使用网络观察程序(包括网络安全组)监视网络安全
Azure 网络观察程序提供了一套工具来监视、诊断、查看指标,以及启用或禁用 Azure IaaS(基础结构即服务)资源的日志。 通过网络观察程序,可以监视和修复 IaaS 产品的网络运行状况,例如虚拟机(VM)、虚拟网络(VNet)、应用程序网关、负载均衡器等。网络观察程序不是针对 PaaS 监视或 Web 分析设计的。网络观察程序不设计或用于 Web 分析。
网络观察程序由三组主要工具和功能组成:
- 监测
- 网络诊断工具
- 交通
显示网络观察程序监视和诊断工具示例的 
注意
在订阅中创建或更新虚拟网络时,网络观察程序会自动在虚拟网络区域中启用。 自动启用网络观察程序不会对资源或关联的费用造成任何影响。
监测
网络观察程序提供了两种监视工具,可帮助你查看和监视资源:
- 拓扑学
- 连接监视器
拓扑学
拓扑提供整个网络的可视化效果,用于了解网络配置。 它提供了一个交互式界面,用于查看跨多个订阅、资源组和位置的 Azure 中的资源及其关系。
连接监视器
连接监视器为 Azure 和混合终结点提供端到端连接监视。 它有助于了解网络基础结构中各种终结点之间的网络性能。
网络诊断工具
网络观察程序提供七种网络诊断工具,可帮助排查和诊断网络问题:
- IP 流验证
- NSG 诊断
- 下一跳
- 有效的安全规则
- 连接故障排除
- 数据包捕获
- VPN 故障排除
IP 流验证
IP 流验证允许在虚拟机级别检测流量筛选问题。 它会检查数据包的传入或传出是否被允许或拒绝,涉及的 IP 地址可以是 IPv4 或 IPv6 地址。 它还会告知您是哪个安全规则允许或拒绝了该流量。
网络安全组 (NSG) 诊断
NSG 诊断允许检测虚拟机、虚拟机规模集或应用程序网关级别的流量筛选问题。 它会检查数据包是否被允许或拒绝传入或传出 IP 地址、IP 前缀或服务标记。 它告知允许或拒绝流量的安全规则。 它还允许你添加优先级更高的新安全规则,以允许或拒绝流量。
下一跳
下一跳允许您检测路由问题。 它会检查流量是否已正确路由到预期目标。 它提供有关特定目标 IP 地址的下一跃点类型、IP 地址和路由表 ID 的信息。
有效的安全规则
有效的安全规则允许查看应用于网络接口的有效安全规则。 它显示应用于网络接口的所有安全规则、网络接口所位于的子网以及两者的聚合。
连接故障排除
通过连接故障排除,可以测试虚拟机、虚拟机规模集、应用程序网关或 Bastion 主机与虚拟机、FQDN、URI 或 IPv4 地址之间的连接。 该测试返回使用连接监视器功能时返回的类似信息,但在某个时间点测试连接,而不是随时间推移监视连接,就像连接监视器一样。
数据包捕获
数据包捕获允许远程创建数据包捕获会话,以跟踪传入和传出虚拟机(VM)或虚拟机规模集的流量。
VPN 故障排除
通过 VPN 故障排除,可以对虚拟网络网关及其连接进行故障排除
交通
网络观察程序提供了两种流量工具,可帮助你记录和可视化网络流量:
- 流日志
- 流量分析
流日志
流日志允许记录有关 Azure IP 流量的信息,并将数据存储在 Azure 存储中。
网络安全组流日志记录是 Azure 网络观察程序的一项功能,可用于记录流经网络安全组的 IP 流量的相关信息。 流数据将发送到 Azure 存储,可从中访问流数据并将其导出到所选的任何可视化工具、安全信息和事件管理(SIEM)解决方案或入侵检测系统(IDS)。
流量分析
流量分析提供流日志数据的丰富可视化效果。
显示流量分析流日志数据的 