Övning – Felsök ett nätverk med hjälp av Network Watcher-metrik och loggar

  • 30 minuter

I Azure Network Watcher kan mått och loggar diagnostisera komplexa konfigurationsproblem.

Anta att du har två virtuella datorer som inte kan kommunicera. Du vill få så mycket information du kan för att diagnostisera problemet.

I den här enheten ska du felsöka med hjälp av Network Watchers mått och loggar. Om du vill diagnostisera anslutningsproblemet mellan de två virtuella datorerna använder du sedan flödesloggarna för nätverkssäkerhetsgruppen (NSG).

Registrera leverantören Microsoft.Insights

NSG-flödesloggning kräver leverantören Microsoft.Insights. Slutför följande steg för att registrera dig för Microsoft.Insights-providern.

  1. Logga in på Azure-portalenoch logga in på katalogen med åtkomst till den prenumeration som du skapade resurser i.

  2. I Azure-portalen söker du efter, väljer Prenumerationeroch väljer sedan din prenumeration. Fönstret Prenumeration visas.

  3. I menyn Prenumeration går du till Inställningaroch väljer Resursprovidrar. Prenumerationens resursleverantörers panel visas.

  4. I filterfältet anger du microsoft.insights.

  5. Om statusen för microsoft.insights providern är NotRegisteredväljer du Registrera i kommandofältet.

    Skärmbild som visar den registrerade Microsoft.Insights-providern.

Skapa ett lagringskonto

Skapa nu ett lagringskonto för NSG-flödesloggarna.

  1. På menyn i Azure-portalen eller på sidan Start väljer du Skapa en resurs.

  2. På resursmenyn väljer du Storageoch söker sedan efter och väljer Lagringskonto. Fönstret lagringskonto visas.

  3. Välj Skapa. Fönstret Skapa lagringskonto visas.

  4. På fliken Grundläggande anger du följande värden för varje inställning.

    Inställning Värde
    Projektinformation
    Abonnemang Välj din prenumeration
    Resursgrupp Välj din resursgrupp
    Instansinformation
    Lagringskontonamn Skapa ett unikt namn
    Region Välj samma region som resursgruppen

  5. Välj Nästa: Fliken Avancerat och kontrollera att följande värde har angetts.

    Inställning Värde
    Blob-lagring
    Åtkomstnivå Populär (standard)

  6. Välj Granska + skapaoch välj Skapanär verifieringen godkänns.

Skapa en Log Analytics-arbetsyta

Om du vill visa NSG-flödesloggarna använder du Log Analytics.

  1. På menyn i Azure-portalen eller på sidan Start söker du efter och väljer Log Analytics-arbetsytor. Fönstret Log Analytics-arbetsytor visas.

  2. I kommandofältet väljer du Skapa. Fönstret Skapa Log Analytics-arbetsyta visas.

  3. På fliken Grundläggande anger du följande värden för varje inställning.

    Inställning Värde
    Projektinformation
    Abonnemang Välj din prenumeration
    Resursgrupp Välj din resursgrupp
    instansdetaljer
    Namn testsworkspace
    Region Välj samma region som resursgruppen

  4. Välj Granska + Skapaoch välj Skapanär valideringen har slutförts.

Aktivera flödesloggar

För att konfigurera flödesloggar måste du konfigurera NSG för att ansluta till lagringskontot och lägga till trafikanalys för NSG.

  1. På menyn i Azure-portalen väljer du Alla resurser. Välj sedan MyNsg nätverkssäkerhetsgrupp.

  2. I menyn MyNsg går du till Övervakningoch väljer NSG-flödesloggar. MyNsg | NSG-flödesloggar panelen visas.

  3. Välj Skapa. Fönstret Skapa en flödeslogg visas.

  4. På fliken Grundläggande väljer eller anger du följande värden.

    Inställning Värde
    Projektinformation
    Abonnemang Välj din prenumeration i listrutan.
    + Välj resurs I fönstret Välj nätverkssäkerhetsgrupp söker du efter och väljer MyNsg och Bekräfta valet.
    instansinformation
    Abonnemang Välj din prenumeration i listrutan.
    Lagringskonton Välj ditt unika lagringskontonamn.
    Kvarhållning (dagar) 1

  5. Välj Nästa: Analysoch välj sedan eller ange följande värden.

    Inställning Värde
    Version av flödesloggar Version 2
    Trafikanalys Aktivera Trafikanalys är markerat.
    Bearbetningsintervall för Trafikanalys Var 10:e minut
    Abonnemang Välj din prenumeration i listrutan.
    Log Analytics-arbetsyta Välj testworkspace i listrutan.

  6. Välj Granska + skapa.

  7. Välj Skapa.

  8. När distributionen är klar väljer du Gå till resurs.

Generera testtrafik

Nu är du redo att generera viss nätverkstrafik mellan virtuella datorer som ska fångas i flödesloggen.

  1. På resursmenyn väljer du Alla resurseroch väljer sedan FrontendVM-.

  2. Välj Ansluti kommandofältet och välj sedan RDPoch välj sedan Ladda ned RDP-fil. Om du ser en varning om utgivaren av fjärranslutningen, väljer du Anslut.

  3. Starta filen FrontendVM.rdp och välj Anslut.

  4. När du tillfrågas om dina autentiseringsuppgifter väljer du Fler alternativ och loggar in med användarnamnet azureuser- och lösenordet du angav när du skapade den virtuella datorn.

  5. När du tillfrågas om ett säkerhetscertifikat väljer du Ja.

  6. Om du uppmanas att göra det i RDP-sessionen, tillåt att din enhet blir synlig ENDAST om den är på ett privat nätverk.

  7. Öppna en PowerShell-prompt och kör följande kommando.

    Test-NetConnection 10.10.2.4 -port 80

TCP-anslutningstestet misslyckas efter några sekunder.

Diagnostisera problemet

Nu ska vi använda log analytics för att visa NSG-flödesloggarna.

  1. På resursmenyn Azure-portalen väljer du Alla tjänster, väljer Nätverkoch väljer sedan Network Watcher. Fönstret Network Watcher visas.

  2. I resursmenyn, under Loggar, välj Trafikanalys. Fönstret Network Watcher | Traffic Analytics visas.

  3. I listrutan FlowLog-prenumerationer väljer du din prenumeration.

  4. I rullgardinslistan Log Analytics-arbetsyta väljer du testworkspace.

  5. Använd de olika vyerna för att diagnostisera problemet som förhindrar kommunikation från den virtuella klientdatorn till den virtuella serverdelsdatorn.

Åtgärda problemet

En NSG-regel blockerar inkommande trafik till serverdelsundernätet överallt via portarna 80, 443 och 3389 i stället för att bara blockera inkommande trafik från Internet. Nu ska vi konfigurera om regeln.

  1. På resursmenyn i Azure-portalen väljer du Alla resurseroch väljer sedan MyNsg i listan.

  2. På Menyn MyNsg går du till Inställningaroch väljer Inkommande säkerhetsregleroch väljer sedan MyNSGRule. Fönstret MyNSGRule visas.

  3. I listrutan Source väljer du Service Tagoch i listrutan Source Service väljer du Internet.

  4. I kommandofältet MyNSGRule väljer du Spara för att uppdatera säkerhetsregeln.

Testa anslutningen igen

Anslutningar på port 80 bör nu fungera utan problem.

  1. I RDP-klienten ansluter du till FrontendVM-. Kör följande kommando i PowerShell-prompten.

    Test-NetConnection 10.10.2.4 -port 80

Anslutningstestet bör nu lyckas.