Panoramica del monitoraggio della rete in AzureAzure network monitoring overview

Per creare una rete end-to-end in Azure è possibile orchestrare e comporre varie risorse di rete individuali, quali rete virtuale, ExpressRoute, gateway applicazione, servizi di bilanciamento del carico e altro ancora.Customers build an end-to-end network in Azure by orchestrating and composing various individual network resources such as VNet, ExpressRoute, Application Gateway, Load balancers, and more. Il monitoraggio è disponibile in ognuna delle risorse di rete.Monitoring is available on each of the network resources. Questo tipo di monitoraggio è detto a livello di risorsa.We refer to this monitoring as resource level monitoring.

La rete end-to-end può avere interazioni tra le risorse e configurazioni complesse. Network Watcher consente il monitoraggio a livello di scenario per questi scenari complessi.The end to end network can have complex configurations and interactions between resources, creating complex scenarios that need scenario-based monitoring through Network Watcher.

Questo articolo illustra il monitoraggio a livello di risorsa e di scenario.This article covers scenario and resource level monitoring. Il monitoraggio della rete in Azure comprende due categorie generali:Network monitoring in Azure is comprehensive and covers two broad categories:

  • Network Watcher: tra le funzionalità del servizio Network Watcher è incluso il monitoraggio basato su scenari.Network Watcher - Scenario-based monitoring is provided with the features in Network Watcher. Il servizio include l'acquisizione pacchetti, l'hop successivo, la verifica del flusso IP, la visualizzazione dei gruppi di sicurezza e i registri dei flussi dei gruppi di sicurezza di rete.This service includes packet capture, next hop, IP flow verify, security group view, NSG flow logs. A differenza del monitoraggio a livello di singole risorse di rete, il monitoraggio a livello di scenario consente una visualizzazione completa delle risorse di rete.Scenario level monitoring provides an end to end view of network resources in contrast to individual network resource monitoring.
  • Monitoraggio delle risorse: il monitoraggio a livello di risorsa include funzionalità di log di diagnostica, metriche, risoluzione dei problemi e integrità delle risorse.Resource monitoring - Resource level monitoring comprises of four features, diagnostic logs, metrics, troubleshooting, and resource health. Tutte queste funzionalità vengono compilate a livello di risorsa di rete.All these features are built at the network resource level.

Network WatcherNetwork Watcher

Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure.Network Watcher is a regional service that enables you to monitor and diagnose conditions at a network scenario level in, to, and from Azure. Gli strumenti di visualizzazione e diagnostica di rete disponibili in Network Watcher permettono di comprendere, diagnosticare e ottenere informazioni dettagliate sulla rete in Azure.Network diagnostic and visualization tools available with Network Watcher help you understand, diagnose, and gain insights to your network in Azure.

Di seguito sono elencate le funzionalità attualmente disponibili in Network Watcher.Network Watcher currently has the following capabilities:

  • Topologia: offre una visualizzazione a livello di rete che mostra le varie interconnessioni e le associazioni tra le risorse di rete in un gruppo di risorse.Topology - Provides a network level view showing the various interconnections and associations between network resources in a resource group.
  • Acquisizione pacchetti variabile: acquisisce i dati dei pacchetti all'interno e all'esterno di una macchina virtuale.Variable Packet capture - Captures packet data in and out of a virtual machine. La versatilità è data dalle opzioni di filtro avanzato e dai controlli ottimizzati, come la possibilità di impostare l'ora e il limite di dimensioni.Advanced filtering options and fine-tuned controls such as being able to set time and size limitations provide versatility. È possibile memorizzare i dati dei pacchetti in un archivio BLOB o nel disco locale in formato CAP.The packet data can be stored in a blob store or on the local disk in .cap format.
  • Verifica flusso IP: controlla se un pacchetto viene accettato o rifiutato in base ai parametri di pacchetto costituiti da informazioni a 5 tuple sul flusso, ovvero l'indirizzo IP di destinazione, l'indirizzo IP di origine, la porta di destinazione, la porta di origine e il protocollo.IP flow verify - Checks if a packet is allowed or denied based on flow information 5-tuple packet parameters (Destination IP, Source IP, Destination Port, Source Port, and Protocol). Se il pacchetto viene rifiutato da un gruppo di sicurezza, vengono restituiti la regola e il gruppo che hanno rifiutato il pacchetto.If the packet is denied by a security group, the rule and group that denied the packet is returned.
  • Hop successivo: determina l'hop successivo per i pacchetti indirizzati nell'infrastruttura di rete di Azure, permettendo così di diagnosticare eventuali route definite dall'utente non configurate in modo corretto.Next hop - Determines the next hop for packets being routed in the Azure Network Fabric, enabling you to diagnose any misconfigured user-defined routes.
  • Visualizzazione dei gruppi di sicurezza: ottiene le regole di sicurezza valide e applicate in una macchina virtuale.Security group view - Gets the effective and applied security rules that are applied on a VM.
  • Registrazione dei flussi dei gruppi di sicurezza di rete: la registrazione dei flussi dei gruppi di sicurezza di rete permette di acquisire i log relativi al traffico consentito o negato dalle regole di sicurezza nel gruppo.NSG Flow logging - Flow logs for Network Security Groups enable you to capture logs related to traffic that are allowed or denied by the security rules in the group. Il flusso è definito da informazioni a 5 tuple, ovvero l'indirizzo IP di destinazione, l'indirizzo IP di origine, la porta di destinazione, la porta di origine e il protocollo.The flow is defined by a 5-tuple information – Source IP, Destination IP, Source Port, Destination Port and Protocol.
  • Risoluzione dei problemi di connessione e gateway di rete virtuale: permette di risolvere i problemi relativi al gateway di rete virtuale e alle connessioni.Virtual Network Gateway and Connection troubleshooting - Provides the ability to troubleshoot Virtual Network Gateways and Connections.
  • Limite sottoscrizioni di rete: permette di visualizzare l'utilizzo delle risorse di rete rispetto ai limiti.Network subscription limits - Enables you to view network resource usage against limits.
  • Configurazione del log di diagnostica: permette di abilitare o disabilitare i log di diagnostica per le risorse di rete in un gruppo di risorse da un unico riquadro.Configuring Diagnostics Log – Provides a single pane to enable or disable Diagnostics logs for network resources in a resource group.
  • Connettività (Anteprima): verifica se è possibile stabilire una connessione TCP diretta da una macchina virtuale a uno specifico endpoint.Connectivity (Preview) - Verifies the possibility of establishing a direct TCP connection from a virtual machine to a given endpoint.

Controllo degli accessi in base al ruolo in Network WatcherRole-based Access Control (RBAC) in Network Watcher

Network Watcher fa uso del modello di controllo degli accessi in base al ruolo.Network watcher uses the Azure Role-Based Access Control (RBAC) model. Di seguito sono indicate le autorizzazioni necessarie per Network Watcher.The following permissions are required by the Network Watcher. È importante assicurarsi che il ruolo usato per avviare le API di Network Watcher o per usare Network Watcher dal portale abbia l'accesso necessario.It is important to make sure that the role used for initiating Network Watcher APIs or using Network Watcher from the portal has the required access.

RisorsaResource AutorizzazionePermission
Microsoft.Storage/Microsoft.Storage/ LetturaRead
Microsoft.Authorization/Microsoft.Authorization/ LetturaRead
Microsoft.Resources/subscriptions/resourceGroups/Microsoft.Resources/subscriptions/resourceGroups/ LetturaRead
Microsoft.Storage/storageAccounts/listServiceSas/Microsoft.Storage/storageAccounts/listServiceSas/ AzioneAction
Microsoft.Storage/storageAccounts/listAccountSas/Microsoft.Storage/storageAccounts/listAccountSas/ AzioneAction
Microsoft.Storage/storageAccounts/listKeys/Microsoft.Storage/storageAccounts/listKeys/ AzioneAction
Microsoft.Compute/virtualMachines/Microsoft.Compute/virtualMachines/ LetturaRead
Microsoft.Compute/virtualMachines/Microsoft.Compute/virtualMachines/ ScritturaWrite
Microsoft.Compute/virtualMachineScaleSets/Microsoft.Compute/virtualMachineScaleSets/ LetturaRead
Microsoft.Compute/virtualMachineScaleSets/Microsoft.Compute/virtualMachineScaleSets/ ScritturaWrite
Microsoft.Network/networkWatchers/packetCaptures/Microsoft.Network/networkWatchers/packetCaptures/ LetturaRead
Microsoft.Network/networkWatchers/packetCaptures/Microsoft.Network/networkWatchers/packetCaptures/ ScritturaWrite
Microsoft.Network/networkWatchers/packetCaptures/Microsoft.Network/networkWatchers/packetCaptures/ EliminaDelete
Microsoft.Network/networkWatchers/Microsoft.Network/networkWatchers/ ScritturaWrite
Microsoft.Network/networkWatchers/Microsoft.Network/networkWatchers/ LetturaRead
Microsoft.Insights/alertRules/Microsoft.Insights/alertRules/ *
Microsoft.Support/Microsoft.Support/ *

Limite sottoscrizioni di reteNetwork subscription limits

Limite sottoscrizioni di rete fornisce informazioni dettagliate sull'utilizzo delle singole risorse di rete di una sottoscrizione in un'area rispetto al numero massimo di risorse disponibili.Network subscription limits provide you with details of the usage of each of the network resource in a subscription in a region against the maximum number of resources available.

Limite sottoscrizioni di rete

Monitoraggio a livello di risorsa di reteNetwork resource level monitoring

Per il monitoraggio a livello di risorsa sono disponibili le funzionalità seguenti:The following features are available for resource level monitoring:

Log di controlloAudit log

Le operazioni eseguite come parte della configurazione delle reti vengono registrate.Operations performed as part of the configuration of networks are logged. È possibile visualizzare i relativi log nel portale di Azure o recuperarli usando strumenti Microsoft, come Power BI, o strumenti di terze parti.These logs can be viewed in the Azure portal or retrieved using Microsoft tools such as Power BI or third-party tools. I log di controllo sono disponibili tramite il portale, PowerShell, l'interfaccia della riga di comando e l'API REST.Audit logs are available through the portal, PowerShell, CLI, and Rest API. Per altre informazioni sui log di controllo, vedere l'articolo relativo alle operazioni di controllo con Resource Manager.For more information on Audit logs, see Audit operations with Resource Manager

I log di controllo sono disponibili per le operazioni eseguite su tutte le risorse di rete.Audit logs are available for operations done on all network resources.

MetricaMetrics

Le metriche sono costituite da contatori e misurazioni delle prestazioni raccolti in un determinato periodo di tempo.Metrics are performance measurements and counters collected over a period of time. Attualmente le metriche sono disponibili per il gateway applicazione.Metrics are currently available for Application Gateway. Le metriche possono essere usate per attivare avvisi in base a una soglia.Metrics can be used to trigger alerts based on threshold. Per informazioni su come usare le metriche per creare avvisi, vedere l'articolo relativo alla diagnostica del gateway applicazione.See Application Gateway Diagnostics to view how metrics can be used to create alerts.

Visualizzazione metriche

Log di diagnosticaDiagnostic logs

Le risorse di rete creano eventi periodici e spontanei, che vengono registrati negli account di archiviazione e inviati a un hub eventi oppure a Log Analytics.Periodic and spontaneous events are created by network resources and logged in storage accounts, sent to an Event Hub, or Log Analytics. Questi log contengono informazioni dettagliate sull'integrità delle singole risorseThese logs provide insights into the health of a resource. e possono essere visualizzati con strumenti quali Power BI e Log Analytics.These logs can be viewed in tools such as Power BI and Log Analytics. Per informazioni su come visualizzare i log di diagnostica, vedere l'articolo relativo a Log Analytics.To learn how to view diagnostic logs, visit Log Analytics.

Sono disponibili log di diagnostica per il servizio di bilanciamento del carico, i gruppi di sicurezza di rete, le route e il gateway applicazione.Diagnostic logs are available for Load Balancer, Network Security Groups, Routes, and Application Gateway.

Network Watcher offre una visualizzazione dei log di diagnosticaNetwork Watcher provides a diagnostic logs view. contenente tutte le risorse di rete che supportano la registrazione diagnostica.This view contains all networking resources that support diagnostic logging. Da questa visualizzazione è possibile abilitare e disabilitare le risorse di rete in modo facile e veloce.From this view, you can enable and disable networking resources conveniently and quickly.

logs

Risoluzione dei problemiTroubleshooting

Il pannello di risoluzione dei problemi è un'esperienza del portale ora disponibile per le risorse di rete che permette di diagnosticare i problemi comuni associati a una singola risorsa.The troubleshooting blade, an experience in the portal, is provided on network resources today to diagnose common problems associated with an individual resource. L'esperienza è disponibile per le risorse di rete seguenti: ExpressRoute, gateway VPN, gateway applicazione, log di sicurezza di rete, route, servizio DNS, servizio di bilanciamento del carico e Gestione traffico.This experience is available for the following network resources - ExpressRoute, VPN Gateway, Application Gateway, Network Security Logs, Routes, DNS, Load Balancer, and Traffic Manager. Per altre informazioni sulla risoluzione dei problemi a livello di risorsa, vedere Diagnose and resolve issues with Azure Troubleshooting (Diagnosticare e risolvere problemi con la risoluzione dei problemi di Azure).To learn more about resource level troubleshooting, visit Diagnose and resolve issues with Azure Troubleshooting

Informazioni sulla risoluzione dei problemi

Integrità delle risorseResource health

Il controllo dell'integrità delle risorse di rete è disponibile su base periodica.The health of a network resource is provided on a periodic basis. Le risorse includono il gateway VPN e il tunnel VPN.Such resources include VPN Gateway and VPN tunnel. Il controllo dell'integrità delle risorse è accessibile nel portale di Azure.Resource health is accessible on the Azure portal. Per altre informazioni sull'integrità delle risorse, vedere Panoramica su Integrità risorse di Azure.To learn more about resource health, visit Resource Health Overview

Passaggi successiviNext steps

Ora che si conosce Network Watcher è possibile imparare a:After learning about Network Watcher, you can learn to:

Eseguire un'acquisizione pacchetti nella macchina virtuale. Vedere in proposito l'articolo relativo all'acquisizione pacchetti variabile nel portale di Azure.Do a packet capture on your VM by visiting Variable packet capture in the Azure portal

Eseguire il monitoraggio attivo e la diagnostica usando l'acquisizione pacchetti attivata da avvisi.Perform proactive monitoring and diagnostics using alert triggered packet capture.

Rilevare vulnerabilità della sicurezza con l'analisi dell'acquisizione pacchetti tramite Wireshark, usando strumenti open source.Detect security vulnerabilities with Analyzing packet capture with Wireshark, using open source tools.

Informazioni su alcune altre funzionalità di rete chiave di Azure.Learn about some of the other key networking capabilities of Azure.