Gestire le acquisizioni di pacchetti con Azure Network Watcher usando l'interfaccia della riga di comando di Azure 2.0Manage packet captures with Azure Network Watcher using Azure CLI 2.0

Il servizio di acquisizione di pacchetti di Network Watcher consente di creare sessioni di acquisizione per registrare il traffico da e verso una macchina virtuale.Network Watcher packet capture allows you to create capture sessions to track traffic to and from a virtual machine. Sono disponibili filtri per la sessione di acquisizione per garantire che venga acquisito solo il traffico desiderato.Filters are provided for the capture session to ensure you capture only the traffic you want. Il servizio di acquisizione di pacchetti consente di individuare eventuali anomalie di rete in modo proattivo e reattivo.Packet capture helps to diagnose network anomalies both reactively and proactively. Altri utilizzi comprendono la raccolta di statistiche di rete, informazioni sulle intrusioni nella rete, debug delle comunicazioni client-server e molto altro ancora.Other uses include gathering network statistics, gaining information on network intrusions, to debug client-server communications and much more. La possibilità di attivare da remoto l'acquisizione di pacchetti evita di dover eseguire manualmente questa operazione sul computer desiderato, consentendo un notevole risparmio di tempo.By being able to remotely trigger packet captures, this capability eases the burden of running a packet capture manually and on the desired machine, which saves valuable time.

Questo articolo usa l'interfaccia della riga di comando di nuova generazione per il modello di distribuzione di gestione delle risorse, ovvero l'interfaccia della riga di comando di Azure 2.0, disponibile per Windows, Mac e Linux.This article uses our next generation CLI for the resource management deployment model, Azure CLI 2.0, which is available for Windows, Mac and Linux.

Per eseguire i passaggi indicati in questo articolo è necessario installare l'interfaccia della riga di comando di Azure per Mac, Linux e Windows (interfaccia della riga di comando di Azure).To perform the steps in this article, you need to install the Azure Command-Line Interface for Mac, Linux, and Windows (Azure CLI).

Questo articolo illustra le diverse attività di gestione attualmente disponibili per l'acquisizione di pacchetti.This article takes you through the different management tasks that are currently available for packet capture.

Prima di iniziareBefore you begin

Questo articolo presuppone che l'utente disponga delle risorse seguenti:This article assumes you have the following resources:

  • Un'istanza di Network Watcher nell'area in cui creare un'acquisizione di pacchetti.An instance of Network Watcher in the region you want to create a packet capture
  • Una macchina virtuale con l'estensione di acquisizione di pacchetti abilitata.A virtual machine with the packet capture extension enabled.

Importante

L'acquisizione di pacchetti richiede un agente in esecuzione nella macchina virtuale.Packet capture requires an agent to be running on the virtual machine. L'agente viene installato come estensione.The Agent is installed as an extension. Per informazioni sulle estensioni di VM, leggere l'articolo sulle estensioni e funzionalità della macchina virtuale.For instructions on VM extensions, visit Virtual Machine extensions and features.

Installare un'estensione di macchina virtualeInstall VM extension

Passaggio 1Step 1

Eseguire il cmdlet az vm extension set per installare l'agente di acquisizione di pacchetti sulla macchina virtuale guest.Run the az vm extension set cmdlet to install the packet capture agent on the guest virtual machine.

Per le macchine virtuali Windows:For Windows virtual machines:

az vm extension set --resource-group resourceGroupName --vm-name virtualMachineName --publisher Microsoft.Azure.NetworkWatcher --name NetworkWatcherAgentWindows --version 1.4

Per le macchine virtuali Linux:For Linux virtual machines:

az vm extension set --resource-group resourceGroupName --vm-name virtualMachineName --publisher Microsoft.Azure.NetworkWatcher --name NetworkWatcherAgentLinux--version 1.4

Passaggio 2Step 2

Per verificare che l'agente sia stato installato, eseguire il cmdlet vm extension show e passare il gruppo di risorse e il nome della macchina virtuale.To ensure that the agent is installed, run the vm extension show cmdlet and pass it the resource group and virtual machine name. Controllare l'elenco risultante per verificare l'installazione dell'agente.Check the resulting list to ensure the agent is installed.

az vm extension show --resource-group resourceGroupName --vm-name virtualMachineName --name NetworkWatcherAgentWindows

L'esempio seguente riporta una possibile risposta all'esecuzione di az vm extension show.The following sample is an example of the response from running az vm extension show

{
  "autoUpgradeMinorVersion": true,
  "forceUpdateTag": null,
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{vmName}/extensions/NetworkWatcherAgentWindows",
  "instanceView": null,
  "location": "westcentralus",
  "name": "NetworkWatcherAgentWindows",
  "protectedSettings": null,
  "provisioningState": "Succeeded",
  "publisher": "Microsoft.Azure.NetworkWatcher",
  "resourceGroup": "{resourceGroupName}",
  "settings": null,
  "tags": null,
  "type": "Microsoft.Compute/virtualMachines/extensions",
  "typeHandlerVersion": "1.4",
  "virtualMachineExtensionType": "NetworkWatcherAgentWindows"
}

Avviare un'acquisizione di pacchettiStart a packet capture

Dopo aver completato i passaggi precedenti, l'agente di acquisizione di pacchetti è installato nella macchina virtuale.Once the preceding steps are complete, the packet capture agent is installed on the virtual machine.

Passaggio 1Step 1

Il passaggio successivo consente di recuperare l'istanza di Network Watcher.The next step is to retrieve the Network Watcher instance. Il nome dell'istanza di Network Watcher viene passato al cmdlet az network watcher show nel passaggio 4.TThe name of the Network Watcher is passed to the az network watcher show cmdlet in step 4.

az network watcher show --resource-group resourceGroup --name networkWatcherName

Passaggio 2Step 2

Recuperare un account di archiviazione.Retrieve a storage account. L'account di archiviazione viene usato per archiviare il file di acquisizione di pacchetti.This storage account is used to store the packet capture file.

azure storage account list

Passaggio 3Step 3

È possibile usare i filtri per limitare i dati archiviati dall'acquisizione di pacchetti.Filters can be used to limit the data that is stored by the packet capture. L'esempio seguente imposta un'acquisizione di pacchetto con diversi filtri.The following example sets up a packet capture with several filters. I primi tre filtri acquisiscono il traffico TCP in uscita solo dall'indirizzo IP 10.0.0.3 verso le porte di destinazione 20, 80 e 443.The first three filters collect outgoing TCP traffic only from local IP 10.0.0.3 to destination ports 20, 80 and 443. L'ultimo filtro acquisisce solo il traffico UDP.The last filter collects only UDP traffic.

az network watcher packet-capture create --resource-group {resoureceurceGroupName} --vm {vmName} --name packetCaptureName --storage-account gwteststorage123abc --filters "[{\"protocol\":\"TCP\", \"remoteIPAddress\":\"1.1.1.1-255.255.255\",\"localIPAddress\":\"10.0.0.3\", \"remotePort\":\"20\"},{\"protocol\":\"TCP\", \"remoteIPAddress\":\"1.1.1.1-255.255.255\",\"localIPAddress\":\"10.0.0.3\", \"remotePort\":\"80\"},{\"protocol\":\"TCP\", \"remoteIPAddress\":\"1.1.1.1-255.255.255\",\"localIPAddress\":\"10.0.0.3\", \"remotePort\":\"443\"},{\"protocol\":\"UDP\"}]"

L'esempio seguente riporta l'output previsto dall'esecuzione del cmdlet az network watcher packet-capture create.The following example is the expected output from running the az network watcher packet-capture create cmdlet.

{
  "bytesToCapturePerPacket": 0,
  "etag": "W/\"b8cf3528-2e14-45cb-a7f3-5712ffb687ac\"",
  "filters": [
    {
      "localIpAddress": "10.0.0.3",
      "localPort": "",
      "protocol": "TCP",
      "remoteIpAddress": "1.1.1.1-255.255.255",
      "remotePort": "20"
    },
    {
      "localIpAddress": "10.0.0.3",
      "localPort": "",
      "protocol": "TCP",
      "remoteIpAddress": "1.1.1.1-255.255.255",
      "remotePort": "80"
    },
    {
      "localIpAddress": "10.0.0.3",
      "localPort": "",
      "protocol": "TCP",
      "remoteIpAddress": "1.1.1.1-255.255.255",
      "remotePort": "443"
    },
    {
      "localIpAddress": "",
      "localPort": "",
      "protocol": "UDP",
      "remoteIpAddress": "",
      "remotePort": ""
    }
  ],
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_westcentralus/pa
cketCaptures/packetCaptureName",
  "name": "packetCaptureName",
  "provisioningState": "Succeeded",
  "resourceGroup": "NetworkWatcherRG",
  "storageLocation": {
    "filePath": null,
    "storageId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/gwteststorage123abc",
    "storagePath": "https://gwteststorage123abc.blob.core.windows.net/network-watcher-logs/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/{resourceGroupName}/p
roviders/microsoft.compute/virtualmachines/{vmName}/2017/05/25/packetcapture_16_22_34_630.cap"
  },
  "target": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{vmName}",
  "timeLimitInSeconds": 18000,
  "totalBytesPerSession": 1073741824
}

Ottenere un'acquisizione di pacchettiGet a packet capture

L'esecuzione del cmdlet az network watcher packet-capture show consente di recuperare lo stato di un'acquisizione di pacchetti attualmente in esecuzione o completata.Running the az network watcher packet-capture show cmdlet, retrieves the status of a currently running, or completed packet capture.

az network watcher packet-capture show --name packetCaptureName --location westcentralus

L'esempio seguente riporta l'output ottenuto dall'esecuzione del cmdlet az network watcher packet-capture show.The following example is the output from the az network watcher packet-capture show cmdlet. L'esempio seguente mostra il risultato ottenuto al completamento dell'acquisizione di pacchetti.The following example is after the capture is complete. Il valore PacketCaptureStatus è Stopped, mentre il valore StopReason corrisponde a TimeExceeded.The PacketCaptureStatus value is Stopped, with a StopReason of TimeExceeded. Questo valore indica che l'acquisizione di pacchetti ha avuto esito positivo ed è stata eseguita per il tempo necessario.This value shows that the packet capture was successful and ran its time.

{
  "bytesToCapturePerPacket": 0,
  "etag": "W/\"b8cf3528-2e14-45cb-a7f3-5712ffb687ac\"",
  "filters": [
    {
      "localIpAddress": "10.0.0.3",
      "localPort": "",
      "protocol": "TCP",
      "remoteIpAddress": "1.1.1.1-255.255.255",
      "remotePort": "20"
    },
    {
      "localIpAddress": "10.0.0.3",
      "localPort": "",
      "protocol": "TCP",
      "remoteIpAddress": "1.1.1.1-255.255.255",
      "remotePort": "80"
    },
    {
      "localIpAddress": "10.0.0.3",
      "localPort": "",
      "protocol": "TCP",
      "remoteIpAddress": "1.1.1.1-255.255.255",
      "remotePort": "443"
    },
    {
      "localIpAddress": "",
      "localPort": "",
      "protocol": "UDP",
      "remoteIpAddress": "",
      "remotePort": ""
    }
  ],
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_westcentralus/packetCaptures/packetCaptureName",
  "name": "packetCaptureName",
  "provisioningState": "Succeeded",
  "resourceGroup": "NetworkWatcherRG",
  "storageLocation": {
    "filePath": null,
    "storageId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/gwteststorage123abc",
    "storagePath": "https://gwteststorage123abc.blob.core.windows.net/network-watcher-logs/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/{resourceGroupName}/providers/microsoft.compute/virtualmachines/{vmName}/2017/05/25/packetcapt
ure_16_22_34_630.cap"
  },
  "target": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{vmName}",
  "timeLimitInSeconds": 18000,
  "totalBytesPerSession": 1073741824
}

Interrompere un'acquisizione di pacchettiStop a packet capture

L'esecuzione del cmdlet az network watcher packet-capture stop consente di interrompere un'acquisizione di pacchetti in corso.By running the az network watcher packet-capture stop cmdlet, if a capture session is in progress it is stopped.

az network watcher packet-capture stop --name packetCaptureName --location westcentralus

Nota

Il cmdlet non restituisce alcuna risposta se eseguito in una sessione di acquisizione in corso o in una sessione esistente che è già stata interrotta.The cmdlet returns no response when ran on a currently running capture session or an existing session that has already stopped.

Eliminare un'acquisizione di pacchettiDelete a packet capture

az network watcher packet-capture delete --name packetCaptureName --location westcentralus

Nota

L'eliminazione di un'acquisizione di pacchetti non elimina il file nell'account di archiviazione.Deleting a packet capture does not delete the file in the storage account.

Scaricare un'acquisizione di pacchettiDownload a packet capture

Dopo aver completato la sessione di acquisizione di pacchetti, è possibile scaricare il file di acquisizione nell'archiviazione BLOB o in un file locale nella macchina virtuale.Once your packet capture session has completed, the capture file can be uploaded to blob storage or to a local file on the VM. La posizione di archiviazione dell'acquisizione di pacchetti viene definita al momento della creazione della sessione.The storage location of the packet capture is defined at creation of the session. Uno strumento utile per accedere ai file di acquisizione salvati in un account di archiviazione è Esplora archivi di Microsoft Azure, disponibile qui: http://storageexplorer.com/A convenient tool to access these capture files saved to a storage account is Microsoft Azure Storage Explorer, which can be downloaded here: http://storageexplorer.com/

Se viene specificato un account di archiviazione, i file di acquisizione di pacchetti vengono salvati in un account di archiviazione nel percorso seguente:If a storage account is specified, packet capture files are saved to a storage account at the following location:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{VMName}/{year}/{month}/{day}/packetCapture_{creationTime}.cap

Passaggi successiviNext steps

Per altre informazioni su come automatizzare le acquisizioni di pacchetti tramite gli avvisi della macchina virtuale, leggere l'articolo su come creare un'acquisizione di pacchetti attivata da un avviso.Learn how to automate packet captures with Virtual machine alerts by viewing Create an alert triggered packet capture

Per stabilire se un traffico specificato è consentito all'interno o all'esterno di una macchina virtuale, vedere Check IP flow verify (Controllare la verifica del flusso IP).Find if certain traffic is allowed in or out of your VM by visiting Check IP flow verify