Oefening: problemen met een netwerk oplossen met behulp van metrische gegevens en logboeken van Network Watcher

  • 30 minuten

In Azure Network Watcher kunt u met metrische gegevens en logboeken complexe configuratieproblemen vaststellen.

Stel dat u twee virtuele machines (VM's) hebt die niet kunnen communiceren. U wilt zoveel mogelijk informatie verkrijgen bij het vaststellen van het probleem.

In deze eenheid gaat u problemen oplossen met behulp van metrische gegevens en logboeken van Network Watcher. U gebruikt daarna de stroomlogboeken van de netwerkbeveiligingsgroep (NSG) om vast te stellen wat het connectiviteitsprobleem tussen de twee virtuele machines is.

De Microsoft.Insights-provider registeren

Voor NSG-stroomlogboekregistratie is de Microsoft.Insights-provider vereist. Voer de volgende stappen uit om u te registreren voor de Microsoft.Insights-provider.

  1. Meld u aan bij Azure Portal en meld u aan met toegang tot het abonnement waarin u resources hebt gemaakt.

  2. Zoek in Azure Portal naar abonnementen, selecteer Abonnementen en selecteer vervolgens uw abonnement. Het deelvenster Abonnement wordt weergegeven.

  3. Selecteer resourceproviders in het menu Abonnement onder Instellingen. Het deelvenster Resourceproviders van uw abonnement wordt weergegeven.

  4. Voer microsoft.insights in de filterbalk in.

  5. Als de status van de microsoft.insights-provider NotRegistered is, selecteert u Registreren op de opdrachtbalk.

    Screenshot showing the registered Microsoft.Insights provider.

Een opslagaccount maken

Maak nu een opslagaccount voor de NSG-stroomlogboeken.

  1. Selecteer in het menu van Azure Portal of op de startpagina de optie Een resource maken.

  2. Selecteer Storage in het resourcemenu en zoek en selecteer vervolgens Opslagaccount. Het deelvenster Opslagaccount wordt weergegeven.

  3. Selecteer Maken. Het deelvenster Opslagaccount maken wordt weergegeven.

  4. Voer op het tabblad Basisinformatie de volgende waarden in voor elke instelling.

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement
    Resourcegroep Selecteer uw resourcegroep
    Exemplaardetails
    Naam van het opslagaccount Een unieke naam maken
    Regio Selecteer dezelfde regio als uw resourcegroep

  5. Selecteer Volgende: tabblad Geavanceerd en zorg ervoor dat de volgende waarde is ingesteld.

    Instelling Weergegeven als
    Blob Storage
    Toegangslaag Dynamisch (standaard)

  6. Selecteer Beoordelen en maken en wanneer de validatie is geslaagd, de optie Maken.

Een Log Analytics-werkruimte maken

Als u de NSG-stroomlogboeken wilt weergeven, gebruikt u Log Analytics.

  1. Zoek en selecteer Log Analytics-werkruimten in het menu van Azure Portal of op de startpagina. Het deelvenster Log Analytics-werkruimten wordt weergegeven.

  2. Selecteer Maken in de opdrachtbalk. Het deelvenster Log Analytics-werkruimte maken wordt weergegeven.

  3. Voer op het tabblad Basisinformatie de volgende waarden in voor elke instelling.

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement
    Resourcegroep Selecteer uw resourcegroep
    Exemplaardetails
    Naam testsworkspace
    Regio Selecteer dezelfde regio als uw resourcegroep

  4. Selecteer Beoordelen + Maken en nadat de validatie is geslaagd, de optie Maken.

Stroomlogboeken inschakelen

Voor het instellen van stroomlogboeken moet u de NSG configureren om verbinding te maken met het opslagaccount en Traffic Analytics toevoegen aan de NSG.

  1. Selecteer Alle resources in het menu van Azure Portal. Selecteer vervolgens de netwerkbeveiligingsgroep MyNsg .

  2. Selecteer in het menu MyNsg onder Bewaking de optie NSG-stroomlogboeken. MyNsg | Het deelvenster NSG-stroomlogboeken wordt weergegeven.

  3. Selecteer Maken. Het deelvenster Een stroomlogboek maken wordt weergegeven.

  4. Selecteer of voer op het tabblad Basis de volgende waarden in.

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement in de vervolgkeuzelijst.
    + Resource selecteren Zoek en selecteer MyNsg in het deelvenster Netwerkbeveiligingsgroep selecteren en selecteer De selectie Bevestigen.
    Exemplaardetails
    Abonnement Selecteer uw abonnement in de vervolgkeuzelijst.
    Storage Accounts Selecteer de naam van uw unieke opslagaccount.
    Retentie (dagen) 1

  5. Selecteer Volgende: Analyse en selecteer of voer de volgende waarden in.

    Instelling Weergegeven als
    Versie van stroomlogboeken Versie 2
    Traffic Analytics Traffic Analytics inschakelen is ingeschakeld.
    Verwerkingsinterval van Traffic Analytics Elke 10 minuten
    Abonnement Selecteer uw abonnement in de vervolgkeuzelijst.
    Log Analytics-werkruimte Selecteer testworkspace in de vervolgkeuzelijst.

  6. Selecteer Controleren + maken.

  7. Selecteer Maken.

  8. Selecteer Naar resource gaan zodra de implementatie is voltooid.

Testverkeer genereren

U bent nu klaar om netwerkverkeer te genereren tussen VM's, dat in het stroomlogboek wordt opgevangen.

  1. Selecteer Alle resources in het resourcemenu en selecteer vervolgens FrontendVM.

  2. Selecteer in de opdrachtbalk Verbinding maken, selecteer vervolgens RDP en selecteer RDP-bestand downloaden. Als er een waarschuwing over de uitgever van de externe verbinding wordt weergegeven, selecteert u Verbinding maken.

  3. Start het bestand FrontendVM.rdp en selecteer Verbinding maken.

  4. Wanneer u om uw referenties wordt gevraagd, selecteert u Meer opties en meldt u zich aan met de gebruikersnaam azureuser en het wachtwoord dat u hebt opgegeven toen u de virtuele machine maakte.

  5. Wanneer u om een beveiligingscertificaat wordt gevraagd, selecteert u Ja.

  6. Als u daarom wordt gevraagd, kunt u uw apparaat alleen detecteren in een particulier netwerk in de RDP-sessie.

  7. Open een PowerShell-prompt en voer de volgende opdracht uit.

    Test-NetConnection 10.10.2.4 -port 80

De TCP-verbindingstest mislukt na een paar seconden.

Het probleem vaststellen

We gaan nu Log Analytics gebruiken om de NSG-stroomlogboeken weer te geven.

  1. Selecteer In het resourcemenu van Azure Portal alle services, selecteer Netwerken en selecteer vervolgens Network Watcher. Het deelvenster Network Watcher wordt weergegeven.

  2. Selecteer Traffic Analytics in het resourcemenu onder Logboeken. Network Watcher | Het deelvenster Traffic Analytics wordt weergegeven.

  3. Selecteer uw abonnement in de vervolgkeuzelijst FlowLog-abonnementen .

  4. Selecteer in de vervolgkeuzelijst van de Log Analytics-werkruimte de optie testworkspace.

  5. Gebruik de verschillende weergaven om het probleem op te sporen dat de communicatie van de front-end-VM naar de back-end-VM verhindert.

Het probleem oplossen

Een NSG-regel blokkeert binnenkomend verkeer naar het back-endsubnet vanaf overal via de poorten 80, 443 en 3389 in plaats van alleen inkomend verkeer van internet te blokkeren. U kunt deze regel nu opnieuw configureren.

  1. Selecteer alle resources in het resourcemenu van Azure Portal en selecteer vervolgens MyNsg in de lijst.

  2. Selecteer in het menu MyNsg onder Instellingen de optie Inkomende beveiligingsregels en selecteer vervolgens MyNSGRule. Het deelvenster MyNSGRule wordt weergegeven.

  3. Selecteer in de vervolgkeuzelijst Bron de optie Servicetag en selecteer internet in de vervolgkeuzelijst Bronservicetag.

  4. Selecteer Opslaan in de opdrachtbalk MyNSGRule om de beveiligingsregel bij te werken.

De verbinding opnieuw testen

Verbindingen op poort 80 behoren nu zonder problemen te werken.

  1. Maak in de RDP-client verbinding met FrontendVM. Voer bij de PowerShell-prompt de volgende opdracht uit.

    Test-NetConnection 10.10.2.4 -port 80

De verbindingstest moet nu slagen.