你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Virtual Network Manager 使用 Azure Monitor 进行数据收集和分析,就像许多其他 Azure 服务一样。 Azure Virtual Network Manager 为每个网络管理器提供事件日志。 可以使用 Azure 门户中 Azure Monitor 的 Log Analytics 工具以及通过存储帐户存储和查看事件日志。 还可以将这些日志发送到事件中心或合作伙伴解决方案。
支持的日志类别
Azure Virtual Network Manager 当前提供以下日志类别:
- 网络组成员身份更改
- 跟踪何时修改特定虚拟网络的网络组成员身份。 换句话说,当向网络组添加虚拟网络或从网络组中删除虚拟网络时,将发出日志。 这可用于跟踪一段时间内的网络组成员身份更改,并捕获特定虚拟网络的网络组成员身份的快照。
- 规则集合更改
- 跟踪特定虚拟网络的一组应用的安全管理员规则集合何时发生更改。 为通过规则集合所面向的网络组部署到虚拟网络的每个规则集合发出日志。 通过部署过程从网络组中删除规则集合也将为每个受影响的虚拟网络删除日志。 此架构可用于跟踪随时间推移将哪些规则集合部署到特定虚拟网络。
- 如果虚拟网络从多个网络管理器接收安全管理员规则集合,则会为每个网络管理器单独发出日志,以便更改各自的规则集合。
- 如果已向其部署了规则集合的网络组添加或删除虚拟网络,则会为该虚拟网络发出一个日志,其中显示了已应用规则集合的状态。
- 连接配置更改
- 跟踪特定虚拟网络的应用连接配置更改时间。 为通过配置所面向的网络组部署到虚拟网络的每个连接配置发出日志。 通过部署过程从网络组中删除连接配置后,将会为每个受影响的虚拟网络生成一条日志记录。 此架构可用于跟踪随时间推移将哪些连接配置及其各自的拓扑类型部署到特定的虚拟网络。
- 如果虚拟网络正在从多个网络管理器接收连接配置,则会为每个网络管理器单独发出日志,以便更改各自的配置。
- 如果已向其部署了连接配置的网络组添加或删除虚拟网络,则会针对该虚拟网络发出一个日志,其中显示了已应用连接配置的状态。
网络组成员身份更改属性
此类别为每个网络组成员身份更改发出一个日志。 因此,在向网络组添加虚拟网络或从网络组中删除虚拟网络时,会发出与该特定虚拟网络的单个添加或删除相关的日志。 以下属性对应于要发送到存储帐户的日志;Log Analytics 日志的属性略有不同。
| 属性 | 说明 |
|---|---|
| 时间 | 记录事件的日期和时间。 |
| ResourceId | 网络管理器的资源 ID。 |
| 位置 | 虚拟网络资源的位置。 |
| 操作名称 | 导致添加或删除虚拟网络的操作。 始终执行 Microsoft.Network/virtualNetworks/networkGroupMembership/write 操作。 |
| 类别 | 此日志的类别。 始终执行 NetworkGroupMembershipChange。 |
| 结果类型 | 指示操作成功或失败。 |
| correlationId | 有助于关联或调试日志的 GUID。 |
| 水平 | 始终执行 Info。 |
| 属性 | 日志属性的集合。 |
在 properties 属性中,有多个嵌套属性:
| properties 属性 | 说明 |
|---|---|
| 消息 | 一条静态消息,指出网络组成员身份更改是成功还是失败。 |
| 会员ID | 虚拟网络的默认成员身份 ID。 |
| GroupMemberships | 虚拟网络所属的网络组的集合。 此属性中可以有多个 NetworkGroupId 并 Sources 列出,因为虚拟网络可以同时属于多个网络组。 |
| MemberResourceIds | 已添加到网络组或从网络组中删除的虚拟网络的资源 ID。 |
在 GroupMemberships 属性中,有多个嵌套属性:
| GroupMemberships 属性 | 说明 |
|---|---|
| NetworkGroupId | 虚拟网络所属的网络组的 ID。 |
| 来源 | 虚拟网络如何成为网络组的成员的集合。 |
在 Sources 属性中,有多个嵌套属性:
| Sources 属性 | 说明 |
|---|---|
| 类型 | 表示是手动添加虚拟网络 (StaticMembership),还是通过 Azure Policy (Policy) 有条件地添加虚拟网络。 |
| 静态成员标识符 | 如果 Type 值为 StaticMembership,则会出现此属性。 |
| PolicyAssignmentId | 如果 Type 值为 Policy,则会出现此属性。 将 Azure Policy 定义与网络组关联的 Azure Policy 分配的 ID。 |
| PolicyDefinitionId | 如果 Type 值为 Policy,则会出现此属性。 包含网络组成员身份的条件的 Azure Policy 定义的 ID。 |
规则集合更改属性
此类别为每个虚拟网络的每项安全管理员规则集合更改发出一个日志。 因此,当安全管理员规则集合通过其网络组应用于虚拟网络或从虚拟网络中删除时,会发出与该特定虚拟网络的规则集合中的更改相关的日志。 以下属性对应于要发送到存储帐户的日志;Log Analytics 日志的属性略有不同。
| 属性 | 说明 |
|---|---|
| 时间 | 记录事件的日期和时间。 |
| ResourceId | 网络管理器的资源 ID。 |
| 位置 | 虚拟网络资源的位置。 |
| 操作名称 | 导致添加或删除虚拟网络的操作。 始终执行 Microsoft.Network/networkManagers/securityAdminRuleCollections/write 操作。 |
| 类别 | 此日志的类别。 始终执行 RuleCollectionChange。 |
| 结果类型 | 指示操作成功或失败。 |
| correlationId | 有助于关联或调试日志的 GUID。 |
| 水平 | 始终执行 Info。 |
| 属性 | 日志属性的集合。 |
在 properties 属性中,有多个嵌套属性:
| properties 属性 | 说明 |
|---|---|
| 目标资源ID (TargetResourceIds) | 在规则集合应用程序中进行了更改的虚拟网络的资源 ID。 |
| 消息 | 一条静态消息,指出规则集合更改是成功还是失败。 |
| AppliedRuleCollectionIds | 在发出日志时应用于虚拟网络的安全管理员规则集合的集合。 可以列出多个规则集合 ID,因为虚拟网络可以属于多个网络组,并同时应用多个规则集合。 |
连接配置更改属性
此类别为每个虚拟网络的每项连接配置更改发出一个日志。 因此,当连接配置通过其网络组应用于虚拟网络或从虚拟网络中删除时,会发出与该特定虚拟网络的连接配置集中的更改相关的日志。 以下属性对应于要发送到存储帐户的日志;Log Analytics 日志的属性略有不同。
| 属性 | 说明 |
|---|---|
| 时间 | 记录事件的日期和时间。 |
| ResourceId | 网络管理器的资源 ID。 |
| 位置 | 虚拟网络资源的位置。 |
| 操作名称 | 导致添加或删除虚拟网络的操作。 |
| 类别 | 此日志的类别。 始终为 ConnectivityConfigurationChange。 |
| 结果类型 | 指示操作成功或失败。 |
| correlationId | 有助于关联或调试日志的 GUID。 |
| 水平 | 信息或警告。 |
| 属性 | 日志属性的集合。 |
在 properties 属性中,有多个嵌套属性:
| properties 属性 | 说明 |
|---|---|
| 应用连接配置 | 在发出日志时应用于虚拟网络的连接配置的集合。 可以列出多个连接配置,因为网络组可以同时应用多个连接配置,虚拟网络也可以属于多个网络组,同时应用了多个连接配置。 |
| 目标资源ID (TargetResourceIds) | 在连接配置应用程序中进行了更改的虚拟网络的资源 ID。 |
| 消息 | 一条静态消息,指出连接配置更改是成功还是失败。 |
注意
连接配置允许在同一连接组内存在具有重叠 IP 空间的虚拟网络,但会丢弃发送到重叠 IP 地址的通信。 此外,当连接的组的虚拟网络与具有重叠地址空间的外部虚拟网络(不在连接的组中的虚拟网络)对等互连时,这些重叠的地址空间在连接的组中变得不可访问。 从对等互连的虚拟网络发送到重叠地址空间的流量将被路由到外部虚拟网络,而从连接组中的其他 VNet 发送到重叠地址空间的流量会被丢弃。 日志显示“警告”级别,该 TargetResourceIds 字段指示具有重叠地址空间的 VNet 的 ID,以及 message 指示由于地址重叠而无法访问完整或部分地址空间。
在 AppliedConnectivityConfigurations 属性中,有多个嵌套属性:
| AppliedConnectivityConfigurations 属性 | 说明 |
|---|---|
| ConfigurationId | 应用于虚拟网络的连接配置的 ID。 |
| 拓扑 | 连接配置要在应用它的一个或多个网络组中构建的拓扑的类型。 可以是 Mesh 或 HubAndSpoke。 |
访问日志
根据使用事件日志的方式,需要设置 Log Analytics 工作区或存储帐户来存储日志事件。
- 了解如何创建 Log Analytics 工作区。
- 了解如何创建存储帐户。
设置 Log Analytics 工作区或存储帐户时,需要选择一个区域。 如果使用存储帐户,它必须与从中访问日志的虚拟网络管理器位于同一区域。 如果使用的是 Log Analytics 工作区,则可以位于任何区域。
访问事件的网络管理器不需要与 Log Analytics 工作区或用于存储的存储帐户位于同一订阅中,但权限可以限制跨不同订阅访问日志的能力。
注意
至少一个虚拟网络必须经历按上述类别捕获的事件,才能生成日志。 发生更改几分钟后,将为每个事件生成日志。
后续步骤
- 了解如何 开始使用 Azure 虚拟网络管理器的事件日志。
- 了解如何使用 Azure 门户创建 Azure 虚拟网络管理器 实例。
- 详细了解 Azure Virtual Network Manager 中的网络组。