Häufig gestellte Fragen zu Network Watcher

In diesem Artikel finden Sie Antworten auf die am häufigsten gestellten Fragen zu Azure Network Watcher.

Allgemein

Was ist Network Watcher?

Network Watcher bietet eine Sammlung von Tools zum Überwachen, Diagnostizieren und Anzeigen von Metriken sowie Aktivieren oder Deaktivieren von Protokollen für IaaS-Ressourcen (Infrastructure-as-a-Service). Dazu gehören virtuelle Maschinen, virtuelle Netzwerke, Anwendungsgateways, Lastenausgleichsmodule und andere Ressourcen in einem virtuellen Azure-Netzwerk. Dabei handelt es sich nicht um eine Lösung für die Überwachung der PaaS-Infrastruktur (Platform-as-a-Service) oder zum Abrufen von Analysen zu Web- oder Mobiltechnologien.

Welche Tools bietet Network Watcher?

Network Watcher bietet drei große Gruppen von Funktionen:

  • Überwachung
    • In der Topologieansicht sehen Sie die Ressourcen in Ihrem virtuellen Netzwerk und die Beziehungen zwischen ihnen.
    • Mit dem Verbindungsmonitor können Sie die Konnektivität und Latenz zwischen Endpunkten innerhalb und außerhalb von Azure überwachen.
  • Netzwerkdiagnosetools
    • Mit der IP-Datenflussüberprüfung können Sie Probleme beim Filtern von Datenverkehr auf Ebene einer virtuellen Maschine erkennen.
    • Mit der NSG-Diagnose können Sie Probleme beim Filtern von Datenverkehr auf Ebene einer virtuellen Maschine, einer VM-Skalierungsgruppe oder eines Anwendungsgateways erkennen.
    • Nächster Hop unterstützt Sie beim Überprüfen von Datenverkehrsrouten und Erkennen von Routingproblemen.
    • Die Problembehandlung für Verbindungen ermöglicht eine einmalige Konnektivitäts- und Latenzüberprüfung zwischen einer virtuellen Maschine und einem Bastionhost, Anwendungsgateway oder einer anderen virtuellen Maschine.
    • Mit der Paketerfassung können Sie den Datenverkehr Ihrer virtuellen Maschine erfassen.
    • Die VPN-Problembehandlung führt mehrere Diagnoseprüfungen für VPN-Gateways und -Verbindungen aus, um beim Beheben von Problemen zu helfen.
  • Traffic

Weitere Informationen finden Sie in der Übersicht zu Network Watcher.

Welche Preise gelten für Network Watcher?

Preise zu verschiedenen Network Watcher-Komponenten finden Sie unter Network Watcher Preise.

In welchen Regionen wird Network Watcher aktuell angeboten und unterstützt?

Weitere Informationen zu den Regionen, die Network Watcher unterstützen, finden Sie unter Network Watcher Regionen.

Welche Berechtigungen sind erforderlich, um Network Watcher zu verwenden?

Eine ausführliche Liste der erforderlichen Berechtigungen für die einzelnen Funktionen von Network Watcher finden Sie unter Erforderliche Berechtigungen der rollenbasierten Zugriffssteuerung von Azure zum Verwenden von Network Watcher-Funktionen.

Wie kann ich Network Watcher aktivieren?

Der Network Watcher-Dienst wird automatisch für jedes Abonnement aktiviert. Wenn Sie die automatische Aktivierung für Network Watcher deaktiviert haben, müssen Sie Network Watcher manuell aktivieren. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren von Azure Network Watcher.

Was ist das Bereitstellungsmodell von Network Watcher?

Die übergeordnete Network Watcher-Ressource wird mit einer eindeutigen Instanz in den einzelnen Regionen bereitgestellt. Standardbenennungsformat: NetworkWatcher_RegionName. Beispiel: „NetworkWatcher_centralus“ ist die Network Watcher-Ressource für die Region „USA, Mitte“. Sie können den Namen der Network Watcher-Instanz mithilfe von PowerShell oder der REST-API anpassen.

Warum erlaubt Azure pro Region nur eine einzelne Network Watcher-Instanz?

Network Watcher muss lediglich einmal pro Region und Abonnement aktiviert werden, damit die zugehörigen Features funktionieren. Ein Network Watcher wird in einer Region aktiviert, indem in dieser Region eine Network Watcher-Instanz erstellt wird.

Wie kann ich die Network Watcher-Ressource verwalten?

Die Network Watcher-Ressource stellt den Back-End-Dienst für Network Watcher dar, die vollständig von Azure verwaltet wird. Sie können jedoch die Network Watcher-Ressource erstellen oder löschen, um sie in einer bestimmten Region zu aktivieren oder zu deaktivieren. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren von Azure Network Watcher.

Kann ich eine Network Watcher-Instanz aus einer Region in eine andere verschieben?

Nein, das Verschieben der Network Watcher-Ressource oder einer ihrer untergeordneten Ressourcen von einer Region in eine andere hinweg wird nicht unterstützt. Weitere Informationen finden Sie unter Unterstützung von Verschiebungsvorgängen für Netzwerkressourcen.

Kann ich eine Network Watcher-Instanz von einer Ressourcengruppe in eine andere verschieben?

Ja, das Verschieben der Network Watcher-Ressource zwischen Ressourcengruppen wird unterstützt. Weitere Informationen finden Sie unter Unterstützung von Verschiebungsvorgängen für Netzwerkressourcen.

Was ist NetworkWatcherRG?

NetworkWatcherRG ist eine Ressourcengruppe, die automatisch für Network Watcher-Ressourcen erstellt wird. Beispielsweise werden regionale Network Watcher-Instanzen und die NSG-Datenflussprotokollressourcen in der Ressourcengruppe NetworkWatcherRG erstellt. Sie können den Namen der Network Watcher-Ressourcengruppe mithilfe von PowerShell, der Azure CLI oder der REST-API anpassen.

Speichert Network Watcher Kundendaten?

Azure Network Watcher speichert keine Kundendaten, außer für den Verbindungsmonitor. Der Verbindungsmonitor speichert Kundendaten, die automatisch von Network Watcher in einer einzelnen Region gespeichert werden, um die Anforderungen an die Datenresidenz in der Region zu erfüllen.

Welche Ressourcengrenzwerte gelten für Network Watcher?

Network Watcher weist die folgenden Grenzwerte auf:

Resource Begrenzung
Network Watcher-Instanzen pro Region und Abonnement 1 (Eine Instanz in einer Region, um den Zugriff auf den Dienst in der Region zu ermöglichen)
Verbindungsmonitore pro Region und Abonnement 100
Maximale Anzahl von Testgruppen pro Verbindungsmonitor 20
Maximale Anzahl von Quellen und Zielen pro Verbindungsmonitor 100
Maximale Anzahl von Testkonfigurationen pro Verbindungsmonitor 20
Paketerfassungssitzungen pro Region und Abonnement 10.000 (Nur Anzahl von Sitzungen, ohne gespeicherte Erfassungen)
VPN-Problembehandlungsvorgänge pro Abonnement 1 (Anzahl von gleichzeitigen Vorgängen)

Dienstverfügbarkeit und Redundanz

Ist Network Watcher zonenresilient?

Ja, der Network Watcher-Dienst ist standardmäßig zonenresilient.

Wie konfiguriere ich den Network Watcher-Dienst so, dass er zonenresilient ist?

Es ist keine Konfiguration erforderlich, um Zonenresilienz zu ermöglichen. Zonenresilienz für Network Watcher-Ressourcen ist standardmäßig verfügbar und wird vom Dienst selbst verwaltet.

Network Watcher-Agent

Warum muss ich den Network Watcher-Agent installieren?

Der Network Watcher-Agent ist für alle Network Watcher-Features erforderlich, die Datenverkehr von einer VM generieren oder abfangen.

Welche Features erfordern den Network Watcher-Agent?

Die Network Watcher-Erweiterung wird für die Features „Paketerfassung“, „Problembehandlung für Verbindungen“ und „Verbindungsmonitor“ benötigt.

Was ist die aktuelle Version des Network Watcher-Agent?

Die aktuelle Version der Network Watcher-Erweiterung ist 1.4.3422.1. Weitere Informationen finden Sie unter Aktualisieren der Azure Network Watcher-Erweiterung auf die neueste Version.

Welche Ports verwendet der Network Watcher-Agent?

  • Linux: Der Network Watcher-Agent verwendet verfügbare Ports ab port 50000, bis er port 65535 erreicht.
  • Windows: Der Network Watcher-Agent verwendet die Ports, mit denen das Betriebssystem antwortet, wenn nach verfügbaren Ports abgefragt wird.

Mit welchen IP-Adressen kommuniziert der Network Watcher-Agent?

Der Network Watcher-Agent erfordert ausgehende TCP-Konnektivität zu 169.254.169.254 über port 80 und zu 168.63.129.16 über port 8037. Der Agent verwendet diese IP-Adressen für die Kommunikation mit der Azure-Plattform.

Verbindungsmonitor

Unterstützt der Verbindungsmonitor klassische VMs?

Nein, klassische VMs werden vom Verbindungsmonitor nicht unterstützt. Weitere Informationen finden Sie unter Plattformgestützte Migration von IaaS-Ressourcen vom klassischen Bereitstellungsmodell zu Azure Resource Manager.

Was geschieht, wenn meine Topologie nicht ergänzt wird oder wenn Informationen für meine Hops fehlen?

Die Topologie kann von Nicht-Azure zu Azure nur ergänzt werden, wenn sich die Azure-Zielressource und die Verbindungsmonitor-Ressource in derselben Region befinden.

Was geschieht, wenn beim Erstellen des Verbindungsmonitors folgender Fehler auftritt: „Es ist nicht gestattet, verschiedene Endpunkt für dieselbe VM zu erstellen“?

Dieselbe Azure-VM kann nicht mit unterschiedlichen Konfigurationen in demselben Verbindungsmonitor verwendet werden. Beispielsweise wird die Verwendung derselben VM mit einem Filter und ohne einen Filter in demselben Verbindungsmonitor nicht unterstützt.

Was geschieht, wenn der Grund für den Testfehler „Keine Elemente für Anzeige vorhanden“ lautet?

Die im Dashboard des Verbindungsmonitors angezeigten Probleme werden während der Topologieerkennung oder der Hoperkundung gefunden. Es kann Fälle geben, in denen der eingestellte Schwellenwert für % Verlust oder RTT erreicht wird, aber keine Probleme bei den Hops gefunden werden.

Was geschieht, wenn beim Migrieren des vorhandenen Verbindungsmonitors (klassisch) zum neuesten Verbindungsmonitor die externen Endpunkttests nur mit dem TCP-Protokoll migriert werden?

Im Verbindungsmonitor (klassisch) gibt es keine Option zur Protokollauswahl. Tests im Verbindungsmonitor (klassisch) verwenden nur das TCP-Protokoll. Aus diesem Grund erstellen wir bei der Migration eine TCP-Konfiguration in Tests im neuen Verbindungsmonitor.

Gibt es Einschränkungen bei der Verwendung von Azure Monitor und Arc Agents mit dem Verbindungsmonitor?

Es gibt derzeit eine regionale Grenze, wenn ein Endpunkt Azure Monitor und Arc-Agents mit dem zugeordneten Log Analytics-Arbeitsbereich verwendet. Aufgrund dieser Einschränkung muss sich der zugeordnete Log Analytics-Arbeitsbereich in derselben Region wie der Arc-Endpunkt befinden. Daten, die in einzelne Arbeitsbereiche eingelesen werden, können für eine einzelne Ansicht zusammengefasst werden, siehe Abfragedaten in Log Analytics-Arbeitsbereichen, -Anwendungen und -Ressourcen in Azure Monitor.

Flowprotokolle

Was bewirkt die Datenflussprotokollierung?

Mit Datenflussprotokollen können Sie 5-Tupel-Flussinformationen zu Ihrem Azure-IP-Datenverkehr protokollieren, der über eine Netzwerksicherheitsgruppe oder ein virtuelles Azure-Netzwerk durchläuft. Die unbearbeiteten Datenflussprotokolle werden in ein Azure Storage-Konto geschrieben. Von dort aus können Sie sie nach Bedarf weiter verarbeiten, analysieren, abfragen oder exportieren.

Wirken sich Datenflussprotokolle auf die Wartezeit oder Leistung des Netzwerks aus?

Die Daten von Datenflussprotokollen werden außerhalb des Pfads Ihres Netzwerkdatenverkehrs erfasst und wirken sich daher nicht auf den Netzwerkdurchsatz oder die -latenz aus. Sie können Datenflussprotokolle erstellen oder löschen, ohne dass sich dies auf die Netzwerkleistung auswirkt.

Was ist der Unterschied zwischen NSG-Datenflussprotokollen und NSG-Diagnosen?

Datenflussprotokolle für Netzwerksicherheitsgruppen protokollieren Datenverkehr, der durch eine Netzwerksicherheitsgruppe fließt. Andererseits gibt die NSG-Diagnose alle Netzwerksicherheitsgruppen zurück, die Ihr Datenverkehr durchläuft, sowie die Regeln jeder Netzwerksicherheitsgruppe, die auf diesen Datenverkehr angewandt werden. Mit der NSG-Diagnose können Sie sich vergewissern, dass Ihre Netzwerksicherheitsgruppen-Regeln wie erwartet angewandt werden.

Kann ich ESP- und AH-Datenverkehr mithilfe von Datenflussprotokollen für Netzwerksicherheitsgruppen protokollieren?

Nein. Datenflussprotokolle für Netzwerksicherheitsgruppen unterstützen keine ESP- und AH-Protokolle.

Kann ich ICMP-Datenverkehr mithilfe von Datenflussprotokollen protokollieren?

Nein. Datenflussprotokolle für Netzwerksicherheitsgruppen unterstützen das Internet Control Message-Protokoll nicht.

Kann ich eine Netzwerksicherheitsgruppe löschen, für welche die Ablaufprotokollierung aktiviert ist?

Ja. Die zugeordnete Datenflussprotokoll-Ressource wird ebenfalls gelöscht. Datenflussprotokolldaten werden im Speicherkonto für den im Datenflussprotokoll konfigurierten Aufbewahrungszeitraum aufbewahrt.

Kann ich eine Netzwerksicherheitsgruppe mit aktivierter Ablaufprotokollierung in eine andere Ressourcengruppe oder ein anderes Abonnement verschieben?

Ja, aber Sie müssen die zugeordnete Datenflussprotokollressource löschen. Nachdem Sie die Netzwerksicherheitsgruppe migriert haben, können Sie die Datenflussprotokolle neu erstellen, um die Datenflussprotokollierung für sie zu aktivieren.

Kann ich ein Speicherkonto in einem anderen Abonnement als die Netzwerksicherheitsgruppe oder das virtuelle Netzwerk verwenden, für welches das Datenflussprotokoll aktiviert ist?

Ja, Sie können ein Speicherkonto aus einem anderen Abonnement verwenden, solange sich dieses Abonnement in derselben Region der Netzwerksicherheitsgruppe befindet und demselben Microsoft Entra-Mandanten der Netzwerksicherheitsgruppe oder des Abonnements des virtuellen Netzwerks zugeordnet ist.

Wie verwende ich Datenflussprotokolle für Netzwerksicherheitsgruppen mit einem Speicherkonto hinter einer Firewall?

Wenn Sie ein Speicherkonto hinter einer Firewall verwenden möchten, müssen Sie eine Ausnahme für vertrauenswürdige Microsoft-Dienste für den Zugriff auf Ihr Speicherkonto bereitstellen:

  1. Navigieren Sie zu dem Speicherkonto, indem Sie den Namen des Speicherkontos in das Suchfeld oben im Portal eingeben.
  2. Wählen Sie unter Sicherheit + Netzwerk die Option Netzwerk aus und dann Firewalls und virtuelle Netzwerke.
  3. Wählen Sie bei Öffentlicher Netzwerkzugang die Option Aktivierung von ausgewählten virtuellen Netzwerken und IP-Adressen aus. Aktivieren Sie unter Ausnahmen das Kontrollkästchen neben Azure-Dienste auf der Liste der vertrauenswürdigen Dienste für den Zugriff auf dieses Speicherkonto zulassen.
  4. Aktivieren Sie Datenflussprotokolle für Netzwerksicherheitsgruppen, indem Sie unter Verwendung des Speicherkontos ein Datenflussprotokoll für Ihre Ziel-Netzwerksicherheitsgruppe erstellen. Weitere Informationen finden Sie unter Erstellen eines Datenflussprotokolls.

Sie können die Speicherprotokolle nach einigen Minuten überprüfen. Es sollte ein aktualisierter Zeitstempel oder eine neue JSON-Datei vorhanden sein.

Warum werden einige 403 Fehler in Speicherkonto-Aktivitätsprotokollen angezeigt?

Die Netzwerküberwachung verfügt über einen integrierten Fallbackmechanismus, der beim Herstellen einer Verbindung mit einem Speicherkonto hinter einer Firewall verwendet wird (Firewall aktiviert). Es versucht, mithilfe eines Schlüssels eine Verbindung mit dem Speicherkonto herzustellen, und wenn dies fehlschlägt, wechselt es zu einem Token. In diesem Fall wird ein 403-Fehler im Speicherkontoaktivitätsprotokoll protokolliert.

Kann Network Watcher die Daten von Datenflussprotokollen für Netzwerksicherheitsgruppen an ein Speicherkonto senden, das mit einem privaten Endpunkt aktiviert ist?

Ja. Network Watcher unterstützt das Senden der Daten von Datenflussprotokollen für Netzwerksicherheitsgruppen an ein Speicherkonto, das mit einem privaten Endpunkt aktiviert ist.

Wie verwende ich Datenflussprotokolle für Netzwerksicherheitsgruppen mit einem Speicherkonto hinter einem Dienstendpunkt?

Datenflussprotokolle für Netzwerksicherheitsgruppen sind ohne weitere Konfiguration mit Dienstendpunkten kompatibel. Weitere Informationen finden Sie unter Aktivieren eines Dienstendpunkts.

Worin besteht der Unterschied zwischen den Datenflussprotokollen der Version 1 und der Version 2?

In Datenflussprotokollen der Version 2 wurde des Konzept des Flowzustands eingeführt, gemäß dem Informationen zu übertragenen Bytes und Paketen gespeichert werden. Weitere Informationen finden Sie unter „Datenflussprotokollierung für Netzwerksicherheitsgruppen“ im Abschnitt Protokollformat.

Kann ich ein Datenflussprotokoll für eine Netzwerksicherheitsgruppe mit einer Schreibschutzsperre erstellen?

Nein. Eine Schreibschutzsperre für eine Netzwerksicherheitsgruppe verhindert das Erstellen des entsprechenden Datenflussprotokolls für Netzwerksicherheitsgruppen.

Kann ich ein Datenflussprotokoll für eine Netzwerksicherheitsgruppe mit einer Löschschutzsperre erstellen?

Ja. Eine Löschschutzsperre für eine Netzwerksicherheitsgruppe verhindert das Erstellen oder Ändern des entsprechenden Datenflussprotokolls für Netzwerksicherheitsgruppen nicht.

Kann ich die Datenflussprotokolle für Netzwerksicherheitsgruppen automatisieren?

Ja. Sie können Datenflussprotokolle für Netzwerksicherheitsgruppen über Azure Resource Manager-Vorlagen (ARM-Vorlagen) automatisieren. Weitere Informationen finden Sie unter Konfigurieren von NSG-Datenflussprotokollen mithilfe einer ARM-Vorlage (Azure Resource Manager).