Azure Network Watcher – Azure şəbəkə infrastrukturu üçün monitorinq və diaqnostika xidmətidir. O, bulud şəbəkənizdə baş verən trafiki izləməyə, əlaqə problemlərini aradan qaldırmağa və paket səviyyəsində analizlər aparmağa imkan verir. Xüsusilə, Network Watcher-də olan Packet Capture funksiyası, seçilmiş virtual maşınlarda gedən-gələn trafikin tam paket-ləvəlli surətini çıxarmağa imkan verir. Bu, bulud mühitində sanki Wireshark kimi paket analizini mümkün edir.
Packet Capture özəlliyi ilə inzibatçılar VM üzərində uzaqdan paket tutma seansı başlayır, lazımi filtr və limitləri təyin edə bilirlər. Məsələn, siz konkret IP ünvanına və ya porta aid trafiki tutmaq üçün filter qoya bilərsiniz (5-tuple əsasında: protokol, mənbə/təyinat IP və portlar). Network Watcher agenti həmin VM üzərində paketin bit-bit surətini toplayıb ya VM-in öz diskində, ya da Azure Storage hesabında .cap faylı kimi saxlayır. Sonra bu faylı yükləyib, Wireshark və bənzəri alətlərlə dərin analiz aparmaq mümkündür. Bu üsul istər şəbəkə nasazlıqlarını (məsələn, paketlərin bloklanma səbəblərini) tapmaqda, istərsə də təhlükəsizlik təhlili aparmaqda (məsələn, şübhəli trafik anomaliyalarını incələməkdə) olduqca faydalıdır.
Azure Network Watcher həmçinin bir çox diaqnostik alətlər təqdim edir: IP Flow Verify (NSG-nin trafiki bloklayıb-bloklamadığını yoxlayır), Next Hop (pakeitin hara yönləndirildiyini göstərir), Security Group View (VM-ə tətbiq edilən bütün NSG qaydalarını siyahılar), Connection Troubleshoot (iki nöqtə arasında real-time əlaqə testi edir) və s.. Bu alətlər bulud şəbəkəsində firewall və marşrutlama problemlərini tez tapmağa yardım edir. Məsələn, IP Flow Verify aləti konkret VM-dən bir IP:port istiqamətinə trafikin NSG tərəfindən icazə verilib-verilmədiyini və hansı qaydaya görə bloklandığını göstərir.
Paket səviyyəsində analiz dedikdə isə məhz Packet Capture və NSG Flow Log-ların birgə istifadəsi nəzərdə tutulur. Network Watcher NSG Flow Log-ları da təqdim edir – yəni hər bir Network Security Group-dan keçən trafik axınlarını (5-tuple, icazə/inkar statusu, bayt sayı və s.) log şəklində məqalər. Bu log-ları Azure Storage-a məqaləb sonra Traffic Analytics modulunda vizuallaşdırmaq olur. Məsələn, bir VM-ə ən çox hansı IP-lərdən trafik gəldiyini, hansı portların bloklandığını vs. qrafik şəkildə görmək mümkündür. Bu axın məlumatları “packet-level” olmasa da, ümumi axın statistikasını verir ki, şübhəli anomaliyalar aşkar olunsun.
Daha dərin paket təhlili gərəkdikdə isə Packet Capture istifadə olunur. Bu xüsusiyyət Azure mühitində problem həlletmədə güclü alətdir – çünki on-prem datamərkəzinizdə switch-də/təhlükəsizlik divarında paket tutduğunuz kimi, bulud VM-lərinin trafikinə də baxa bilirsiniz. Məsələn, iki mikroxidmət arasındakı HTTP sorğusunun header-lərini incələmək və ya TLS handshake zamanı sertifikat mübadiləsini təhlil etmək üçün VM üzərində Packet Capture qurub, toplanan .pcap faylını endirərək Wireshark-da aça bilərsiniz. Həmçinin, bu paket tutmaları avtomatlaşdırmaq da olar – məsələn, müəyyən bir alert çıxdıqda (şübhəli trafik həcmi aşkarlanarsa) avtomatik Packet Capture başlasın və 5 dəqiqəlik trafik saxlasın.
Network Watcher real-time paket analizi imkanı verməsə də (yəni interfeysdə canlı paketləri göstərmir, ancaq fayla məqalər), bu kifayət qədər yaxın funksionallıqdır. Bundan başqa, Network Watcher-in “VPN troubleshoot” kimi aləti də var ki, VPN tunel trafiki ilə bağlı analizlər aparır (paketlər çatırmı və s.).
Sonda qeyd etmək lazımdır ki, Azure Network Watcher logs və paket məlumatlarını Azure Monitor vasitəsilə mərkəzləşdirmək mümkündür. Qeyd etdiyimiz NSG Flow Log-ları Log Analytics-ə göndərərək Microsoft Sentinel kimi SIEM-lərdə analiz etmək, hətta Packet Capture nəticələrini KQL ilə Log Analytics-ə yükləmək mümkündür. Beləliklə, bulud şəbəkəsində paket səviyyəsinə qədər şəffaflıq əldə olunur və şəbəkə problemlərinin diaqnostikası xeyli asanlaşır.
Şəkil: Azure Network Watcher-in imkanları – Monitoring (Topologiya, Connection Monitor), Network Diagnostics (IP Flow Verify, NSG diagnostics, Next Hop, Packet Capture və s.), Traffic (Flow logs, Traffic analytics) kimi alətlər şəbəkəni izləmək və analiz etmək üçün istifadə olunur.