Panoramica del monitoraggio della rete in Azure

Per creare una rete end-to-end in Azure è possibile orchestrare e comporre varie risorse di rete individuali, quali rete virtuale, ExpressRoute, gateway applicazione, servizi di bilanciamento del carico e altro ancora. Il monitoraggio è disponibile in ognuna delle risorse di rete. Questo tipo di monitoraggio è detto a livello di risorsa.

La rete end-to-end può avere interazioni tra le risorse e configurazioni complesse. Network Watcher consente il monitoraggio a livello di scenario per questi scenari complessi.

Questo articolo illustra il monitoraggio a livello di risorsa e di scenario. Il monitoraggio della rete in Azure comprende due categorie generali:

  • Network Watcher: tra le funzionalità del servizio Network Watcher è incluso il monitoraggio basato su scenari. Il servizio include l'acquisizione pacchetti, l'hop successivo, la verifica del flusso IP, la visualizzazione dei gruppi di sicurezza e i registri dei flussi dei gruppi di sicurezza di rete. A differenza del monitoraggio a livello di singole risorse di rete, il monitoraggio a livello di scenario consente una visualizzazione completa delle risorse di rete.
  • Monitoraggio delle risorse: il monitoraggio a livello di risorsa include funzionalità di log di diagnostica, metriche, risoluzione dei problemi e integrità delle risorse. Tutte queste funzionalità vengono compilate a livello di risorsa di rete.

Network Watcher

Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Gli strumenti di visualizzazione e diagnostica di rete disponibili in Network Watcher permettono di comprendere, diagnosticare e ottenere informazioni dettagliate sulla rete in Azure.

Di seguito sono elencate le funzionalità attualmente disponibili in Network Watcher.

  • Topologia: offre una visualizzazione a livello di rete che mostra le varie interconnessioni e le associazioni tra le risorse di rete in un gruppo di risorse.
  • Acquisizione pacchetti variabile: acquisisce i dati dei pacchetti all'interno e all'esterno di una macchina virtuale. La versatilità è data dalle opzioni di filtro avanzato e dai controlli ottimizzati, come la possibilità di impostare l'ora e il limite di dimensioni. È possibile memorizzare i dati dei pacchetti in un archivio BLOB o nel disco locale in formato CAP.
  • Verifica flusso IP: controlla se un pacchetto viene accettato o rifiutato in base ai parametri di pacchetto costituiti da informazioni a 5 tuple sul flusso, ovvero l'indirizzo IP di destinazione, l'indirizzo IP di origine, la porta di destinazione, la porta di origine e il protocollo. Se il pacchetto viene rifiutato da un gruppo di sicurezza, vengono restituiti la regola e il gruppo che hanno rifiutato il pacchetto.
  • Hop successivo: determina l'hop successivo per i pacchetti indirizzati nell'infrastruttura di rete di Azure, permettendo così di diagnosticare eventuali route definite dall'utente non configurate in modo corretto.
  • Visualizzazione dei gruppi di sicurezza: ottiene le regole di sicurezza valide e applicate in una macchina virtuale.
  • Registrazione dei flussi dei gruppi di sicurezza di rete: la registrazione dei flussi dei gruppi di sicurezza di rete permette di acquisire i log relativi al traffico consentito o negato dalle regole di sicurezza nel gruppo. Il flusso è definito da informazioni a 5 tuple, ovvero l'indirizzo IP di destinazione, l'indirizzo IP di origine, la porta di destinazione, la porta di origine e il protocollo.
  • Risoluzione dei problemi di connessione e gateway di rete virtuale: permette di risolvere i problemi relativi al gateway di rete virtuale e alle connessioni.
  • Limite sottoscrizioni di rete: permette di visualizzare l'utilizzo delle risorse di rete rispetto ai limiti.
  • Configurazione del log di diagnostica: permette di abilitare o disabilitare i log di diagnostica per le risorse di rete in un gruppo di risorse da un unico riquadro.
  • Connettività (Anteprima): verifica se è possibile stabilire una connessione TCP diretta da una macchina virtuale a uno specifico endpoint.

Controllo degli accessi in base al ruolo in Network Watcher

Network Watcher fa uso del modello di controllo degli accessi in base al ruolo. Di seguito sono indicate le autorizzazioni necessarie per Network Watcher. È importante assicurarsi che il ruolo usato per avviare le API di Network Watcher o per usare Network Watcher dal portale abbia l'accesso necessario.

|Resource| Permission| | |---|---| | |Microsoft. |Microsoft.Storage/ |Read| | |Microsoft.Authorization/| Read| | |Microsoft.Resources/subscriptions/resourceGroups/| Read| | |Microsoft.Storage/storageAccounts/listServiceSas/ | Action| | |Microsoft.Storage/storageAccounts/listAccountSas/ |Action| | |Microsoft.Storage/storageAccounts/listKeys/ | Action| | |Microsoft.Compute/virtualMachines/ |Read| | |Microsoft.Compute/virtualMachines/ |Write| | |Microsoft.Compute/virtualMachineScaleSets/ |Read| | |Microsoft.Compute/virtualMachineScaleSets/ |Write| | |Microsoft.Network/networkWatchers/packetCaptures/| Read| | |Microsoft.Network/networkWatchers/packetCaptures/| Write| | |Microsoft.Network/networkWatchers/packetCaptures/| Delete| | |Microsoft.Network/networkWatchers/ |Write| | |Microsoft.Network/networkWatchers/| Read| | |Microsoft.Insights/alertRules/ |*| | |Microsoft.Support/| *| |

Limite sottoscrizioni di rete

Limite sottoscrizioni di rete fornisce informazioni dettagliate sull'utilizzo delle singole risorse di rete di una sottoscrizione in un'area rispetto al numero massimo di risorse disponibili.

Limite sottoscrizioni di rete

Monitoraggio a livello di risorsa di rete

Per il monitoraggio a livello di risorsa sono disponibili le funzionalità seguenti:

Log di controllo

Le operazioni eseguite come parte della configurazione delle reti vengono registrate. È possibile visualizzare i relativi log nel portale di Azure o recuperarli usando strumenti Microsoft, come Power BI, o strumenti di terze parti. I log di controllo sono disponibili tramite il portale, PowerShell, l'interfaccia della riga di comando e l'API REST. Per altre informazioni sui log di controllo, vedere l'articolo relativo alle operazioni di controllo con Resource Manager.

I log di controllo sono disponibili per le operazioni eseguite su tutte le risorse di rete.

Metrica

Le metriche sono costituite da contatori e misurazioni delle prestazioni raccolti in un determinato periodo di tempo. Attualmente le metriche sono disponibili per il gateway applicazione. Le metriche possono essere usate per attivare avvisi in base a una soglia. Per informazioni su come usare le metriche per creare avvisi, vedere l'articolo relativo alla diagnostica del gateway applicazione.

Visualizzazione metriche

Log di diagnostica

Le risorse di rete creano eventi periodici e spontanei, che vengono registrati negli account di archiviazione e inviati a un hub eventi oppure a Log Analytics. Questi log contengono informazioni dettagliate sull'integrità delle singole risorse e possono essere visualizzati con strumenti quali Power BI e Log Analytics. Per informazioni su come visualizzare i log di diagnostica, vedere l'articolo relativo a Log Analytics.

Sono disponibili log di diagnostica per il servizio di bilanciamento del carico, i gruppi di sicurezza di rete, le route e il gateway applicazione.

Network Watcher offre una visualizzazione dei log di diagnostica contenente tutte le risorse di rete che supportano la registrazione diagnostica. Da questa visualizzazione è possibile abilitare e disabilitare le risorse di rete in modo facile e veloce.

logs

Risoluzione dei problemi

Il pannello di risoluzione dei problemi è un'esperienza del portale ora disponibile per le risorse di rete che permette di diagnosticare i problemi comuni associati a una singola risorsa. L'esperienza è disponibile per le risorse di rete seguenti: ExpressRoute, gateway VPN, gateway applicazione, log di sicurezza di rete, route, servizio DNS, servizio di bilanciamento del carico e Gestione traffico. Per altre informazioni sulla risoluzione dei problemi a livello di risorsa, vedere Diagnose and resolve issues with Azure Troubleshooting (Diagnosticare e risolvere problemi con la risoluzione dei problemi di Azure).

Informazioni sulla risoluzione dei problemi

Integrità delle risorse

Il controllo dell'integrità delle risorse di rete è disponibile su base periodica. Le risorse includono il gateway VPN e il tunnel VPN. Il controllo dell'integrità delle risorse è accessibile nel portale di Azure. Per altre informazioni sull'integrità delle risorse, vedere Panoramica su Integrità risorse di Azure.

Passaggi successivi

Ora che si conosce Network Watcher è possibile imparare a:

Eseguire un'acquisizione pacchetti nella macchina virtuale. Vedere in proposito l'articolo relativo all'acquisizione pacchetti variabile nel portale di Azure.

Eseguire il monitoraggio attivo e la diagnostica usando l'acquisizione pacchetti attivata da avvisi.

Rilevare vulnerabilità della sicurezza con l'analisi dell'acquisizione pacchetti tramite Wireshark, usando strumenti open source.

Informazioni su alcune altre funzionalità di rete chiave di Azure.