Was ist Azure Network Watcher?What is Azure Network Watcher?

Mit Azure Network Watcher werden Tools für die Überwachung, Diagnose, Metrikanzeige und Aktivierung/Deaktivierung von Protokollen für Ressourcen in einem virtuellen Azure-Netzwerk bereitgestellt.Azure Network Watcher provides tools to monitor, diagnose, view metrics, and enable or disable logs for resources in an Azure virtual network.

ÜberwachungMonitoring

Überwachen der Kommunikation zwischen einem virtuellen Computer und einem EndpunktMonitor communication between a virtual machine and an endpoint

Bei Endpunkten kann es sich um einen anderen virtuellen Computer (VM), einen vollqualifizierten Domänennamen (FQDN), einen URI (Uniform Resource Identifier) oder eine IPv4-Adresse handeln.Endpoints can be another virtual machine (VM), a fully qualified domain name (FQDN), a uniform resource identifier (URI), or IPv4 address. Mit der Funktion Verbindungsmonitor wird die Kommunikation in regelmäßigen Abständen überwacht, und Sie werden über Änderungen der Erreichbarkeit, Latenz und Netzwerktopologie zwischen der VM und dem Endpunkt informiert.The connection monitor capability monitors communication at a regular interval and informs you of reachability, latency, and network topology changes between the VM and the endpoint. Beispielsweise verfügen Sie ggf. über eine Webserver-VM, die mit einer Datenbankserver-VM kommuniziert.For example, you might have a web server VM that communicates with a database server VM. Es kann sein, dass eine andere Person in Ihrer Organisation (ohne dass Ihnen dies bekannt ist) eine benutzerdefinierte Route oder Netzwerksicherheitsregel auf die Webserver- oder Datenbankserver-VM oder das Subnetz anwendet.Someone in your organization may, unknown to you, apply a custom route or network security rule to the web server or database server VM or subnet.

Wenn ein Endpunkt nicht mehr erreichbar ist, werden Sie von der Problembehandlung der Verbindung über die Ursache informiert.If an endpoint becomes unreachable, connection troubleshoot informs you of the reason. Mögliche Ursachen sind ein Problem mit der DNS-Namensauflösung, die CPU, der Arbeitsspeicher oder die Firewall des Betriebssystems einer VM, der Hop-Typ einer benutzerdefinierten Route oder die Sicherheitsregel für die VM oder das Subnetz der ausgehenden Verbindung.Potential reasons are a DNS name resolution problem, the CPU, memory, or firewall within the operating system of a VM, or the hop type of a custom route, or security rule for the VM or subnet of the outbound connection. Informieren Sie sich über Sicherheitsregeln und Hop-Typen von Routen in Azure.Learn more about security rules and route hop types in Azure.

Über den Verbindungsmonitor werden auch die Werte für die minimale, durchschnittliche und maximale Latenz angegeben, die im Laufe der Zeit ermittelt wurde.Connection monitor also provides the minimum, average, and maximum latency observed over time. Wenn Sie die Latenz für eine Verbindung kennen, stellt sich unter Umständen heraus, dass Sie sie reduzieren können, indem Sie Ihre Azure-Ressourcen in andere Azure-Regionen verschieben.After learning the latency for a connection, you may find that you're able to decrease the latency by moving your Azure resources to different Azure regions. Informieren Sie sich über die Ermittlung der relativen Latenzen zwischen Azure-Regionen und Internetdienstanbietern und die Überwachung der Kommunikation zwischen einer VM und einem Endpunkt per Verbindungsmonitor.Learn more about determining relative latencies between Azure regions and internet service providers and how to monitor communication between a VM and an endpoint with connection monitor. Falls Sie eine Verbindung zu einem bestimmten Zeitpunkt und nicht für einen Zeitraum testen möchten (wie mit dem Verbindungsmonitor), können Sie die Funktion Problembehandlung für Verbindung nutzen.If you'd rather test a connection at a point in time, rather than monitor the connection over time, like you do with connection monitor, use the connection troubleshoot capability.

Der Netzwerkleistungsmonitor ist eine Cloud-basierte hybride Netzwerküberwachungslösung, mit der Sie die Netzwerkleistung zwischen verschiedenen Punkten in Ihrer Netzwerkinfrastruktur überwachen können.Network performance monitor is a cloud-based hybrid network monitoring solution that helps you monitor network performance between various points in your network infrastructure. Er hilft Ihnen auch, die Netzwerkkonnektivität mit Dienst- und Anwendungsendpunkten zu überwachen und die Leistung von Azure ExpressRoute zu überwachen.It also helps you monitor network connectivity to service and application endpoints and monitor the performance of Azure ExpressRoute. Der Netzwerkleistungsmonitor erkennt Netzwerkprobleme wie ins Nichts führenden Datenverkehr (Blackholing), Routingfehler und Probleme, die mit herkömmlichen Netzwerküberwachungsmethoden nicht erkannt werden können.Network performance monitor detects network issues like traffic blackholing, routing errors, and issues that conventional network monitoring methods aren't able to detect. Die Lösung generiert Warnungen und benachrichtigt Sie, sobald ein Schwellenwert für eine Netzwerkverbindung überschritten wird.The solution generates alerts and notifies you when a threshold is breached for a network link. Sie gewährleistet außerdem das rechtzeitige Erkennen von Leistungsproblemen im Netzwerk und ordnet die Ursache des Problems einem bestimmten Netzwerksegment oder Gerät zu.It also ensures timely detection of network performance issues and localizes the source of the problem to a particular network segment or device. Weitere Informationen über den Netzwerkleistungsmonitor.Learn more about network performance monitor.

Anzeigen von Ressourcen in einem virtuellen Netzwerk mit den dazugehörigen BeziehungenView resources in a virtual network and their relationships

Wenn Ressourcen einem virtuellen Netzwerk hinzugefügt werden, kann es schwierig sein, den Überblick darüber zu behalten, welche Ressourcen sich in einem virtuellen Netzwerk befinden und wie sie miteinander in Beziehung stehen.As resources are added to a virtual network, it can become difficult to understand what resources are in a virtual network and how they relate to each other. Mit der Funktion Topologie können Sie eine visuelle Darstellung der Ressourcen in einem virtuellen Netzwerk mit den Beziehungen zwischen den Ressourcen generieren.The topology capability enables you to generate a visual diagram of the resources in a virtual network, and the relationships between the resources. Die folgende Abbildung enthält ein Beispieltopologie-Diagramm für ein virtuelles Netzwerk mit drei Subnetzen, zwei VMs, Netzwerkschnittstellen, öffentlichen IP-Adressen, Netzwerksicherheitsgruppen, Routentabellen und den Beziehungen zwischen den Ressourcen:The following picture shows an example topology diagram for a virtual network that has three subnets, two VMs, network interfaces, public IP addresses, network security groups, route tables, and the relationships between the resources:

Topologieansicht

Sie können eine bearbeitbare Version der Abbildung im SVG-Format herunterladen.You can download an editable version of the picture in svg format. Informieren Sie sich über die Topologieansicht.Learn more about topology view.

DiagnoseDiagnostics

Diagnostizieren von Problemen mit der Filterung des Netzwerkdatenverkehrs für eine VM (in ein- und ausgehender Richtung)Diagnose network traffic filtering problems to or from a VM

Wenn Sie eine VM bereitstellen, wendet Azure mehrere Standardsicherheitsregeln auf die VM an, mit denen Datenverkehr für die VM zugelassen oder verweigert wird.When you deploy a VM, Azure applies several default security rules to the VM that allow or deny traffic to or from the VM. Sie können die Standardregeln von Azure außer Kraft setzen oder zusätzliche Regeln erstellen.You might override Azure's default rules, or create additional rules. Es kann sein, dass eine VM aufgrund einer Sicherheitsregel irgendwann nicht mehr mit anderen Ressourcen kommunizieren kann.At some point, a VM may become unable to communicate with other resources, because of a security rule. Mit der Funktion IP-Datenflussüberprüfung können Sie eine IPv4-Quell- und -Zieladresse, einen Port, ein Protokoll (TCP oder UDP) und die Richtung des Datenverkehrs (ein- oder ausgehend) angeben.The IP flow verify capability enables you to specify a source and destination IPv4 address, port, protocol (TCP or UDP), and traffic direction (inbound or outbound). Mit der IP-Datenflussüberprüfung wird dann die Kommunikation getestet, und Sie werden informiert, ob die Verbindungsherstellung erfolgreich war.IP flow verify then tests the communication and informs you if the connection succeeds or fails. Falls die Verbindungsherstellung nicht erfolgreich war, werden Sie über die IP-Datenflussüberprüfung benachrichtigt, welche Sicherheitsregel die Kommunikation zugelassen oder verweigert hat, damit Sie das Problem beheben können.If the connection fails, IP flow verify tells you which security rule allowed or denied the communication, so that you can resolve the problem. Weitere Informationen zur IP-Datenflussüberprüfung erhalten Sie im Tutorial Diagnostizieren von Problemen mit dem Filter für Netzwerkdatenverkehr eines virtuellen Computers über das Azure-Portal.Learn more about IP flow verify by completing the Diagnose a virtual machine network traffic filter problem tutorial.

Diagnostizieren von Problemen mit dem Netzwerkrouting über eine VMDiagnose network routing problems from a VM

Wenn Sie ein virtuelles Netzwerk erstellen, erstellt Azure mehrere ausgehende Standardrouten für Netzwerkdatenverkehr.When you create a virtual network, Azure creates several default outbound routes for network traffic. Der ausgehende Datenverkehr aller Ressourcen, z.B. VMs, die in einem virtuellen Netzwerk bereitgestellt werden, wird basierend auf den Standardrouten von Azure weitergeleitet.The outbound traffic from all resources, such as VMs, deployed in a virtual network, are routed based on Azure's default routes. Sie können die Standardrouten von Azure außer Kraft setzen oder zusätzliche Routen erstellen.You might override Azure's default routes, or create additional routes. Es kann sein, dass eine VM aufgrund einer bestimmten Route nicht mehr mit anderen Ressourcen kommunizieren kann.You may find that a VM can no longer communicate with other resources because of a specific route. Mit der Funktion Nächster Hop können Sie eine IPv4-Quell- und -Zieladresse angeben.The next hop capability enables you to specify a source and destination IPv4 address. Bei „Nächster Hop“ wird die Kommunikation getestet, und Sie erhalten die Information, welche Art von nächstem Hop zum Weiterleiten des Datenverkehrs verwendet wird.Next hop then tests the communication and informs you what type of next hop is used to route the traffic. Sie können eine Route dann entfernen, ändern oder hinzufügen, um ein Routingproblem zu beheben.You can then remove, change, or add a route, to resolve a routing problem. Erfahren Sie mehr zur Funktion Nächster Hop.Learn more about the next hop capability.

Diagnostizieren ausgehender Verbindungen von einer VMDiagnose outbound connections from a VM

Mit der Funktion Problembehandlung für Verbindung können Sie eine Verbindung zwischen einer VM und einer anderen VM, einem FQDN, einem URI oder einer IPv4-Adresse testen.The connection troubleshoot capability enables you to test a connection between a VM and another VM, an FQDN, a URI, or an IPv4 address. Bei diesem Test werden ähnliche Informationen wie bei Verwendung des Verbindungsmonitors zurückgegeben. Für die Verbindung wird aber ein bestimmter Zeitpunkt getestet, und sie wird nicht im Zeitverlauf überwacht, wie dies beim Verbindungsmonitor der Fall ist.The test returns similar information returned when using the connection monitor capability, but tests the connection at a point in time, rather than monitoring it over time, as connection monitor does. Informieren Sie sich über die Problembehandlung von Verbindungen mit der Funktion Problembehandlung für Verbindung.Learn more about how to troubleshoot connections using connection-troubleshoot.

Erfassen von Paketen zu und von einem virtuellen ComputerCapture packets to and from a VM

Erweiterte Filteroptionen und präzise Steuerelemente ermöglichen beispielsweise das Festlegen von Zeit- und Größeneinschränkungen und bieten damit viel Flexibilität.Advanced filtering options and fine-tuned controls, such as the ability to set time and size limitations, provide versatility. Die Erfassung kann in Azure Storage, auf dem Datenträger der VM oder an beiden Orten gespeichert werden.The capture can be stored in Azure Storage, on the VM's disk, or both. Anschließend können Sie die Erfassungsdatei analysieren, indem Sie mehrere Standardanalysetools für die Netzwerkerfassung verwenden.You can then analyze the capture file using several standard network capture analysis tools. Erfahren Sie mehr zur Paketerfassung.Learn more about packet capture.

Diagnostizieren von Problemen mit einem Gateway eines virtuellen Azure-Netzwerks und mit VerbindungenDiagnose problems with an Azure Virtual network gateway and connections

Gateways eines virtuellen Netzwerks stellen die Konnektivität zwischen lokalen Ressourcen und anderen virtuellen Azure-Netzwerken bereit.Virtual network gateways provide connectivity between on-premises resources and Azure virtual networks. Die Überwachung der Gateways und ihrer Verbindungen ist wichtig, damit die Kommunikation nicht unterbrochen wird.Monitoring gateways and their connections are critical to ensuring communication is not broken. Die Funktion VPN-Diagnose ermöglicht die Diagnose von Gateways und Verbindungen.The VPN diagnostics capability provides the ability to diagnose gateways and connections. Per VPN-Diagnose wird die Integrität des Gateways bzw. der Gatewayverbindung diagnostiziert, und Sie werden informiert, ob ein Gateway und Gatewayverbindungen verfügbar sind.VPN diagnostics diagnoses the health of the gateway, or gateway connection, and informs you whether a gateway and gateway connections, are available. Falls das Gateway oder die Verbindung nicht verfügbar sind, teilt die VPN-Diagnose Ihnen den Grund dafür mit, damit Sie das Problem beheben können.If the gateway or connection is not available, VPN diagnostics tells you why, so you can resolve the problem. Weitere Informationen zur VPN-Diagnose erhalten Sie im Tutorial Diagnostizieren eines Problems mit der Kommunikation zwischen Netzwerken mit dem Azure-Portal.Learn more about VPN diagnostics by completing the Diagnose a communication problem between networks tutorial.

Bestimmen von relativen Latenzen zwischen Azure-Regionen und InternetdienstanbieternDetermine relative latencies between Azure regions and internet service providers

Sie können über Network Watcher Latenzinformationen zwischen Azure-Regionen und für Internetdienstanbieter abfragen.You can query Network Watcher for latency information between Azure regions and across internet service providers. Wenn Ihnen die Latenzen zwischen Azure-Regionen und für Internetdienstanbieter bekannt sind, können Sie Azure-Ressourcen bereitstellen, um die Antwortzeit des Netzwerks zu optimieren.When you know latencies between Azure regions and across Internet service providers, you can deploy Azure resources to optimize network response time. Informieren Sie sich über relative Latenzen.Learn more about relative latencies.

Anzeigen der Sicherheitsregeln für eine NetzwerkschnittstelleView security rules for a network interface

Die geltenden Sicherheitsregeln für eine Netzwerkschnittstelle stellen eine Kombination aller Sicherheitsregeln, die auf die Netzwerkschnittstelle angewendet werden, und des Subnetzes der Netzwerkschnittstelle dar.The effective security rules for a network interface are a combination of all security rules applied to the network interface, and the subnet the network interface is in. Mit der Funktion Sicherheitsgruppenansicht werden alle Sicherheitsregeln, die auf die Netzwerkschnittstelle angewendet werden, das Subnetz, in dem sich die Netzwerkschnittstelle befindet, und die entsprechende Aggregierung angezeigt.The security group view capability shows you all security rules applied to the network interface, the subnet the network interface is in, and the aggregate of both. Wenn Sie wissen, welche Regeln auf eine Netzwerkschnittstelle angewendet werden, können Sie Regeln hinzufügen, entfernen oder ändern, falls damit Datenverkehr zugelassen oder verweigert wird und Sie dies ändern möchten.With an understanding of which rules are applied to a network interface, you can add, remove, or change rules, if they're allowing or denying traffic that you want to change. Erfahren Sie mehr zur Sicherheitsgruppenansicht.Learn more about security group view.

MetrikenMetrics

Es gibt Grenzwerte für die Anzahl von Netzwerkressourcen, die Sie in einem Azure-Abonnement und einer Region erstellen können.There are limits to the number of network resources that you can create within an Azure subscription and region. Wenn Sie die Grenzwerte erreicht haben, ist es nicht möglich, unter dem Abonnement oder in der Region weitere Ressourcen zu erstellen.If you meet the limits, you're unable to create more resources within the subscription or region. Bei der Funktion Limit für Netzwerkabonnement wird eine Zusammenfassung dazu angezeigt, wie viele der einzelnen Netzwerkressourcen Sie für ein Abonnement und eine Region jeweils bereitgestellt haben und welche Grenzen für eine Ressource gelten.The network subscription limit capability provides a summary of how many of each network resource you have deployed in a subscription and region, and what the limit is for the resource. In der folgenden Abbildung ist die Teilausgabe für Netzwerkressourcen dargestellt, die in der Region „USA, Osten“ für ein Beispielabonnement bereitgestellt wurden:The following picture shows the partial output for network resources deployed in the East US region for an example subscription:

Grenzwerte für Abonnements

Die Informationen sind für die Planung von Bereitstellungen zukünftiger Ressourcen hilfreich.The information is helpful when planning future resource deployments.

ProtokolleLogs

Analysieren des Datenverkehrs zu oder von einer NetzwerksicherheitsgruppeAnalyze traffic to or from a network security group

Über Netzwerksicherheitsgruppen (NSG) wird ein- oder ausgehender Datenverkehr einer Netzwerkschnittstelle auf einer VM zugelassen oder verweigert.Network security groups (NSG) allow or deny inbound or outbound traffic to a network interface in a VM. Mit der Funktion NSG-Flussprotokollierung können Sie die IP-Quell- und -Zieladresse, den Port und das Protokoll erfassen (und ob Datenverkehr von einer NSG zugelassen oder verweigert wurde).The NSG flow log capability allows you to log the source and destination IP address, port, protocol, and whether traffic was allowed or denied by an NSG. Sie können Protokolle mit vielen verschiedenen Tools analysieren, z.B. Power BI und der Funktion Datenverkehrsanalyse.You can analyze logs using a variety of tools, such as PowerBI and the traffic analytics capability. Bei der Datenverkehrsanalyse werden umfassende Visualisierungen von Daten bereitgestellt, die in NSG-Flussprotokolle geschrieben werden.Traffic analytics provides rich visualizations of data written to NSG flow logs. In der folgenden Abbildung sind einige Informationen und Visualisierungen dargestellt, die über die Datenverkehrsanalyse aus den Daten des NSG-Flussprotokolls bereitgestellt werden:The following picture shows some of the information and visualizations that traffic analytics presents from NSG flow log data:

Datenverkehrsanalyse

Weitere Informationen zur NSG-Flussprotokollierung erhalten Sie im Tutorial Protokollieren des Netzwerkdatenverkehrs zu und von einem virtuellen Computer über das Azure-Portal. Informationen zur Implementierung der Datenverkehrsanalyse finden Sie hier.Learn more about NSG flow logs by completing the Log network traffic to and from a virtual machine tutorial and how to implement traffic analytics.

Anzeigen von Diagnoseprotokollen für NetzwerkressourcenView diagnostic logs for network resources

Sie können die Diagnoseprotokollierung für Azure-Netzwerkressourcen aktivieren, z.B. Netzwerksicherheitsgruppen, öffentliche IP-Adressen, Lastenausgleichsmodule, Gateways eines virtuellen Netzwerks und Anwendungsgateways.You can enable diagnostic logging for Azure networking resources such as network security groups, public IP addresses, load balancers, virtual network gateways, and application gateways. Die Funktion Diagnoseprotokolle verfügt über eine Benutzeroberfläche zum Aktivieren und Deaktivieren von Diagnoseprotokollen für alle vorhandenen Netzwerkressourcen, die ein Diagnoseprotokoll generieren.The Diagnostic logs capability provides a single interface to enable and disable network resource diagnostic logs for any existing network resource that generates a diagnostic log. Sie können Diagnoseprotokolle anzeigen, indem Sie Tools wie Microsoft Power BI und Azure Monitor-Protokolle verwenden.You can view diagnostic logs using tools such as Microsoft Power BI and Azure Monitor logs. Weitere Informationen zur Analyse von Azure-Netzwerkdiagnoseprotokollen finden Sie unter Azure-Netzwerküberwachungslösungen in Azure Monitor-Protokollen.To learn more about analyzing Azure network diagnostic logs, see Azure network solutions in Azure Monitor logs.

Automatische Aktivierung von Network WatcherNetwork Watcher automatic enablement

Beim Erstellen oder Aktualisieren eines virtuellen Netzwerks in Ihrem Abonnement wird Network Watcher automatisch in der Region Ihres virtuellen Netzwerks aktiviert.When you create or update a virtual network in your subscription, Network Watcher will be enabled automatically in your Virtual Network's region. Die automatische Aktivierung von Network Watcher hat keine Auswirkungen auf Ihre Ressourcen oder die damit verbundene Gebühr.There is no impact to your resources or associated charge for automatically enabling Network Watcher. Weitere Informationen finden Sie unter Erstellen einer Azure Network Watcher-Instanz.For more information, see Network Watcher create.

Nächste SchritteNext steps

Sie haben jetzt einen Überblick über Azure Network Watcher erhalten.You now have an overview of Azure Network Watcher. Als Einstieg in die Nutzung von Network Watcher können Sie ein häufiges Kommunikationsproblem für einen virtuellen Computer diagnostizieren, indem Sie die IP-Datenflussüberprüfung verwenden.To get started using Network Watcher, diagnose a common communication problem to and from a virtual machine using IP flow verify. Informationen hierzu finden Sie in der Schnellstartanleitung Diagnostizieren von Problemen mit dem Filter für Netzwerkdatenverkehr eines virtuellen Computers.To learn how, see the Diagnose a virtual machine network traffic filter problem quickstart.