Compartir a través de

监视虚拟 WAN - 数据参考

本文提供了对所收集日志和指标数据的引用,用于分析虚拟 WAN 的性能和可用性。 如需监视虚拟 WAN 的数据的说明和其他上下文,请参阅监视虚拟 WAN

指标

虚拟中心路由器指标

以下指标适用于虚拟中心内的虚拟中心路由器:

指标 说明
处理的虚拟中心数据 给定时间段内有多少流量遍历虚拟中心路由器的数据。 只有以下流使用虚拟中心路由器:VNet 到 VNet(同一中心和中心间)和 VPN/ExpressRoute 分支到 VNet(中心间)。 如果虚拟中心使用路由意向进行保护,这些流会遍历防火墙而不是中心路由器。
路由基础结构单元 虚拟中心的路由基础结构单元 (RIU)。 虚拟中心的 RIU 决定了虚拟中心路由器可以为流经虚拟中心路由器的流处理多少带宽。 中心的 RIU 还决定了虚拟中心路由器可以在分支 VNet 中支持多少 VM。 有关路由基础结构单元的更多详细信息,请参阅虚拟中心容量
分支 VM 使用率 已部署分支 VM 的相应数量占中心的路由基础结构单元能够支持的分支 VM 总数的百分比。 例如,如果将中心的 RIU 设置为 2(支持 2000 个分支 VM),并且跨分支 VNet 部署了 1000 个 VM,则此指标的值约为 50%。

站点到站点 VPN 网关指标

虚拟 WAN 站点到站点 VPN 网关提供以下指标:

隧道数据包丢弃指标

指标 说明
隧道传出数据包丢弃计数 隧道丢弃的传出数据包计数。
隧道传入数据包丢弃计数 隧道丢弃的传入数据包计数。
隧道 NAT 数据包丢包数 丢包类型和 NAT 规则列出的隧道丢弃 NAT 处理数据包数
隧道流出 TS 不匹配数据包丢弃 因隧道的流量选择器不匹配而导致的传出数据包丢弃计数。
隧道流入 TS 不匹配数据包丢弃 因隧道的流量选择器不匹配而导致的传入数据包丢弃计数。

IPSec 指标

指标 描述
隧道 MMSA 计数 创建或删除的 MMSA 数。
隧道 QMSA 计数 创建或删除的 IPSEC QMSA 数。

路由指标

指标 描述
BGP 对等方状态 每个对等机和每个实例的 BGP 连接状态。
播发的 BGP 路由数 每个对等机和每个实例播发的路由数。
获知的 BGP 路由数 每个对等机和每个实例学习的路由数。
VNET 地址前缀计数 网关使用/播发的 VNET 地址前缀数。

可以通过选择“应用拆分”并选择首选值来查看每个对等机和实例的指标。

流量流指标

指标 说明
网关带宽 网关站点到站点的平均聚合带宽(字节/秒)。
网关入站流 流入 VPN 网关的不同 5 元组(协议、本地 IP 地址、远程 IP 地址、本地端口和远程端口)流数。 限制为 25 万个流。
网关出站流 流出 VPN 网关的不同 5 元组(协议、本地 IP 地址、远程 IP 地址、本地端口和远程端口)流数。 限制为 25 万个流。
隧道带宽 隧道带宽平均值(字节/秒)。
隧道流出字节 隧道的传出字节数。
隧道流出数据包 隧道的传出数据包计数。
隧道流入字节 隧道的传入字节数。
隧道流入数据包 隧道的传入数据包计数。
隧道峰值 PPS 过去一分钟内每个链接连接每秒的数据包数。
隧道流计数 每个链接连接创建的不同 3 元组(协议、本地 IP 地址、远程 IP 地址)流数。

点到站点 VPN 网关指标

虚拟 WAN 点到站点 VPN 网关提供以下指标:

指标 说明
网关 P2S 带宽 网关点到站点的平均聚合带宽(字节/秒)。
P2S 连接计数 网关的点到站点连接计数。 为确保在 Azure Monitor 中查看准确的指标,请选择“Sum”作为“P2S 连接计数”的“聚合类型”。 如果按实例拆分,还可以选择“最大值”
用户 VPN 路由计数 VPN 网关上配置的用户 VPN 路由数。 此指标可以分解为“静态”路由和”动态“路由。

Azure ExpressRoute 网关指标

Azure ExpressRoute 网关提供以下指标:

指标 说明
BitsInPerSecond 每秒通过 ExpressRoute 流入 Azure 的位数,可以针对特定连接进一步拆分。
BitsOutPerSecond 每秒通过 ExpressRoute 流出 Azure 的位数,可以针对特定连接进一步拆分。
每秒接收的位数 在 ExpressRoute 网关上每秒接收到的总位数。
CPU 使用率 ExpressRoute 网关的 CPU 使用率。
每秒的数据包数 在 ExpressRoute 网关上每秒接收到的总包数。
播发到对等机的路由计数 ExpressRoute 网关播发到对等机的路由计数。
从对等机获知的路由计数 ExpressRoute 网关从对等机获知的路由计数。
路由更改频率 ExpressRoute 网关中的路由更改频率。

诊断日志

除非另有说明,否则以下诊断日志可用。

站点到站点 VPN 网关诊断

虚拟 WAN 站点到站点 VPN 网关提供以下诊断:

指标 说明
网关诊断日志 特定于网关的诊断,例如运行状况、配置、服务更新以及其他诊断。
隧道诊断日志 这是与 IPsec 隧道相关的日志,例如站点到站点 IPsec 隧道的连接和断开连接事件、协商的 SA、断开连接原因以及其他诊断。 对于连接和断开连接事件,这些日志还显示相应本地 VPN 设备的远程 IP 地址。
路由诊断日志 这是与静态路由、BGP、路由更新以及其他诊断的事件相关的日志。
IKE 诊断日志 用于 IPsec 连接的特定于 IKE 的诊断。

点到站点 VPN 网关诊断

虚拟 WAN 点到站点 VPN 网关提供以下诊断:

指标 说明
网关诊断日志 特定于网关的诊断,例如运行状况、配置、服务更新以及其他诊断。
IKE 诊断日志 用于 IPsec 连接的特定于 IKE 的诊断。
P2S 诊断日志 这是用户 VPN P2S(点到站点)配置和客户端事件。 它们包括客户端连接/断开连接、VPN 客户端地址分配以及其他诊断。

ExpressRoute 网关诊断

在 Azure 虚拟 WAN中,可以通过诊断设置将 ExpressRoute 网关指标导出为日志。

Log Analytics 示例查询

如果选择将诊断数据发送到 Log Analytics 工作区,则可以使用类似 SQL 的查询(如下面的示例)来检查数据。 有关详细信息,请参阅 Log Analytics 查询语言

以下示例包含一个查询,用于获取站点到站点路由诊断。

AzureDiagnostics | where Category == "RouteDiagnosticLog"

根据本文前面部分中所报告的表,根据需要替换 = = 之后的以下值。

  • "GatewayDiagnosticLog"
  • "IKEDiagnosticLog"
  • "P2SDiagnosticLog"
  • "TunnelDiagnosticLog"
  • "RouteDiagnosticLog"

若要执行查询,必须打开配置为接收诊断日志的 Log Analytics 资源,然后在窗格左侧的“常规”选项卡下选择“日志”:

Log Analytics 查询示例的屏幕截图。

对于 Azure 防火墙,提供了一个工作簿以简化日志分析。 使用其图形界面,无需手动编写任何 Log Analytics 查询即可调查诊断数据。

活动日志

默认情况下会收集活动日志条目,可在 Azure 门户中查看它们。 可以使用 Azure 活动日志(以前称为操作日志和审核日志)查看提交到 Azure 订阅的所有操作。

你可以单独查看活动日志或将其路由到 Azure Monitor 日志,然后在其中使用 Log Analytics 执行更加复杂的查询。

有关活动日志条目架构的详细信息,请参阅活动日志架构

架构

有关顶级诊断日志架构的详细说明,请参阅 Azure 诊断日志支持的服务、架构和类别

通过 Log Analytics 查看任何指标时,输出包含以下列:

类型 说明
TimeGrain 字符串 PT1M(每分钟推送一次指标值)
Count real 通常等于 2(每个 MSEE 每分钟推送一个指标值)
最低配置 real 两个 MSEE 推送的两个指标值中的最小值
最大值 real 两个 MSEE 推送的两个指标值中的最大值
平均值 real 等于 (最小值 + 最大值)/2
总计 real 来自两个 MSEE 的两个指标值的总和(所查询指标的需关注的主要值)

监视受保护的中心(Azure 防火墙)

如果已选择使用 Azure 防火墙保护虚拟中心,则可访问以下链接了解相关的日志和指标:Azure 防火墙日志和指标。 可以使用 Azure 防火墙日志和指标监视受保护的中心。 此外,可以使用活动日志来审核对 Azure 防火墙资源执行的操作。 对于保护并转换为安全中心的每个 Azure 虚拟 WAN,都会在该中心所在的资源组中创建一个显式防火墙资源对象。

屏幕截图显示 vWAN 中心资源组中的防火墙资源。

后续步骤