你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用开源工具直观呈现传入和传出 VM 的网络流量模式
数据包捕获包含有助于执行网络取证和深度数据包检查的网络数据。 有许多开源工具可用于分析数据包捕获并获取有关网络的见解。 CapAnalysis 便是其中一个,它是用于数据包捕获的开源可视化工具。
将数据包捕获数据可视化,是根据网络中的模式和异常快速衍生见解信息的重要方式。 可视化效果还提供了一种以易于使用的格式共享此类见解的方法。
借助 Azure 网络观察程序,可以通过在网络上执行数据包捕获来捕获数据。 本文将演练如何搭配使用 CapAnalysis 和网络观察程序来直观呈现数据包捕获并从中获得见解。
场景
本文假设你已在 Azure 中的虚拟机 (VM) 上部署了一个简单的 Web 应用程序。 你希望使用开源工具来直观呈现其网络流量,并快速识别流动模式和任何异常情况。 借助网络观察程序,可以获取网络环境的数据包捕获,并直接将其存储在存储帐户中。 然后,CapAnalysis 可以直接从存储 Blob 引入该数据包捕获并可视化其内容。
安装 CapAnalysis
若要在虚拟机上安装 CapAnalysis,请参阅官方 CapAnalysis 说明。
若要远程访问 CapAnalysis,则需要通过添加一个新的入站安全规则来在 VM 上打开端口 9877。 有关在网络安全组 (NSG) 中创建规则的详细信息,请参阅创建安全规则。 成功添加规则后,应能够从 http://<PublicIP>:9877 访问 CapAnalysis。
使用 Azure 网络观察程序启动数据包捕获会话
借助网络观察程序,可以捕获数据包来跟踪进出虚拟机的流量。 若要启动数据包捕获会话,请按照使用网络观察程序管理数据包捕获一文中的说明进行操作。 数据包捕获可以存储在 CapAnalysis 可访问的存储 blob 中。
将数据包捕获上传到 CapAnalysis
你可以直接从网络观察程序上传数据包捕获。 使用“从 URL 导入”选项卡,并提供指向存储数据包捕获的存储 blob 的链接。
向 CapAnalysis 提供链接时,请务必在存储 blob URL 的后面追加一个共享访问签名 (SAS) 令牌。 从存储帐户转到“共享访问签名”,指定允许的权限,然后选择“生成 SAS”按钮以创建令牌。 然后,可将此 SAS 令牌追加到数据包捕获存储 blob URL 的后面。
得到的 URL 将类似于 http://storageaccount.blob.core.windows.net/container/location?addSASkeyhere。
分析数据包捕获
CapAnalysis 提供了各种选项来直观呈现数据包捕获。 每一个都从不同的角度提供了分析。 借助这些视觉摘要,可以了解网络流量趋势并快速查明任何异常活动。
以下列表描述了一些 CapAnalysis 功能:
流表
“流”选项卡中列出了数据包数据中的流。 对于每个流,该选项卡将显示时间戳、源 IP、目标 IP 和关联的协议等信息。
协议概述
“概述”选项卡将显示网络流量在各种协议和地理位置上的分布。
统计信息
“统计信息”选项卡将显示网络流量统计信息。 此信息包括从源 IP 和目标 IP 发送和接收的字节数、每个源 IP 和目标 IP 的流数、用于各种流的协议以及流的持续时间。
地理地图
“GeoMAP”选项卡将提供关于网络流量的地图视图。 颜色根据来自每个国家/地区的流量而定。 你可以选择突出显示的国家/地区来查看更多流统计数据,例如从该国家/地区的 IP 发送和接收的数据比例。
筛选器
CapAnalysis 提供一组筛选器用于快速分析特定的数据包。 例如,可以选择按协议筛选数据,获取有关该流量子集的具体见解。
若要详细了解 CapAnalysis 的所有功能,请转到该工具的网站。
结束语
你可以使用网络观察程序的数据包捕获功能来捕获必要的数据,以执行网络取证并更好地了解自己的网络流量。 本文中的方案展示了如何使用开源可视化工具来集成网络观察程序中的数据包捕获。 通过使用 CapAnalysis 等工具来直观呈现数据包捕获,你可以执行深度数据包检查并快速识别网络流量的趋势。