Azure-Netzwerküberwachungslösungen in Azure Monitor

Hinweis

In diesem Artikel wird das Azure Az PowerShell-Modul verwendet. Dieses PowerShell-Modul wird für die Interaktion mit Azure empfohlen. Informationen zu den ersten Schritten mit dem Az PowerShell-Modul finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Azure Monitor umfasst die folgenden Lösungen zur Überwachung Ihrer Netzwerke:

  • Netzwerkleistungsmonitor (NPM) zum
    • Überwachen der Integrität Ihres Netzwerks
  • Azure Application Gateway-Analyse zur Überprüfung
    • Azure Application Gateway-Protokolle
    • Azure Application Gateway-Metriken
  • Lösungen zum Überwachen und Überprüfen der Netzwerkaktivität in Ihrem Cloudnetzwerk

Netzwerkleistungsmonitor (NPM)

Die Netzwerkleistungsmonitor-Verwaltungslösung ist eine Lösung zur Netzwerküberwachung, die die Integrität, Verfügbarkeit und Erreichbarkeit von Netzwerken überwacht. Sie dient zur Überwachung der Konnektivität zwischen:

  • Public Cloud und lokaler Umgebung
  • Rechenzentren und Benutzerstandorten (Zweigstellen)
  • Subnetzen, die verschiedene Ebenen einer Multi-Tier-Anwendung hosten.

Weitere Informationen finden Sie unter Netzwerkleistungsmonitor.

Netzwerksicherheitsgruppen-Analyse

  1. Fügen Sie die Verwaltungslösung in Azure Monitor hinzu, und
  2. Aktivieren Sie die Diagnose, um die Diagnose an einen Log Analytics-Arbeitsbereich in Azure Monitor weiterzuleiten. Die Protokolle müssen nicht in Azure Blob Storage geschrieben werden.

Wenn die Diagnoseprotokolle nicht aktiviert sind, enthalten die Dashboardblätter für diese Ressource keine Informationen, und es wird eine Fehlermeldung angezeigt.

Azure Application Gateway-Analyse

  1. Aktivieren Sie die Diagnose, um die Diagnose an einen Log Analytics-Arbeitsbereich in Azure Monitor weiterzuleiten.
  2. Verwenden Sie die ausführliche Zusammenfassung für Ihre Ressource mithilfe der Arbeitsmappenvorlage für Application Gateway.

Wenn die Diagnoseprotokolle für Application Gateway nicht aktiviert sind, werden in der Arbeitsmappe nur die Standardmetrikdaten aufgefüllt.

Hinweis

Im Januar 2017 wurde die unterstützte Vorgehensweise zum Senden von Protokollen von Application Gateways und Netzwerksicherheitsgruppen an einen Log Analytics-Arbeitsbereich geändert. Wenn Sie die Azure Networking Analytics-Lösung (veraltet) sehen, finden Sie unter Migrieren von der alten Networking Analytics-Lösung Schritte, die Sie befolgen müssen.

Überprüfen der Details zur Datensammlung für Azure Networking

Die Azure Application Gateway-Analysen und die Analyseverwaltungslösungen für Netzwerksicherheitsgruppen sammeln Diagnoseprotokolle direkt aus Azure Application Gateways und Netzwerksicherheitsgruppen. Die Protokolle müssen nicht in Azure Blob Storage geschrieben werden, und es wird kein Agent für die Datensammlung benötigt.

Die folgende Tabelle zeigt Datenerfassungsmethoden und andere Details zur Art der Erfassung von Daten für Azure Application Gateway- und Netzwerksicherheitsgruppen-Analysen.

Plattform Direkt-Agent System Center Operations Manager-Agent Azure Operations Manager erforderlich? Daten vom Operations Manager-Agent über Verwaltungsgruppe gesendet Sammlungshäufigkeit
Azure Bei der Anmeldung

Aktivieren der Azure Application Gateway-Diagnose im Portal

  1. Navigieren Sie im Azure-Portal zur Application Gateway-Ressource, die überwacht werden soll.

  2. Wählen Sie Diagnoseeinstellungen aus, um die folgende Seite zu öffnen.

    Screenshot of the Diagnostics Settings config for Application Gateway resource.

    Screenshot of the page for configuring Diagnostics settings.

  3. Klicken Sie auf das Kontrollkästchen An Log Analytics senden.

  4. Wählen Sie einen vorhandenen Log Analytics-Arbeitsbereich aus, oder erstellen Sie einen Arbeitsbereich.

  5. Klicken Sie für jeden der Protokolltypen, die erfasst werden sollen, auf das Kontrollkästchen unter Protokoll.

  6. Klicken Sie auf Speichern, um die Protokollierung der Diagnose in Azure Monitor zu aktivieren.

Aktivieren der Azure-Netzwerkdiagnose mit PowerShell

Das folgende PowerShell-Skript zeigt ein Beispiel für die Aktivierung der Ressourcenprotokollierung für Application Gateways.

$workspaceId = "/subscriptions/d2e37fee-1234-40b2-5678-0b2199de3b50/resourcegroups/oi-default-east-us/providers/microsoft.operationalinsights/workspaces/rollingbaskets"

$gateway = Get-AzApplicationGateway -Name 'ContosoGateway'

Set-AzDiagnosticSetting -ResourceId $gateway.ResourceId  -WorkspaceId $workspaceId -Enabled $true

Zugreifen auf Azure Application Gateway-Analysen über Azure Monitor-Netzwerkerkenntnisse

Auf Application Insights kann über die Registerkarte „Erkenntnisse“ in Ihrer Application Gateway-Ressource zugegriffen werden.

Screenshot of Application Gateway insights

Über die Registerkarte „Ausführliche Metriken anzeigen“ öffnen Sie die vorab ausgefüllte Arbeitsmappe, in der die Daten Ihrer Application Gateway-Instanz zusammengefasst werden.

Screenshot of Application Gateway workbook

Neue Funktionen auf der Azure Monitor-Arbeitsmappe mit Netzwerkerkenntnissen

Hinweis

Azure Monitor-Arbeitsmappen mit Erkenntnissen verursachen keine zusätzlichen Kosten. Der Log Analytics-Arbeitsbereich wird weiterhin nach Verbrauch abgerechnet.

Mithilfe der Arbeitsmappe mit Netzwerkerkenntnissen können Sie die neuesten Funktionen von Azure Monitor und Log Analytics nutzen, einschließlich:

Weitere Informationen zu den Funktionen der neuen Arbeitsmappenlösung finden Sie unter der Übersicht über Arbeitsmappen.

Migrieren von der Azure Gateway-Analyselösung zu Azure Monitor-Arbeitsmappen

Hinweis

Die Azure Monitor-Arbeitsmappe mit Netzwerkerkenntnissen ist die empfohlene Lösung für den Zugriff auf Metrik- und Protokollanalysen für Ihre Application Gateway-Ressourcen.

  1. Stellen Sie sicher, dass die Diagnoseeinstellungen aktiviert sind, damit Protokolle in einem Log Analytics-Arbeitsbereich gespeichert werden. Wenn die Azure Monitor-Arbeitsmappe für Netzwerkerkenntnisse bereits konfiguriert ist, kann sie Daten vom selben Standort nutzen, ohne dass weitere Änderungen erforderlich sind.

Hinweis

Alle bisherigen Daten sind bereits ab dem Zeitpunkt der ersten Aktivierung der Diagnoseeinstellungen in der Arbeitsmappe verfügbar. Es ist keine Datenübertragung erforderlich.

  1. Öffnen Sie die Standardarbeitsmappe mit Erkenntnissen für Ihre Application Gateway-Ressource. Alle vorhandenen Erkenntnisse, die von der Application Gateway-Analyselösung unterstützt werden, sind bereits in der Arbeitsmappe enthalten. Sie können dies erweitern, indem Sie benutzerdefinierte Visualisierungen basierend auf metrischen -Protokolldaten hinzufügen.

  2. Wenn alle Metriken und Protokollerkenntnisse angezeigt werden und Sie die Azure Gateway-Analyselösung aus Ihrem Arbeitsbereich entfernen möchten, können Sie sie auf der zugehörigen Ressourcenseite löschen.

Screenshot of the delete option for Azure Application Gateway analytics solution.

Analyselösung der Azure-Netzwerksicherheitsgruppe in Azure Monitor

Azure Network Security Group Analytics symbol

Hinweis

Die Netzwerksicherheitsgruppen-Analyselösung wird in den Community-Support verlagert, da ihre Funktionalität durch Traffic Analytics ersetzt wurde.

  • Die Lösung ist jetzt in den Azure-Schnellstartvorlagen verfügbar und schon bald nicht mehr über den Azure Marketplace zu beziehen.
  • Für Bestandskunden, die die Lösung bereits ihrem Arbeitsbereich hinzugefügt haben, bleibt die Funktion ohne Änderungen erhalten.
  • Microsoft unterstützt das Senden von NSG-Ressourcenprotokollen an Ihren Arbeitsbereich mithilfe von Diagnostics Settings auch weiterhin.

Die folgenden Protokolle werden für Netzwerksicherheitsgruppen unterstützt:

  • NetworkSecurityGroupEvent
  • NetworkSecurityGroupRuleCounter

Installieren und Konfigurieren der Lösung

Gehen Sie folgendermaßen vor, um die Azure Networking Analytics-Lösung zu installieren und zu konfigurieren:

  1. Aktivieren Sie die Azure-Analyselösung für Netzwerksicherheitsgruppen mithilfe des unter Hinzufügen von Azure Monitor-Lösungen aus dem Lösungskatalog beschriebenen Verfahrens.
  2. Aktivieren Sie die Diagnoseprotokollierung für die Netzwerksicherheitsgruppen-Ressourcen, die Sie überwachen möchten.

Aktivieren der Diagnose für die Azure-Netzwerksicherheitsgruppe im Portal

  1. Navigieren Sie im Azure-Portal zur Netzwerksicherheitsgruppen-Ressource, die überwacht werden soll

  2. Wählen Sie Diagnoseprotokolle aus, um die folgende Seite zu öffnen.

    Screenshot of the Diagnostics logs page for a Network Security Group resource showing the option to Turn on diagnostics.

  3. Klicken Sie auf Diagnose aktivieren, um die folgende Seite zu öffnen.

    Screenshot of the page for configuring Diagnostics settings. Status is set to On, Send to Log Analytics is selected and two Log types are selected.

  4. Um die Diagnose zu aktivieren, klicken Sie unter Status auf Ein.

  5. Klicken Sie auf das Kontrollkästchen An Log Analytics senden.

  6. Wählen Sie einen vorhandenen Log Analytics-Arbeitsbereich, oder erstellen Sie einen Arbeitsbereich.

  7. Klicken Sie für jeden der Protokolltypen, die erfasst werden sollen, auf das Kontrollkästchen unter Protokoll.

  8. Klicken Sie auf Speichern, um die Protokollierung der Diagnose in Log Analytics zu aktivieren.

Aktivieren der Azure-Netzwerkdiagnose mit PowerShell

Das folgende PowerShell-Skript zeigt ein Beispiel für die Aktivierung der Ressourcenprotokollierung für die Netzwerksicherheitsgruppen:

$workspaceId = "/subscriptions/d2e37fee-1234-40b2-5678-0b2199de3b50/resourcegroups/oi-default-east-us/providers/microsoft.operationalinsights/workspaces/rollingbaskets"

$nsg = Get-AzNetworkSecurityGroup -Name 'ContosoNSG'

Set-AzDiagnosticSetting -ResourceId $nsg.ResourceId  -WorkspaceId $workspaceId -Enabled $true

Verwenden von Azure-Netzwerksicherheitsgruppen-Analysen

Nach dem Klicken auf die Kachel Azure Network Security Group analytics (Azure-Netzwerksicherheitsgruppen-Analyse) in der Übersicht können Sie Zusammenfassungen der Protokolle anzeigen und dann die Details für die folgenden Kategorien anzeigen:

  • Blockierte Flows der Netzwerksicherheitsgruppe
    • Regeln der Netzwerksicherheitsgruppe mit blockierten Flows
    • MAC-Adressen mit blockierten Flows
  • Zugelassene Flows der Netzwerksicherheitsgruppe
    • Regeln der Netzwerksicherheitsgruppe mit zugelassenen Flows
    • MAC-Adressen mit zugelassenen Flows

Screenshot of tiles with data for Network security group blocked flows, including Rules with blocked flows and MAC addresses with blocked flows.

Screenshot of tiles with data for Network security group allowed flows, including Rules with allowed flows and MAC addresses with allowed flows.

Prüfen Sie im Azure Network Security Group analytics (Azure-Netzwerksicherheitsgruppen-Analyse)-Dashboard die Zusammenfassungsinformationen auf einem der Blätter, und klicken Sie dann auf einen Eintrag, um ausführliche Informationen auf der Seite „Protokollsuche“ anzuzeigen.

Sie können auf jeder Seite für die Protokollsuche die Ergebnisse nach Zeit, detaillierte Ergebnisse und Ihren Protokollsuchverlauf anzeigen. Außerdem können Sie nach Facets filtern, um die Ergebnisse einzugrenzen.

Migrieren von der alten Networking Analytics-Lösung

Im Januar 2017 wurde die unterstützte Vorgehensweise zum Senden von Protokollen von Azure Application Gateways und Azure-Netzwerksicherheitsgruppen an einen Log Analytics-Arbeitsbereich geändert. Diese Änderungen bieten folgende Vorteile:

  • Protokolle werden direkt in Azure Monitor geschrieben, sodass kein Speicherkonto mehr notwendig ist
  • Geringere Latenz ab dem Zeitpunkt, zu dem Protokolle generiert werden, bis zu ihrer Verfügbarkeit in Azure Monitor
  • Weniger Konfigurationsschritte
  • Ein allgemeines Format für alle Typen der Azure-Diagnose

So verwenden Sie die aktualisierte Lösung:

  1. Konfigurieren der direkt an Azure Monitor von Azure Application Gateways gesendeten Diagnosedaten
  2. Konfigurieren der direkt an Azure Monitor von Azure-Netzwerksicherheitsgruppen gesendeten Diagnosedaten
  3. Aktivieren Sie die Azure Application Gateway- und die Azure-Netzwerksicherheitsgruppen-Analyselösung mithilfe des unter Hinzufügen von Azure Monitor -Lösungen aus dem Lösungskatalog beschriebenen Prozesses.
  4. Aktualisieren Sie alle gespeicherten Abfragen, Dashboards oder Warnungen zur Verwendung des neuen Datentyps.
    • Der Typ lautet AzureDiagnostics. Sie können „ResourceType“ verwenden, um nach Azure-Netzwerkprotokollen zu filtern.

      Verwenden Sie anstelle von Verwendung:
      NetworkApplicationgateways | dabei gilt: OperationName=="ApplicationGatewayAccess" AzureDiagnostics | dabei gilt: ResourceType=="APPLICATIONGATEWAYS" und OperationName=="ApplicationGatewayAccess"
      NetworkApplicationgateways | dabei gilt: OperationName=="ApplicationGatewayPerformance" AzureDiagnostics | dabei gilt: ResourceType=="APPLICATIONGATEWAYS" und OperationName=="ApplicationGatewayPerformance"
      NetworkSecuritygroups AzureDiagnostics | dabei gilt: ResourceType=="NETWORKSECURITYGROUPS"
    • Ändern Sie bei jedem Feld mit dem Suffix _s, _d oder _g im Namen das erste Zeichen in Kleinbuchstaben

    • Für jedes Feld mit dem Suffix _o im Namen werden die Daten basierend auf den verschachtelten Feldnamen in einzelne Felder aufgeteilt.

  5. Entfernen Sie die Azure Networking Analytics-Lösung (veraltet).
    • Wenn Sie PowerShell einsetzen, verwenden Sie Set-AzureOperationalInsightsIntelligencePack -ResourceGroupName <resource group that the workspace is in> -WorkspaceName <name of the log analytics workspace> -IntelligencePackName "AzureNetwork" -Enabled $false.

Daten, die vor der Änderung gesammelt wurden, werden in der neuen Lösung nicht angezeigt. Sie können die Abfrage dieser Daten mithilfe des alten Typs und der alten Feldnamen fortsetzen.

Problembehandlung

Behandeln von Problemen mit Azure Diagnostics

Wenn Sie die folgende Fehlermeldung erhalten, ist der Ressourcenanbieter „Microsoft.insights“ nicht registriert:

Failed to update diagnostics for 'resource'. {"code":"Forbidden","message":"Please register the subscription 'subscription id' with Microsoft.Insights."}

Führen Sie im Azure-Portal die folgenden Schritte aus, um den Ressourcenanbieter zu registrieren:

  1. Klicken Sie im linken Navigationsbereich auf Abonnements.
  2. Wählen Sie das in der Fehlermeldung angegebene Abonnement aus.
  3. Klicken Sie auf Ressourcenanbieter.
  4. Suchen Sie nach dem Anbieter Microsoft.insights.
  5. Klicken Sie auf den Link Registrieren.

Register microsoft.insights resource provider

Wiederholen Sie nach der Registrierung des Ressourcenanbieters Microsoft.insights die Diagnosekonfiguration.

Wenn Sie in PowerShell die folgende Fehlermeldung erhalten, müssen Sie Ihre Version von PowerShell aktualisieren:

Set-AzDiagnosticSetting : A parameter cannot be found that matches parameter name 'WorkspaceId'.

Aktualisieren Sie Ihre Version von Azure PowerShell, indem Sie die Anweisungen im Artikel Installieren von Azure PowerShell befolgen.

Nächste Schritte