Informazioni su Azure Network WatcherWhat is Azure Network Watcher?

Azure Network Watcher fornisce gli strumenti per il monitoraggio, la diagnostica, la visualizzazione delle metriche e l'abilitazione o la disabilitazione dei log per le risorse in una rete virtuale di Azure.Azure Network Watcher provides tools to monitor, diagnose, view metrics, and enable or disable logs for resources in an Azure virtual network.

MonitoraggioMonitoring

Monitorare la comunicazione tra una macchina virtuale e un endpointMonitor communication between a virtual machine and an endpoint

Gli endpoint possono essere un'altra macchina virtuale (VM), un nome di dominio completo (FQDN), un URI (Uniform Resource Identifier) o un indirizzo IPv4.Endpoints can be another virtual machine (VM), a fully qualified domain name (FQDN), a uniform resource identifier (URI), or IPv4 address. La funzionalità di monitoraggio connessione monitora la comunicazione a intervalli regolari e informa l'utente in merito a modifiche relative a raggiungibilità, latenza e topologia di rete tra la macchina virtuale e l'endpoint.The connection monitor capability monitors communication at a regular interval and informs you of reachability, latency, and network topology changes between the VM and the endpoint. Può ad esempio esserci una macchina virtuale del server Web che comunica con una macchina virtuale del server di database.For example, you might have a web server VM that communicates with a database server VM. Un utente nell'organizzazione potrebbe, a insaputa di altri, applicare una route personalizzata o una regola di sicurezza di rete alla subnet o alla macchina virtuale del server Web o del server di database.Someone in your organization may, unknown to you, apply a custom route or network security rule to the web server or database server VM or subnet.

Se un endpoint smette di essere raggiungibile, la funzionalità di risoluzione dei problemi di connessione informa l'utente del motivo.If an endpoint becomes unreachable, connection troubleshoot informs you of the reason. Le cause possibili sono un problema di risoluzione del nome DNS, la CPU, la memoria o un firewall nel sistema operativo di una macchina virtuale oppure il tipo di hop di una route personalizzata o una regola di sicurezza per la macchina virtuale o la subnet della connessione in uscita.Potential reasons are a DNS name resolution problem, the CPU, memory, or firewall within the operating system of a VM, or the hop type of a custom route, or security rule for the VM or subnet of the outbound connection. Leggere altre informazioni sulle regole di sicurezza e sui tipi di hop delle route in Azure.Learn more about security rules and route hop types in Azure.

La funzionalità di monitoraggio connessione indica anche la latenza minima, media e massima osservata nel corso del tempo.Connection monitor also provides the minimum, average, and maximum latency observed over time. Dopo aver appreso la latenza per una connessione, è possibile riuscire a ridurla spostando le risorse di Azure in aree di Azure diverse.After learning the latency for a connection, you may find that you're able to decrease the latency by moving your Azure resources to different Azure regions. Leggere altre informazioni su come determinare le [latenze relative tra aree di Azure e provider di servizi Internet](#determine-relative-latencies-between-azure- regions-and-internet-service-providers) e su come monitorare la comunicazione tra una macchina virtuale e un endpoint con la funzionalità di monitoraggio connessione.Learn more about determining [relative latencies between Azure regions and internet service providers](#determine-relative-latencies-between-azure- regions-and-internet-service-providers) and how to monitor communication between a VM and an endpoint with connection monitor. Se si preferisce testare una connessione in un determinato momento invece che monitorarla nel tempo come con la funzionalità di monitoraggio connessione, usare la funzionalità di risoluzione dei problemi di connessione.If you'd rather test a connection at a point in time, rather than monitor the connection over time, like you do with connection monitor, use the connection troubleshoot capability.

Visualizzare le risorse in una rete virtuale e le relative relazioniView resources in a virtual network and their relationships

Man mano che vengono aggiunte risorse a una rete virtuale, può diventare difficile capire quali risorse sono presenti in una rete virtuale e quali sono le relazioni tra le risorse.As resources are added to a virtual network, it can become difficult to understand what resources are in a virtual network and how they relate to each other. La funzionalità di topologia consente di generare un diagramma visivo delle risorse in una rete virtuale, con le relazioni tra le risorse.The topology capability enables you to generate a visual diagram of the resources in a virtual network, and the relationships between the resources. La figura seguente illustra un diagramma di topologia di esempio per una rete virtuale con tre subnet, due macchine virtuali, interfacce di rete, indirizzi IP pubblici, gruppi di sicurezza di rete, tabelle di route e relazioni tra le risorse:The following picture shows an example topology diagram for a virtual network that has three subnets, two VMs, network interfaces, public IP addresses, network security groups, route tables, and the relationships between the resources:

Visualizzazione della topologia

È possibile scaricare una versione modificabile dell'immagine in formato SVG.You can download an editable version of the picture in svg format. Leggere altre informazioni sulla visualizzazione della topologia.Learn more about topology view.

DiagnosticaDiagnostics

Diagnosticare i problemi di filtro del traffico di rete da o verso una macchina virtualeDiagnose network traffic filtering problems to or from a VM

Quando si distribuisce una macchina virtuale, Azure applica diverse regole di sicurezza predefinite per la macchina virtuale che consentono o bloccano il traffico da o verso la macchina virtuale.When you deploy a VM, Azure applies several default security rules to the VM that allow or deny traffic to or from the VM. È possibile eseguire l'override delle regole predefinite di Azure o creare regole aggiuntive.You might override Azure's default rules, or create additional rules. A un certo punto, una macchina virtuale potrebbe non essere più in grado di comunicare con altre risorse, a causa di una regola di sicurezza.At some point, a VM may become unable to communicate with other resources, because of a security rule. La funzionalità di verifica flusso IP consente di specificare un indirizzo IPv4 di origine e di destinazione, una porta, un protocollo (TCP o UDP) e la direzione del traffico (in ingresso o in uscita).The IP flow verify capability enables you to specify a source and destination IPv4 address, port, protocol (TCP or UDP), and traffic direction (inbound or outbound). La verifica flusso IP testa quindi la comunicazione e informa l'utente se la connessione ha esito positivo o negativo.IP flow verify then tests the communication and informs you if the connection succeeds or fails. In caso di esito negativo, la funzionalità di verifica flusso IP indica quale regola di sicurezza ha consentito o bloccato la comunicazione, per permettere di risolvere il problema.If the connection fails, IP flow verify tells you which security rule allowed or denied the communication, so that you can resolve the problem. Per scoprire di più sulla funzionalità di verifica flusso IP, completare l'esercitazione Diagnose a virtual machine network traffic filter problem (Diagnosticare un problema di filtro del traffico di rete di una macchina virtuale).Learn more about IP flow verify by completing the Diagnose a virtual machine network traffic filter problem tutorial.

Diagnosticare i problemi di routing di rete da una macchina virtualeDiagnose network routing problems from a VM

Quando si crea una rete virtuale, Azure crea diverse route predefinite in uscita per il traffico di rete.When you create a virtual network, Azure creates several default outbound routes for network traffic. Il traffico in uscita da tutte le risorse, ad esempio le macchine virtuali, distribuite in una rete virtuale, viene instradato in base alle route predefinite di Azure.The outbound traffic from all resources, such as VMs, deployed in a virtual network, are routed based on Azure's default routes. È possibile eseguire l'override delle route predefinite di Azure o creare route aggiuntive.You might override Azure's default routes, or create additional routes. È possibile che una macchina virtuale non riesca più a comunicare con altre risorse a causa di una route specifica.You may find that a VM can no longer communicate with other resources because of a specific route. La funzionalità di hop successivo consente di specificare un indirizzo IPv4 di origine e di destinazione.The next hop capability enables you to specify a source and destination IPv4 address. L'hop successivo testa quindi la comunicazione e indica all'utente il tipo di hop successivo usato per instradare il traffico.Next hop then tests the communication and informs you what type of next hop is used to route the traffic. È quindi possibile rimuovere, modificare o aggiungere una route, per risolvere un problema di routing.You can then remove, change, or add a route, to resolve a routing problem. Leggere altre informazioni sulla funzionalità di hop successivo.Learn more about the next hop capability.

Diagnosticare i problemi delle connessioni in uscita da una macchina virtualeDiagnose outbound connections from a VM

La funzionalità di risoluzione dei problemi di connessione consente di testare una connessione tra una macchina virtuale e un'altra macchina virtuale, un FQDN, un URI o un indirizzo IPv4.The connection troubleshoot capability enables you to test a connection between a VM and another VM, an FQDN, a URI, or an IPv4 address. Il test restituisce informazioni simili a quelle restituite quando si usa la funzionalità di monitoraggio connessione, ma viene verificata la connessione in un determinato momento, invece di monitorarla nel tempo, come avviene con il monitoraggio connessione.The test returns similar information returned when using the connection monitor capability, but tests the connection at a point in time, rather than monitoring it over time, as connection monitor does. Leggere altre informazioni sulla risoluzione dei problemi di connessione tramite la funzionalità di risoluzione dei problemi di connessione.Learn more about how to troubleshoot connections using connection-troubleshoot.

Acquisire i pacchetti da e verso una macchina virtualeCapture packets to and from a VM

Opzioni di filtro avanzate e controlli ottimizzati, ad esempio la possibilità di impostare limitazioni di tempo e dimensioni, offrono versatilità.Advanced filtering options and fine-tuned controls, such as the ability to set time and size limitations, provide versatility. L'acquisizione può essere archiviata in Archiviazione di Azure, nel disco della macchina virtuale oppure in entrambe le posizioni.The capture can be stored in Azure Storage, on the VM's disk, or both. È quindi possibile analizzare il file di acquisizione usando diversi strumenti di analisi dell'acquisizione di rete standard.You can then analyze the capture file using several standard network capture analysis tools. Leggere altre informazioni sull'acquisizione pacchetti.Learn more about packet capture.

Diagnosticare i problemi relativi a un gateway di rete virtuale e alle connessioni di AzureDiagnose problems with an Azure Virtual network gateway and connections

I gateway di rete virtuale forniscono la connettività tra le risorse locali e le reti virtuali di Azure.Virtual network gateways provide connectivity between on-premises resources and Azure virtual networks. Il monitoraggio di questi gateway e delle rispettive connessioni è essenziale per assicurare che le comunicazioni non siano interrotte.Monitoring gateways and their connections are critical to ensuring communication is not broken. La funzionalità di diagnostica VPN consente di diagnosticare i problemi relativi a gateway e connessioni.The VPN diagnostics capability provides the ability to diagnose gateways and connections. La diagnostica VPN consente di diagnosticare l'integrità del gateway, o della connessione gateway, e informa l'utente se sono disponibili un gateway e connessioni gateway.VPN diagnostics diagnoses the health of the gateway, or gateway connection, and informs you whether a gateway and gateway connections, are available. Se il gateway o la connessione non è disponibile, la diagnostica VPN indica il motivo, per consentire di risolvere il problema.If the gateway or connection is not available, VPN diagnostics tells you why, so you can resolve the problem. Per scoprire di più sulla diagnostica VPN, è possibile completare l'esercitazione Diagnosticare un problema di comunicazione tra le reti.Learn more about VPN diagnostics by completing the Diagnose a communication problem between networks tutorial.

Determinare le latenze relative tra aree di Azure e provider di servizi InternetDetermine relative latencies between Azure regions and internet service providers

È possibile eseguire una query in Network Watcher per ottenere informazioni sulla latenza tra aree di Azure e tra provider di servizi Internet.You can query Network Watcher for latency information between Azure regions and across internet service providers. Quando si conoscono le latenze tra aree di Azure e tra provider di servizi Internet, è possibile distribuire le risorse di Azure in modo da ottimizzare il tempo di risposta di rete.When you know latencies between Azure regions and across Internet service providers, you can deploy Azure resources to optimize network response time. Leggere altre informazioni sulle latenze relative.Learn more about relative latencies.

Visualizzare le regole di sicurezza per un'interfaccia di reteView security rules for a network interface

Le regole di sicurezza effettive per un'interfaccia di rete sono una combinazione tra tutte le regole di sicurezza applicate all'interfaccia di rete e la subnet in cui si trova l'interfaccia di rete.The effective security rules for a network interface are a combination of all security rules applied to the network interface, and the subnet the network interface is in. La funzionalità di visualizzazione gruppo di sicurezza mostra tutte le regole di sicurezza applicate all'interfaccia di rete, la subnet in cui si trova l'interfaccia di rete e l'aggregazione di entrambi gli elementi.The security group view capability shows you all security rules applied to the network interface, the subnet the network interface is in, and the aggregate of both. Comprendendo quali regole vengono applicate a un'interfaccia di rete, è possibile aggiungere, rimuovere o modificare le regole per modificare il traffico consentito o bloccato.With an understanding of which rules are applied to a network interface, you can add, remove, or change rules, if they're allowing or denying traffic that you want to change. Leggere altre informazioni sulla visualizzazione gruppo di sicurezza.Learn more about security group view.

MetricheMetrics

Sono previsti limiti per il numero di risorse di rete che è possibile creare in un'area e in una sottoscrizione di Azure.There are limits to the number of network resources that you can create within an Azure subscription and region. Se si raggiungono tali limiti, non è possibile creare altre risorse all'interno dell'area o della sottoscrizione.If you meet the limits, you're unable to create more resources within the subscription or region. La funzionalità limite sottoscrizioni di rete fornisce un riepilogo della quantità di risorse di rete di ogni tipo distribuite in una sottoscrizione e in un'area e l'indicazione del limite per tale risorsa.The network subscription limit capability provides a summary of how many of each network resource you have deployed in a subscription and region, and what the limit is for the resource. La figura seguente mostra l'output parziale delle risorse di rete distribuite nell'area Stati Uniti orientali per una sottoscrizione di esempio:The following picture shows the partial output for network resources deployed in the East US region for an example subscription:

Limiti delle sottoscrizioni

Le informazioni sono utili per pianificare le distribuzioni di risorse future.The information is helpful when planning future resource deployments.

LogLogs

Analizzare il traffico da o verso un gruppo di sicurezza di reteAnalyze traffic to or from a network security group

I gruppi di sicurezza di rete (NSG) consentono o bloccano il traffico in ingresso o in uscita per un'interfaccia di rete in una macchina virtuale.Network security groups (NSG) allow or deny inbound or outbound traffic to a network interface in a VM. La funzionalità di log del flusso del NSG consente di registrare l'indirizzo IP di origine e destinazione, la porta, il protocollo e un'indicazione del fatto che il traffico sia stato consentito o bloccato da un gruppo di sicurezza di rete.The NSG flow log capability allows you to log the source and destination IP address, port, protocol, and whether traffic was allowed or denied by an NSG. È possibile analizzare i log usando diversi strumenti, ad esempio Power BI e la funzionalità di analisi del traffico.You can analyze logs using a variety of tools, such as PowerBI and the traffic analytics capability. L'analisi del traffico fornisce visualizzazioni dettagliate dei dati scritti nei log di flusso del gruppo di sicurezza di rete.Traffic analytics provides rich visualizations of data written to NSG flow logs. La figura seguente illustra alcune delle informazioni e delle visualizzazioni che l'analisi del traffico presenta dai dati di log di flusso del gruppo di sicurezza di rete:The following picture shows some of the information and visualizations that traffic analytics presents from NSG flow log data:

Analisi del traffico

Ottenere altre informazioni sui log di flusso NSG completando l'esercitazione Registrare il traffico di rete da e verso una macchina virtuale e scoprire le procedure per implementare l'analisi del traffico.Learn more about NSG flow logs by completing the Log network traffic to and from a virtual machine tutorial and how to implement traffic analytics.

Visualizzare i log di diagnostica per le risorse di reteView diagnostic logs for network resources

È possibile abilitare la registrazione diagnostica per le risorse di rete di Azure, ad esempio gruppi di sicurezza di rete, indirizzi IP pubblici, servizi di bilanciamento del carico, gateway di rete virtuale e gateway applicazione.You can enable diagnostic logging for Azure networking resources such as network security groups, public IP addresses, load balancers, virtual network gateways, and application gateways. La funzionalità di log di diagnostica offre una singola interfaccia per abilitare e disabilitare i log di diagnostica per qualsiasi risorsa di rete esistente che genera un log di diagnostica.The Diagnostic logs capability provides a single interface to enable and disable network resource diagnostic logs for any existing network resource that generates a diagnostic log. È possibile visualizzare i log di diagnostica usando strumenti come Microsoft Power BI e Azure Log Analytics.You can view diagnostic logs using tools such as Microsoft Power BI and Azure Log Analytics. Per altre informazioni sull'analisi dei log di diagnostica di rete di Azure, vedere Soluzioni di monitoraggio di rete di Azure in Log Analytics.To learn more about analyzing Azure network diagnostic logs, see Azure network solutions in Log Analytics.

Passaggi successiviNext steps

In questo articolo è stata presentata una panoramica di Azure Network Watcher.You now have an overview of Azure Network Watcher. Per iniziare a usare Network Watcher, diagnosticare un problema di comunicazione comune da e verso una macchina virtuale usando la verifica flusso IP.To get started using Network Watcher, diagnose a common communication problem to and from a virtual machine using IP flow verify. Per informazioni su come procedere, vedere la guida introduttiva Diagnose a virtual machine network traffic filter problem (Diagnosticare un problema di filtro del traffico di rete di una macchina virtuale).To learn how, see the Diagnose a virtual machine network traffic filter problem quickstart.