.63.129.16
over port 8037
. De agent gebruikt deze IP-adressen om te communiceren met het Azure-platform.
Verbindingsmonitor
Ondersteunt verbindingsmonitor klassieke VM's?
Nee, verbindingsmonitor biedt geen ondersteuning voor klassieke VM's. Zie IaaS-resources migreren van klassiek naar Azure Resource Manager voor meer informatie.
Wat gebeurt er als mijn topologie niet is ingericht of als mijn hops ontbrekende informatie hebben?
Topologie kan alleen worden ingericht van niet-Azure naar Azure als de doelresource van Azure en de verbindingsmonitorresource zich in dezelfde regio bevinden.
Wat gebeurt er als het maken van de verbindingsmonitor mislukt met de volgende fout: 'Het maken van verschillende eindpunten voor dezelfde VIRTUELE machine is niet toegestaan'?
Dezelfde Virtuele Azure-machine kan niet worden gebruikt met verschillende configuraties in dezelfde verbindingsmonitor. Het gebruik van dezelfde VIRTUELE machine met een filter en zonder filter in dezelfde verbindingsmonitor wordt bijvoorbeeld niet ondersteund.
Wat gebeurt er als de reden van de testfout 'Niets weer te geven' is?
Problemen die worden weergegeven op het dashboard van de verbindingsmonitor, worden gevonden tijdens de topologiedetectie of hopverkenning. Er kunnen gevallen zijn waarbij de drempelwaarde voor % verlies of RTT wordt bereikt, maar er geen problemen worden gevonden bij hops.
Wanneer u een bestaande verbindingsmonitor (klassiek) migreert naar de meest recente verbindingsmonitor, wat gebeurt er als de externe eindpunttests alleen met het TCP-protocol worden gemigreerd?
Er is geen optie voor protocolselectie in verbindingsmonitor (klassiek). Tests in verbindingsmonitor (klassiek) gebruiken alleen het TCP-protocol en daarom maken we tijdens de migratie een TCP-configuratie in tests in de nieuwe verbindingsmonitor.
Zijn er beperkingen voor het gebruik van Azure Monitor- en Arc-agents met verbindingsmonitor?
Er is momenteel een regionale grens wanneer een eindpunt gebruikmaakt van Azure Monitor- en Arc-agents met de bijbehorende Log Analytics-werkruimte. Als gevolg van deze beperking moet de gekoppelde Log Analytics-werkruimte zich in dezelfde regio bevinden als het Arc-eindpunt. Gegevens die zijn opgenomen in afzonderlijke werkruimten, kunnen worden samengevoegd voor één weergave. Bekijk querygegevens in Log Analytics-werkruimten, -toepassingen en -resources in Azure Monitor.
Stroomlogboeken
Wat doet stroomlogboekregistratie?
Met stroomlogboeken kunt u gegevens van 5 tuple-stromen vastleggen over uw Azure IP-verkeer dat via een netwerkbeveiligingsgroep of een virtueel Azure-netwerk wordt doorgegeven. De onbewerkte stroomlogboeken worden geschreven naar een Azure-opslagaccount. Van daaruit kunt u ze naar behoefte verder verwerken, analyseren, opvragen of exporteren.
Zijn stroomlogboeken van invloed op netwerklatentie of prestaties?
Stroomlogboekgegevens worden verzameld buiten het pad van uw netwerkverkeer, zodat dit geen invloed heeft op de netwerkdoorvoer of latentie. U kunt stroomlogboeken maken of verwijderen zonder dat dit van invloed is op de netwerkprestaties.
Wat is het verschil tussen NSG-stroomlogboeken en NSG-diagnostische gegevens?
Stroomlogboeken voor netwerkbeveiligingsgroepen registreren logboekverkeer dat via een netwerkbeveiligingsgroep stroomt. Aan de andere kant retourneert NSG-diagnose alle netwerkbeveiligingsgroepen die uw verkeer doorkruist en de regels van elke netwerkbeveiligingsgroep die op dit verkeer worden toegepast. Gebruik NSG-diagnostische gegevens om te controleren of de regels voor uw netwerkbeveiligingsgroep worden toegepast zoals verwacht.
Kan ik ESP- en AH-verkeer registreren met behulp van stroomlogboeken voor netwerkbeveiligingsgroepen?
Nee, stroomlogboeken voor netwerkbeveiligingsgroepen bieden geen ondersteuning voor ESP- en AH-protocollen.
Kan ik ICMP-verkeer registreren met behulp van stroomlogboeken?
Nee, stroomlogboeken voor netwerkbeveiligingsgroepen en stroomlogboeken voor virtuele netwerken ondersteunen geen ICMP-protocol.
Kan ik een netwerkbeveiligingsgroep verwijderen waarvoor stroomlogboekregistratie is ingeschakeld?
Ja. De gekoppelde stroomlogboekresource wordt ook verwijderd. Stroomlogboekgegevens worden bewaard in het opslagaccount voor de bewaarperiode die is geconfigureerd in het stroomlogboek.
Kan ik een netwerkbeveiligingsgroep verplaatsen waarvoor stroomlogboekregistratie is ingeschakeld voor een andere resourcegroep of een ander abonnement?
Ja, maar u moet de bijbehorende stroomlogboekresource verwijderen. Nadat u de netwerkbeveiligingsgroep hebt gemigreerd, kunt u de stroomlogboeken opnieuw maken om logboekregistratie van stromen in te schakelen.
Kan ik een opslagaccount in een ander abonnement gebruiken dan de netwerkbeveiligingsgroep of het virtuele netwerk waarvoor het stroomlogboek is ingeschakeld?
Ja, u kunt een opslagaccount van een ander abonnement gebruiken zolang dit abonnement zich in dezelfde regio van de netwerkbeveiligingsgroep bevindt en is gekoppeld aan dezelfde Microsoft Entra-tenant van de netwerkbeveiligingsgroep of het abonnement van het virtuele netwerk.
Hoe kan ik stroomlogboeken voor netwerkbeveiligingsgroepen gebruiken met een opslagaccount achter een firewall?
Als u een opslagaccount achter een firewall wilt gebruiken, moet u een uitzondering opgeven voor Vertrouwde Microsoft-services voor toegang tot uw opslagaccount:
- Ga naar het opslagaccount door de naam van het opslagaccount in te voeren in het zoekvak boven aan de portal.
- Selecteer Netwerken onder Beveiliging en netwerken en selecteer vervolgens Firewalls en virtuele netwerken.
- Selecteer ingeschakeld in openbare netwerktoegang in geselecteerde virtuele netwerken en IP-adressen. Schakel vervolgens onder Uitzonderingen het selectievakje in naast Azure-services toestaan in de lijst met vertrouwde services om toegang te krijgen tot dit opslagaccount.
- Schakel stroomlogboeken voor netwerkbeveiligingsgroepen in door een stroomlogboek te maken voor uw doelnetwerkbeveiligingsgroep met behulp van het opslagaccount. Zie Een stroomlogboek maken voor meer informatie.
U kunt de opslaglogboeken na enkele minuten controleren. U ziet nu een bijgewerkte TimeStamp of een nieuw JSON-bestand dat is gemaakt.
Waarom zie ik enkele 403-fouten in activiteitenlogboeken van opslagaccounts?
Network Watcher heeft een ingebouwd terugvalmechanisme dat wordt gebruikt bij het maken van verbinding met een opslagaccount achter een firewall (firewall ingeschakeld). Er wordt geprobeerd verbinding te maken met het opslagaccount met behulp van een sleutel en als dat mislukt, wordt overgeschakeld naar een token. In dit geval wordt een 403-fout vastgelegd in het activiteitenlogboek van het opslagaccount.
Kan Network Watcher stroomgegevens van netwerkbeveiligingsgroepen verzenden naar een opslagaccount dat is ingeschakeld met een privé-eindpunt?
Ja, Network Watcher ondersteunt het verzenden van stroomgegevens van netwerkbeveiligingsgroepen naar een opslagaccount dat is ingeschakeld met een privé-eindpunt.
Hoe kan ik stroomlogboeken voor netwerkbeveiligingsgroepen gebruiken met een opslagaccount achter een service-eindpunt?
Stroomlogboeken voor netwerkbeveiligingsgroepen zijn compatibel met service-eindpunten zonder extra configuratie. Zie Een service-eindpunt inschakelen voor meer informatie.
Wat is het verschil tussen stroomlogboeken versie 1 en 2?
Stroomlogboeken versie 2 introduceert het concept van stroomstatus en slaat informatie op over bytes en pakketten die worden verzonden. Zie voor meer informatie de stroomlogboekindeling van de netwerkbeveiligingsgroep.
Kan ik een stroomlogboek maken voor een netwerkbeveiligingsgroep met een alleen-lezenvergrendeling?
Nee, een alleen-lezenvergrendeling voor een netwerkbeveiligingsgroep voorkomt het maken van het bijbehorende stroomlogboek voor netwerkbeveiligingsgroepen.
Kan ik een stroomlogboek maken voor een netwerkbeveiligingsgroep met een vergrendeling die niet kan worden verwijderd?
Ja, een vergrendeling die niet kan worden verwijderd voor de netwerkbeveiligingsgroep, voorkomt niet dat het bijbehorende stroomlogboek van de netwerkbeveiligingsgroep wordt gemaakt of gewijzigd.
Kan ik stroomlogboeken voor netwerkbeveiligingsgroepen automatiseren?
Ja, u kunt stroomlogboeken voor netwerkbeveiligingsgroepen automatiseren via ARM-sjablonen (Azure Resource Manager). Zie NSG-stroomlogboeken configureren met behulp van een ARM-sjabloon (Azure Resource Manager) voor meer informatie.