Partilhar via


Monitorar a WAN Virtual do Azure

Este artigo descreve:

  • Os tipos de dados de monitoramento que você pode coletar para este serviço.
  • Formas de analisar esses dados.

Nota

Se já estiver familiarizado com este serviço e/ou Azure Monitor e quiser apenas saber como analisar dados de monitorização, consulte a secção Analisar perto do final deste artigo.

Quando você tem aplicativos críticos e processos de negócios que dependem de recursos do Azure, você precisa monitorar e receber alertas para seu sistema. O serviço Azure Monitor coleta e agrega métricas e logs de cada componente do seu sistema. O Azure Monitor fornece uma exibição de disponibilidade, desempenho e resiliência e notifica você sobre problemas. Você pode usar o portal do Azure, PowerShell, CLI do Azure, API REST ou bibliotecas de cliente para configurar e exibir dados de monitoramento.

Informações

Alguns serviços no Azure têm um painel de monitoramento interno no portal do Azure que fornece um ponto de partida para monitorar seu serviço. Esses painéis são chamados de insights, e você pode encontrá-los no Hub de Insights do Azure Monitor no portal do Azure.

A WAN Virtual usa o Network Insights para fornecer aos usuários e operadores a capacidade de visualizar o estado e o status de uma WAN Virtual, apresentada por meio de um mapa topológico descoberto automaticamente. O estado do recurso e as sobreposições de status no mapa fornecem uma visão instantânea da integridade geral da WAN Virtual. Você pode navegar pelos recursos no mapa usando o acesso com um clique às páginas de configuração de recursos do portal WAN Virtual. Para obter mais informações, consulte Azure Monitor Network Insights for Virtual WAN.

Tipos de recursos

O Azure usa o conceito de tipos de recursos e IDs para identificar tudo em uma assinatura. Os tipos de recursos também fazem parte das IDs de recursos para cada recurso em execução no Azure. Por exemplo, um tipo de recurso para uma máquina virtual é Microsoft.Compute/virtualMachines. Para obter uma lista de serviços e seus tipos de recursos associados, consulte Provedores de recursos.

O Azure Monitor organiza de forma semelhante os principais dados de monitoramento em métricas e logs com base em tipos de recursos, também chamados de namespaces. Diferentes métricas e logs estão disponíveis para diferentes tipos de recursos. Seu serviço pode estar associado a mais de um tipo de recurso.

Para obter mais informações sobre os tipos de recursos para WAN Virtual, consulte Referência de dados de monitoramento da WAN Virtual do Azure.

Armazenamento de dados

Para o Azure Monitor:

  • Os dados de métricas são armazenados no banco de dados de métricas do Azure Monitor.
  • Os dados de log são armazenados no repositório de logs do Azure Monitor. O Log Analytics é uma ferramenta no portal do Azure que pode consultar este armazenamento.
  • O log de atividades do Azure é um repositório separado com sua própria interface no portal do Azure.

Opcionalmente, você pode rotear dados de métricas e logs de atividades para o repositório de logs do Azure Monitor. Em seguida, você pode usar o Log Analytics para consultar os dados e correlacioná-los com outros dados de log.

Muitos serviços podem usar configurações de diagnóstico para enviar dados de métrica e log para outros locais de armazenamento fora do Azure Monitor. Os exemplos incluem o Armazenamento do Azure, sistemas de parceiros hospedados e sistemas de parceiros que não são do Azure, usando Hubs de Eventos.

Para obter informações detalhadas sobre como o Azure Monitor armazena dados, consulte Plataforma de dados do Azure Monitor.

Métricas da plataforma Azure Monitor

O Azure Monitor fornece métricas de plataforma para a maioria dos serviços. Essas métricas são:

  • Definido individualmente para cada namespace.
  • Armazenado no banco de dados de métricas de séries cronológicas do Azure Monitor.
  • Leve e capaz de suportar alertas quase em tempo real.
  • Usado para acompanhar o desempenho de um recurso ao longo do tempo.

Coleção: o Azure Monitor coleta métricas da plataforma automaticamente. Não é necessária qualquer configuração.

Roteamento: você também pode rotear algumas métricas da plataforma para o Azure Monitor Logs / Log Analytics para poder consultá-las com outros dados de log. Verifique a configuração de exportação DS para cada métrica para ver se você pode usar uma configuração de diagnóstico para rotear a métrica para Azure Monitor Logs / Log Analytics.

Para obter uma lista de todas as métricas que é possível reunir para todos os recursos no Azure Monitor, consulte Métricas suportadas no Azure Monitor.

Para obter uma lista de métricas disponíveis para WAN Virtual, consulte Referência de dados de monitoramento da WAN Virtual do Azure.

Você pode exibir métricas para WAN Virtual usando o portal do Azure. As etapas a seguir ajudam a localizar e visualizar métricas:

  1. Selecione Monitor Gateway e, em seguida, Métricas. Você também pode selecionar Métricas na parte inferior para exibir um painel das métricas mais importantes para VPN site a site e ponto a site.

    A captura de tela mostra o painel de métricas de VPN sie-to-site.

  2. Na página Métricas, você pode visualizar as métricas.

    Captura de ecrã que mostra a página 'Métricas' com as categorias realçadas.

  3. Para ver as métricas do roteador do hub virtual, você pode selecionar Métricas na página Visão geral do hub virtual.

    Captura de tela que mostra a página do hub virtual com o botão de métricas.

Para obter mais informações, consulte Analisar métricas para um recurso do Azure.

Etapas do PowerShell

Você pode exibir métricas para WAN Virtual usando o PowerShell. Para consultar, use os seguintes comandos de exemplo do PowerShell.

$MetricInformation = Get-AzMetric -ResourceId "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/VirtualHubs/<VirtualHubName>" -MetricName "VirtualHubDataProcessed" -TimeGrain 00:05:00 -StartTime 2022-2-20T01:00:00Z -EndTime 2022-2-20T01:30:00Z -AggregationType Sum

$MetricInformation.Data
  • ID do recurso. A ID de Recursos do seu hub virtual pode ser encontrada no portal do Azure. Navegue até a página do hub virtual no vWAN e selecione JSON View em Essentials.
  • Nome da métrica. Refere-se ao nome da métrica que você está consultando, que neste caso é chamada VirtualHubDataProcessedde . Essa métrica mostra todos os dados que o roteador do hub virtual processou no período de tempo selecionado do hub.
  • Grão do tempo. Refere-se à frequência com que você deseja ver a agregação. No comando atual, você verá uma unidade agregada selecionada a cada 5 minutos. Você pode selecionar – 5M/15M/30M/1H/6H/12H e 1D.
  • Hora de Início e Hora de Fim. Desta vez é baseado em UTC. Certifique-se de que está a introduzir valores UTC ao introduzir estes parâmetros. Se esses parâmetros não forem usados, o valor de dados da última hora será mostrado por padrão.
  • Tipo de agregação de soma. O tipo de agregação de soma mostra o número total de bytes que atravessaram o roteador de hub virtual durante um período de tempo selecionado. Por exemplo, se você definir a granularidade de tempo para 5 minutos, cada ponto de dados corresponderá ao número de bytes enviados nesse intervalo de cinco minutos. Para converter esse valor em Gbps, você pode dividir esse número por 37500000000. Com base na capacidade do hub virtual, o roteador do hub pode suportar entre 3 Gbps e 50 Gbps. Os tipos de agregação Max e Min não são significativos no momento.

Logs de recursos do Azure Monitor

Os logs de recursos fornecem informações sobre operações que foram feitas por um recurso do Azure. Os logs são gerados automaticamente, mas você deve roteá-los para os logs do Azure Monitor para salvá-los ou consultá-los. Os logs são organizados em categorias. Um determinado namespace pode ter várias categorias de log de recursos.

Coleção: os logs de recursos não são coletados e armazenados até que você crie uma configuração de diagnóstico e roteie os logs para um ou mais locais. Ao criar uma definição de diagnóstico, especifica as categorias de registos que devem ser recolhidas. Há várias maneiras de criar e manter configurações de diagnóstico, incluindo o portal do Azure, programaticamente e por meio da Política do Azure.

Roteamento: o padrão sugerido é rotear logs de recursos para Logs do Azure Monitor para que você possa consultá-los com outros dados de log. Outros locais, como o Armazenamento do Azure, Hubs de Eventos do Azure e determinados parceiros de monitoramento da Microsoft também estão disponíveis. Para obter mais informações, consulte Logs de recursos do Azure e Destinos de log de recursos.

Para obter informações detalhadas sobre como coletar, armazenar e rotear logs de recursos, consulte Configurações de diagnóstico no Azure Monitor.

Para obter uma lista de todas as categorias de log de recursos disponíveis no Azure Monitor, consulte Logs de recursos com suporte no Azure Monitor.

Todos os logs de recursos no Azure Monitor têm os mesmos campos de cabeçalho, seguidos por campos específicos do serviço. O esquema comum é descrito no esquema de log de recursos do Azure Monitor.

Para obter as categorias de log de recursos disponíveis, suas tabelas associadas do Log Analytics e os esquemas de log para WAN Virtual, consulte Referência de dados de monitoramento da WAN Virtual do Azure.

Esquemas

Para obter uma descrição detalhada do esquema de logs de diagnóstico de nível superior, consulte Serviços, esquemas e categorias suportados para Logs de Diagnóstico do Azure.

Quando você revisa qualquer métrica por meio do Log Analytics, a saída contém as seguintes colunas:

Coluna Tipo Descrição
Grão de tempo string PT1M (os valores métricos são empurrados a cada minuto)
Count real Geralmente igual a 2 (cada MSEE envia um único valor métrico a cada minuto)
Mínimo real O mínimo dos dois valores métricos empurrados pelos dois MSEEs
Máximo real O máximo dos dois valores métricos empurrados pelos dois MSEEs
Média real Igual a (mínimo + máximo)/2
Total real Soma dos dois valores métricos de ambos os MSEEs (o valor principal a ser focado para a métrica consultada)

Criar configuração de diagnóstico para exibir logs

As etapas a seguir ajudam a criar, editar e exibir configurações de diagnóstico:

  1. No portal, navegue até o recurso WAN Virtual e selecione Hubs no grupo Conectividade .

    Captura de tela que mostra a seleção do Hub no Portal vWAN.

  2. No grupo Conectividade à esquerda, selecione o gateway para o qual deseja examinar o diagnóstico:

    Captura de tela que mostra a seção Conectividade do hub.

  3. Na parte direita da página, selecione Monitor Gateway e, em seguida, Logs.

    Captura de ecrã para Selecionar Vista no Azure Monitor para Logs.

  4. Nesta página, você pode criar uma nova configuração de diagnóstico (+Adicionar configuração de diagnóstico) ou editar uma existente (Editar configuração). Você pode optar por enviar os logs de diagnóstico para o Log Analytics (como mostrado no exemplo a seguir), transmitir para um hub de eventos, enviar para uma solução de terceiros ou arquivar em uma conta de armazenamento.

    Captura de tela para Selecionar configurações de log de diagnóstico.

  5. Depois de clicar em Salvar, você deve começar a ver os logs aparecerem nesse espaço de trabalho de análise de logs dentro de algumas horas.

  6. Para monitorar um hub seguro (com o Firewall do Azure), o diagnóstico e a configuração de log devem ser feitos acessando a guia Configuração de Diagnóstico :

    A captura de tela mostra as configurações de diagnóstico do Firewall.

Importante

Habilitar essas configurações requer serviços adicionais do Azure (conta de armazenamento, hub de eventos ou Log Analytics), o que pode aumentar seu custo. Para calcular um custo estimado, aceda à calculadora de preços do Azure.

Monitoramento de hub seguro (Firewall do Azure)

Se você optar por proteger seu hub virtual usando o Firewall do Azure, os logs e métricas relevantes estarão disponíveis aqui: Logs e métricas do Firewall do Azure.

Você pode monitorar o Hub Protegido usando logs e métricas do Firewall do Azure. Também pode utilizar os registos de atividades para auditar operações nos recursos do Azure Firewall. Para cada WAN Virtual do Azure que você protege e converte em um Hub Seguro, o Firewall do Azure cria um objeto de recurso de firewall explícito. O objeto está no grupo de recursos onde o hub está localizado.

A captura de tela mostra um recurso de Firewall no grupo de recursos do hub vWAN.

Registo de atividades do Azure

O log de atividades contém eventos no nível de assinatura que rastreiam as operações para cada recurso do Azure visto de fora desse recurso; por exemplo, criar um novo recurso ou iniciar uma máquina virtual.

Coleção: os eventos do log de atividades são gerados e coletados automaticamente em um repositório separado para exibição no portal do Azure.

Roteamento: você pode enviar dados de log de atividades para os Logs do Azure Monitor para analisá-los junto com outros dados de log. Outros locais, como o Armazenamento do Azure, Hubs de Eventos do Azure e determinados parceiros de monitoramento da Microsoft também estão disponíveis. Para obter mais informações sobre como rotear o log de atividades, consulte Visão geral do log de atividades do Azure.

Analise os dados de monitoramento

Existem muitas ferramentas para analisar dados de monitoramento.

Ferramentas do Azure Monitor

O Azure Monitor dá suporte às seguintes ferramentas básicas:

  • Explorador de métricas, uma ferramenta no portal do Azure que permite exibir e analisar métricas para recursos do Azure. Para obter mais informações, consulte Analisar métricas com o explorador de métricas do Azure Monitor.

  • Log Analytics, uma ferramenta no portal do Azure que permite consultar e analisar dados de log usando a linguagem de consulta Kusto (KQL). Para obter mais informações, consulte Introdução às consultas de log no Azure Monitor.

  • O log de atividades, que tem uma interface de usuário no portal do Azure para exibição e pesquisas básicas. Para fazer uma análise mais aprofundada, você precisa rotear os dados para os logs do Azure Monitor e executar consultas mais complexas no Log Analytics.

As ferramentas que permitem uma visualização mais complexa incluem:

  • Painéis que permitem combinar diferentes tipos de dados em um único painel no portal do Azure.
  • Pastas de trabalho, relatórios personalizáveis que você pode criar no portal do Azure. As pastas de trabalho podem incluir texto, métricas e consultas de log.
  • Grafana, uma ferramenta de plataforma aberta que se destaca em dashboards operacionais. Você pode usar o Grafana para criar painéis que incluem dados de várias fontes diferentes do Azure Monitor.
  • Power BI, um serviço de análise de negócios que fornece visualizações interativas em várias fontes de dados. Você pode configurar o Power BI para importar automaticamente dados de log do Azure Monitor para aproveitar essas visualizações.

Ferramentas de exportação do Azure Monitor

Você pode obter dados do Azure Monitor para outras ferramentas usando os seguintes métodos:

  • Métricas: use a API REST para métricas para extrair dados de métricas do banco de dados de métricas do Azure Monitor. A API suporta expressões de filtro para refinar os dados recuperados. Para obter mais informações, consulte Referência da API REST do Azure Monitor.

  • Logs: use a API REST ou as bibliotecas de cliente associadas.

  • Outra opção é a exportação de dados do espaço de trabalho.

Para começar a usar a API REST para o Azure Monitor, consulte Passo a passo da API REST de monitoramento do Azure.

Consultas do Kusto

Você pode analisar dados de monitoramento no repositório Azure Monitor Logs / Log Analytics usando a linguagem de consulta Kusto (KQL).

Importante

Quando você seleciona Logs no menu do serviço no portal, o Log Analytics é aberto com o escopo da consulta definido para o serviço atual. Esse escopo significa que as consultas de log incluirão apenas dados desse tipo de recurso. Se quiser executar uma consulta que inclua dados de outros serviços do Azure, selecione Logs no menu Azure Monitor . Consulte Escopo e intervalo de tempo da consulta de log no Azure Monitor Log Analytics para obter detalhes.

Para obter uma lista de consultas comuns para qualquer serviço, consulte a interface de consultas do Log Analytics.

Alertas

Os alertas do Azure Monitor notificam proativamente quando condições específicas são encontradas em seus dados de monitoramento. Os alertas permitem-lhe identificar e resolver problemas no seu sistema antes que os seus clientes os percebam. Para obter mais informações, consulte Alertas do Azure Monitor.

Há muitas fontes de alertas comuns para recursos do Azure. Para obter exemplos de alertas comuns para recursos do Azure, consulte Consultas de alerta de log de exemplo. O site Azure Monitor Baseline Alerts (AMBA) fornece um método semiautomatizado de implementação de alertas métricos de plataforma, painéis e diretrizes importantes. O site aplica-se a um subconjunto em contínua expansão dos serviços do Azure, incluindo todos os serviços que fazem parte da Zona de Aterragem do Azure (ALZ).

O esquema de alerta comum padroniza o consumo de notificações de alerta do Azure Monitor. Para obter mais informações, consulte Esquema de alerta comum.

Tipos de alertas

Você pode alertar sobre qualquer fonte de dados de métrica ou log na plataforma de dados do Azure Monitor. Há muitos tipos diferentes de alertas, dependendo dos serviços que você está monitorando e dos dados de monitoramento que você está coletando. Diferentes tipos de alertas têm vários benefícios e desvantagens. Para obter mais informações, consulte Escolher o tipo de alerta de monitoramento correto.

A lista a seguir descreve os tipos de alertas do Azure Monitor que você pode criar:

  • Os alertas métricos avaliam as métricas de recursos em intervalos regulares. As métricas podem ser métricas de plataforma, métricas personalizadas, logs do Azure Monitor convertidos em métricas ou métricas do Application Insights. Os alertas métricos também podem aplicar várias condições e limites dinâmicos.
  • Os alertas de log permitem que os usuários usem uma consulta do Log Analytics para avaliar logs de recursos em uma frequência predefinida.
  • Os alertas do log de atividades são acionados quando ocorre um novo evento do log de atividades que corresponde às condições definidas. Os alertas de Integridade do Recurso e os alertas de Integridade do Serviço são alertas de log de atividades que relatam a integridade do serviço e do recurso.

Alguns serviços do Azure também suportam alertas de deteção inteligente, alertas Prometheus ou regras de alerta recomendadas.

Para alguns serviços, você pode monitorar em escala aplicando a mesma regra de alerta de métrica a vários recursos do mesmo tipo que existem na mesma região do Azure. Notificações individuais são enviadas para cada recurso monitorado. Para serviços e nuvens do Azure com suporte, consulte Monitorar vários recursos com uma regra de alerta.

Nota

Se você estiver criando ou executando um aplicativo executado em seu serviço, o Azure Monitor Application Insights pode oferecer mais tipos de alertas.

Regras de alerta da WAN virtual

Você pode definir alertas para qualquer métrica, entrada de log ou entrada de log de atividades listada na referência de dados de monitoramento da WAN Virtual do Azure.

Monitorando a WAN Virtual do Azure - Práticas recomendadas

Este artigo fornece práticas recomendadas de configuração para monitorar a WAN Virtual e os diferentes componentes que podem ser implantados com ela. As recomendações apresentadas neste artigo baseiam-se principalmente em métricas e logs existentes do Azure Monitor gerados pela WAN Virtual do Azure. Para obter uma lista de métricas e logs coletados para a WAN Virtual, consulte a Referência de dados da WAN Virtual de Monitoramento.

A maioria das recomendações neste artigo sugere a criação de alertas do Azure Monitor. Os alertas do Azure Monitor notificam proativamente quando há um evento importante nos dados de monitoramento. Essas informações ajudam você a abordar a causa raiz mais rapidamente e, finalmente, reduzir o tempo de inatividade. Para saber como criar um alerta de métrica, consulte Tutorial: Criar um alerta de métrica para um recurso do Azure. Para saber como criar um alerta de consulta de log, consulte Tutorial: Criar um alerta de consulta de log para um recurso do Azure.

Gateways WAN virtuais

Esta seção descreve as práticas recomendadas para gateways WAN virtuais.

Gateway VPN site a site

Lista de verificação de design – alertas métricos

  • Crie uma regra de alerta para aumento na saída do túnel e/ou queda na contagem de pacotes de entrada.
  • Crie uma regra de alerta para monitorar o status do par BGP.
  • Crie uma regra de alerta para monitorar o número de rotas BGP anunciadas e aprendidas.
  • Crie uma regra de alerta para a superutilização do gateway VPN.
  • Crie uma regra de alerta para a superutilização do túnel.
Recomendação Description
Crie uma regra de alerta para aumentar a Saída de Túnel e/ou a contagem de queda de pacotes de Entrada. Um aumento na saída do túnel e/ou na contagem de queda de pacotes de entrada pode indicar um problema com o gateway de VPN do Azure ou com o dispositivo VPN remoto. Selecione a métrica Tunnel Egress/Ingress Packet drop count ao criar regras de alerta. Defina um valor de Limiar estático maior que 0 e o tipo de agregação Total ao configurar a lógica de alerta.

Você pode optar por monitorar a Conexão como um todo ou dividir a regra de alerta por Instância e IP Remoto para ser alertado sobre problemas envolvendo túneis individuais. Para saber a diferença entre o conceito de conexão VPN, link e túnel na WAN Virtual, consulte as Perguntas frequentes sobre WAN Virtual.
Crie uma regra de alerta para monitorar o status do par BGP. Ao usar BGP em suas conexões site a site, é importante monitorar a integridade dos emparelhamentos BGP entre as instâncias de gateway e os dispositivos remotos, pois falhas recorrentes podem interromper a conectividade.

Selecione a métrica Status do par BGP ao criar a regra de alerta. Usando um limite estático , escolha o tipo de agregação média e configure o alerta para ser acionado sempre que o valor for menor que 1.

Recomendamos que você divida o alerta por Instância e Endereço de Ponto BGP para detetar problemas com emparelhamentos individuais. Evite selecionar os IPs da instância do gateway como Endereço de Ponto BGP porque essa métrica monitora o status do BGP para todas as combinações possíveis, inclusive com a própria instância (que é sempre 0).
Crie uma regra de alerta para monitorar o número de rotas BGP anunciadas e aprendidas. BGP Routes Advertised e BGP Routes Learned monitoram o número de rotas anunciadas e aprendidas com colegas pelo gateway VPN, respectivamente. Se essas métricas caírem para zero inesperadamente, pode ser porque há um problema com o gateway ou com o local.

Recomendamos que você configure um alerta para que ambas as métricas sejam acionadas sempre que seu valor for zero. Escolha o tipo de agregação total . Dividir por instância para monitorar instâncias de gateway individuais.
Crie uma regra de alerta para a superutilização do gateway VPN. O número de unidades de escala por instância determina a taxa de transferência agregada de um gateway VPN. Todos os túneis que terminam na mesma instância de gateway compartilham sua taxa de transferência agregada. É provável que a estabilidade do túnel seja afetada se uma instância estiver trabalhando em sua capacidade por um longo período de tempo.

Selecione Largura de banda S2S do gateway ao criar a regra de alerta. Configure o alerta para ser acionado sempre que a taxa de transferência média for maior do que um valor próximo à taxa de transferência agregada máxima de ambas as instâncias. Como alternativa, divida o alerta por instância e use a taxa de transferência máxima por instância como referência.

É uma boa prática determinar as necessidades de rendimento por túnel com antecedência para escolher o número apropriado de unidades de escala. Para saber mais sobre os valores de unidade de escala suportados para gateways VPN site a site, consulte as Perguntas frequentes sobre WAN Virtual.
Crie uma regra de alerta para a superutilização do túnel. As unidades de escala da instância de gateway em que ela termina determinam a taxa de transferência máxima permitida por túnel.

Você pode querer ser alertado se um túnel estiver em risco de se aproximar de sua taxa de transferência máxima, o que pode levar a problemas de desempenho e conectividade. Aja proativamente investigando a causa raiz do aumento da utilização do túnel ou aumentando as unidades de escala do gateway.

Selecione Largura de banda do túnel ao criar a regra de alerta. Divida por instância e IP remoto para monitorar todos os túneis individuais ou escolha túneis específicos. Configure o alerta para ser acionado sempre que a taxa de transferência média for maior do que um valor próximo à taxa de transferência máxima permitida por túnel.

Para saber mais sobre como as unidades de escala do gateway afetam a taxa de transferência máxima de um túnel, consulte as Perguntas frequentes sobre WAN virtual.

Lista de verificação de design - alertas de consulta de log

Para configurar alertas baseados em log, você deve primeiro criar uma configuração de diagnóstico para seu gateway VPN site a site/ponto a site. Uma configuração de diagnóstico é onde você define quais logs e/ou métricas deseja coletar e como deseja armazenar esses dados para serem analisados posteriormente. Ao contrário das métricas de gateway, os logs de gateway não estarão disponíveis se não houver nenhuma configuração de diagnóstico configurada. Para saber como criar uma configuração de diagnóstico, consulte Criar configuração de diagnóstico para exibir logs.

  • Criar regra de alerta de desconexão de túnel.
  • Criar regra de alerta de desconexão BGP.
Recomendação Description
Criar regra de alerta de desconexão de túnel. Use os Logs de Diagnóstico de Túnel para rastrear eventos de desconexão em suas conexões site a site. Um evento de desconexão pode ser devido a uma falha na negociação de SAs, falta de resposta do dispositivo VPN remoto, entre outras causas. Os Logs de Diagnóstico de Túnel também fornecem o motivo da desconexão. Consulte a Regra de alerta Criar desconexão de túnel - consulta de log abaixo desta tabela para selecionar eventos de desconexão ao criar a regra de alerta.

Configure o alerta para ser acionado sempre que o número de linhas resultantes da execução da consulta for maior que 0. Para que este alerta seja eficaz, selecione Granularidade de agregação entre 1 e 5 minutos e Frequência de avaliação também entre 1 e 5 minutos. Dessa forma, depois que o intervalo de granularidade de agregação passar, o número de linhas será 0 novamente para um novo intervalo.

Para obter dicas de solução de problemas ao analisar logs de diagnóstico de túnel, consulte Solucionar problemas do gateway de VPN do Azure usando logs de diagnóstico. Além disso, use os Logs de Diagnóstico do IKE para complementar a solução de problemas, pois esses logs contêm diagnósticos detalhados específicos do IKE.
Criar regra de alerta de desconexão BGP. Use os Logs de Diagnóstico de Rota para rastrear atualizações de rota e problemas com sessões BGP. Eventos repetidos de desconexão BGP podem afetar a conectividade e causar tempo de inatividade. Consulte a consulta Criar alerta de regra de desconexão BGP abaixo desta tabela para selecionar eventos de desconexão ao criar a regra de alerta.

Configure o alerta para ser acionado sempre que o número de linhas resultantes da execução da consulta for maior que 0. Para que este alerta seja eficaz, selecione Granularidade de agregação entre 1 e 5 minutos e Frequência de avaliação também entre 1 e 5 minutos. Dessa forma, depois que o intervalo de granularidade de agregação passar, o número de linhas será 0 novamente para um novo intervalo se as sessões BGP forem restauradas.

Para obter mais informações sobre os dados coletados pelos Logs de Diagnóstico de Rota, consulte Solução de problemas do Gateway de VPN do Azure usando logs de diagnóstico.

Consultas de log

  • Criar regra de alerta de desconexão de túnel - consulta de log: A seguinte consulta de log pode ser usada para selecionar eventos de desconexão de túnel ao criar a regra de alerta:

    AzureDiagnostics
    | where Category == "TunnelDiagnosticLog" 
    | where OperationName == "TunnelDisconnected"
    
  • Criar alerta de regra de desconexão de BGP - consulta de log: A seguinte consulta de log pode ser usada para selecionar eventos de desconexão de BGP ao criar a regra de alerta:

    AzureDiagnostics 
    | where Category == "RouteDiagnosticLog" 
    | where OperationName == "BgpDisconnectedEvent"
    

Gateway VPN ponto a site

A seção a seguir detalha apenas a configuração de alertas baseados em métricas. No entanto, os gateways ponto a site da WAN virtual também oferecem suporte a logs de diagnóstico. Para saber mais sobre os logs de diagnóstico disponíveis para gateways ponto a site, consulte Diagnóstico de gateway VPN ponto a site da WAN virtual.

Lista de verificação de design - alertas métricos

  • Crie uma regra de alerta para a superutilização do gateway.
  • Crie um alerta para a contagem de conexões P2S próxima do limite.
  • Crie um alerta para que a contagem de rotas VPN do usuário esteja perto do limite.
Recomendação Description
Crie uma regra de alerta para a superutilização do gateway. O número de unidades de escala configuradas determina a largura de banda de um gateway ponto a site. Para saber mais sobre unidades de escala de gateway ponto a site, consulte Ponto a site (VPN do usuário).

Use a métrica Largura de banda P2S do gateway para monitorar a utilização do gateway e configurar uma regra de alerta que é acionada sempre que a largura de banda do gateway é maior do que um valor próximo à sua taxa de transferência agregada – por exemplo, se o gateway foi configurado com 2 unidades de escala, ele tem uma taxa de transferência agregada de 1 Gbps. Nesse caso, você pode definir um valor limite de 950 Mbps.

Use este alerta para investigar proativamente a causa raiz do aumento da utilização e, finalmente, aumentar o número de unidades de escala, se necessário. Selecione o tipo de agregação média ao configurar a regra de alerta.
Criar alerta para contagem de conexões P2S perto do limite O número máximo de conexões ponto a site permitido também é determinado pelo número de unidades de escala configuradas no gateway. Para saber mais sobre unidades de escala de gateway ponto a site, consulte as Perguntas frequentes sobre Point-to-site (User VPN).

Use a métrica Contagem de conexões P2S para monitorar o número de conexões. Selecione essa métrica para configurar uma regra de alerta que é acionada sempre que o número de conexões está se aproximando do máximo permitido. Por exemplo, um gateway de unidade de escala 1 suporta até 500 conexões simultâneas. Nesse caso, você pode configurar o alerta para ser acionado sempre que o número de conexões for maior que 450.

Use este alerta para determinar se é necessário ou não um aumento no número de unidades de escala. Escolha o tipo de agregação Total ao configurar a regra de alerta.
Crie uma regra de alerta para a contagem de rotas VPN do usuário perto do limite. O protocolo usado determina o número máximo de rotas VPN do usuário. O IKEv2 tem um limite de nível de protocolo de 255 rotas, enquanto o OpenVPN tem um limite de 1.000 rotas. Para saber mais sobre esse fato, consulte Conceitos de configuração do servidor VPN.

Você pode querer ser alertado se estiver perto de atingir o número máximo de rotas VPN do usuário e agir proativamente para evitar qualquer tempo de inatividade. Use a Contagem de Rotas VPN do Usuário para monitorar essa situação e configurar uma regra de alerta que é acionada sempre que o número de rotas ultrapassa um valor próximo ao limite. Por exemplo, se o limite for 255 rotas, um valor de Limite apropriado poderá ser 230. Escolha o tipo de agregação Total ao configurar a regra de alerta.

Gateway de Rota Expressa

A seção a seguir se concentra em alertas baseados em métricas. Além dos alertas descritos aqui, que se concentram no componente gateway, recomendamos que você use as métricas, logs e ferramentas disponíveis para monitorar o circuito de Rota Expressa. Para saber mais sobre o monitoramento da Rota Expressa, consulte Monitoramento, métricas e alertas da Rota Expressa. Para saber como você pode usar a ferramenta ExpressRoute Traffic Collector, consulte Configure ExpressRoute Traffic Collector for ExpressRoute Direct.

Lista de verificação de design - alertas métricos

  • Crie uma regra de alerta para bits recebidos por segundo.
  • Crie uma regra de alerta para a superutilização da CPU.
  • Crie uma regra de alerta para pacotes por segundo.
  • Crie uma regra de alerta para o número de rotas anunciadas ao par.
  • Regra de alerta de contagem para o número de rotas aprendidas com o par.
  • Crie uma regra de alerta para alta frequência em alterações de rota.
Recomendação Description
Crie uma regra de alerta para bits recebidos por segundo. Bits Recebidos por Segundo monitora a quantidade total de tráfego recebido pelo gateway dos MSEEs.

Você pode querer ser alertado se a quantidade de tráfego recebido pelo gateway estiver em risco de atingir sua taxa de transferência máxima. Essa situação pode levar a problemas de desempenho e conectividade. Essa abordagem permite que você aja proativamente, investigando a causa raiz do aumento da utilização do gateway ou aumentando a taxa de transferência máxima permitida do gateway.

Escolha o tipo de agregação média e um valor de Limite próximo à taxa de transferência máxima provisionada para o gateway ao configurar a regra de alerta.

Além disso, recomendamos que você defina um alerta quando o número de bits recebidos por segundo estiver próximo de zero, pois isso pode indicar um problema com o gateway ou os MSEEs.

O número de unidades de escala provisionadas determina a taxa de transferência máxima de um gateway de Rota Expressa. Para saber mais sobre o desempenho do gateway de Rota Expressa, consulte Sobre conexões de Rota Expressa na WAN Virtual do Azure.
Crie uma regra de alerta para a superutilização da CPU. Ao usar gateways de Rota Expressa, é importante monitorar a utilização da CPU. A alta utilização prolongada pode afetar o desempenho e a conectividade.

Use a métrica de utilização da CPU para monitorar a utilização e criar um alerta para sempre que a utilização da CPU for superior a 80%, para que você possa investigar a causa raiz e, finalmente, aumentar o número de unidades de escala, se necessário. Escolha o tipo de agregação média ao configurar a regra de alerta.

Para saber mais sobre o desempenho do gateway de Rota Expressa, consulte Sobre conexões de Rota Expressa na WAN Virtual do Azure.
Crie uma regra de alerta para pacotes recebidos por segundo. Pacotes por segundo monitora o número de pacotes de entrada que atravessam o gateway de Rota Expressa da WAN Virtual.

Talvez você queira ser alertado se o número de pacotes por segundo estiver se aproximando do limite permitido para o número de unidades de escala configuradas no gateway.

Escolha o tipo de agregação média ao configurar a regra de alerta. Escolha um valor de Limite próximo ao número máximo de pacotes por segundo permitido com base no número de unidades de escala do gateway. Para saber mais sobre o desempenho da Rota Expressa, consulte Sobre conexões de Rota Expressa na WAN Virtual do Azure.

Além disso, recomendamos que você defina um alerta quando o número de pacotes por segundo estiver próximo de zero, pois isso pode indicar um problema com o gateway ou MSEEs.
Crie uma regra de alerta para o número de rotas anunciadas ao par. A Contagem de Rotas Anunciadas a Pares monitora o número de rotas anunciadas do gateway de Rota Expressa para o roteador de hub virtual e para os Dispositivos Microsoft Enterprise Edge.

Recomendamos que você adicione um filtro para selecionar apenas os dois pares BGP exibidos como Dispositivo de Rota Expressa e crie um alerta para identificar quando a contagem de rotas anunciadas se aproxima do limite documentado de 1000. Por exemplo, configure o alerta para ser acionado quando o número de rotas anunciadas for maior que 950.

Também recomendamos que você configure um alerta quando o número de rotas anunciadas para os Dispositivos Microsoft Edge for zero para detetar proativamente quaisquer problemas de conectividade.

Para adicionar esses alertas, selecione a métrica Contagem de rotas anunciadas para pares e, em seguida, selecione a opção Adicionar filtro e os dispositivos de Rota Expressa .
Crie uma regra de alerta para o número de rotas aprendidas com o peer. A Contagem de Rotas Aprendidas com Pares monitora o número de rotas que o gateway da Rota Expressa aprende com o roteador de hub virtual e com o Dispositivo Microsoft Enterprise Edge.

Recomendamos que você adicione um filtro para selecionar apenas os dois pares BGP exibidos como Dispositivo de Rota Expressa e crie um alerta para identificar quando a contagem de rotas aprendidas se aproxima do limite documentado de 4000 para SKU Standard e 10.000 para circuitos SKU Premium.

Também recomendamos que você configure um alerta quando o número de rotas anunciadas para os dispositivos Microsoft Edge for zero. Essa abordagem pode ajudar a detetar quando o local interrompe as rotas de publicidade.
Crie uma regra de alerta para alta frequência em alterações de rota. A frequência das alterações de rotas mostra a frequência de alteração das rotas que estão sendo aprendidas e anunciadas de e para pares, incluindo outros tipos de filiais, como VPN site a site e ponto a site. Essa métrica fornece visibilidade quando uma nova ramificação ou mais circuitos estão sendo conectados/desconectados.

Essa métrica é uma ferramenta útil para identificar problemas com anúncios BGP, como retalhos. Recomendamos que você defina um alerta se o ambiente for estático e as alterações de BGP não forem esperadas. Selecione um valor limite maior que 1 e uma granularidade de agregação de 15 minutos para monitorar o comportamento do BGP de forma consistente.

Se o ambiente for dinâmico e as alterações de BGP forem esperadas com frequência, você pode optar por não definir um alerta de outra forma para evitar falsos positivos. No entanto, você ainda pode considerar essa métrica para a observabilidade da sua rede.

Hub virtual

A seção a seguir se concentra em alertas baseados em métricas para hubs virtuais.

Lista de verificação de design - alertas métricos

  • Criar regra de alerta para o status do par BGP
Recomendação Description
Crie uma regra de alerta para monitorar o status do par BGP. Selecione a métrica Status do par BGP ao criar a regra de alerta. Usando um limite estático , escolha o tipo de agregação média e configure o alerta para ser acionado sempre que o valor for menor que 1.

Essa abordagem permite identificar quando o roteador de hub virtual está tendo problemas de conectividade com gateways de VPN de Rota Expressa, Site a Site e VPN Ponto a Site implantados no hub.

Azure Firewall

Esta seção do artigo se concentra em alertas baseados em métricas. O Firewall do Azure oferece uma lista abrangente de métricas e logs para fins de monitoramento. Além de configurar os alertas descritos na seção a seguir, explore como a Pasta de Trabalho do Firewall do Azure pode ajudar a monitorar seu Firewall do Azure. Além disso, explore os benefícios de conectar os logs do Firewall do Azure ao Microsoft Sentinel usando o conector do Firewall do Azure para Microsoft Sentinel.

Lista de verificação de design - alertas métricos

  • Crie uma regra de alerta para o risco de esgotamento da porta SNAT.
  • Crie uma regra de alerta para a superutilização do firewall.
Recomendação Description
Crie uma regra de alerta para o risco de esgotamento da porta SNAT. O Firewall do Azure fornece 2.496 portas SNAT por endereço IP público configurado por instância de escala de máquina virtual de back-end. É importante estimar com antecedência o número de portas SNAT que podem atender aos seus requisitos organizacionais para o tráfego de saída para a Internet. Não fazer isso aumenta o risco de esgotar o número de portas SNAT disponíveis no Firewall do Azure, potencialmente causando falhas de conectividade de saída.

Use a métrica de utilização da porta SNAT para monitorar a porcentagem de portas SNAT de saída atualmente em uso. Crie uma regra de alerta para que essa métrica seja acionada sempre que essa porcentagem ultrapassar 95% (devido a um aumento de tráfego imprevisto, por exemplo) para que você possa agir de acordo configurando outro endereço IP público no Firewall do Azure ou usando um Gateway NAT do Azure. Use o tipo de agregação máxima ao configurar a regra de alerta.

Para saber mais sobre como interpretar a métrica de utilização da porta SNAT, consulte Visão geral dos logs e métricas do Firewall do Azure. Para saber mais sobre como dimensionar portas SNAT no Firewall do Azure, consulte Dimensionar portas SNAT com o Gateway NAT do Azure.
Crie uma regra de alerta para a superutilização do firewall. A taxa de transferência máxima do Firewall do Azure difere dependendo da SKU e dos recursos habilitados. Para saber mais sobre o desempenho do Firewall do Azure, consulte Desempenho do Firewall do Azure.

Talvez você queira ser alertado se o firewall estiver se aproximando de sua taxa de transferência máxima. Você pode solucionar a causa subjacente, porque essa situação pode afetar o desempenho do firewall.

Crie uma regra de alerta a ser acionada sempre que a métrica Taxa de Transferência ultrapassar um valor próximo à taxa de transferência máxima do firewall – se a taxa de transferência máxima for de 30 Gbps, configure 25 Gbps como o valor de Limite , por exemplo. A unidade métrica Throughput é bits/seg. Escolha o tipo de agregação média ao criar a regra de alerta.

Alertas de integridade de recursos

Você também pode configurar Alertas de Integridade de Recursos via Integridade do Serviço para os recursos abaixo. Essa abordagem garante que você esteja informado sobre a disponibilidade do seu ambiente de WAN virtual. Os alertas permitem que você solucione problemas de rede devido ao fato de seus recursos do Azure entrarem em um estado não íntegro, em vez de problemas do seu ambiente local. Recomendamos que você configure alertas quando o status do recurso ficar degradado ou indisponível. Se o status do recurso ficar degradado/indisponível, você poderá analisar se há picos recentes na quantidade de tráfego processado por esses recursos, as rotas anunciadas para esses recursos ou o número de conexões de ramificação/VNet criadas. Para obter mais informações sobre limites suportados na WAN Virtual, consulte Limites de WAN Virtual do Azure.

  • Microsoft.Network/vpnGateways
  • Microsoft.Network/expressRouteGateways
  • Microsoft.Network/azureFirewalls
  • Microsoft.Network/virtualHubs
  • Microsoft.Network/p2sVpnGateways
  • Consulte Referência de dados de monitoramento da WAN Virtual do Azure para obter uma referência das métricas, logs e outros valores importantes criados para a WAN Virtual.
  • Consulte Monitorando recursos do Azure com o Azure Monitor para obter detalhes gerais sobre o monitoramento de recursos do Azure.