使用 azure 網路監看員 使用 Azure 入口網站 管理虛擬機的封包擷取
網路監看員 封包擷取工具可讓您建立擷取會話,以記錄來自 Azure 虛擬機(VM) 的網路流量。 系統會為擷取工作階段提供篩選器,以確保您只會擷取到您想要的流量。 封包擷取有助於主動和主動診斷網路異常。 其應用程式超越異常偵測範圍,包括收集網路統計數據、取得網路入侵的見解、偵錯客戶端-伺服器通訊,以及解決各種其他網路挑戰。 網路監看員 封包擷取可讓您從遠端起始封包擷取,以減輕在特定虛擬機上手動執行的需求。
在本文中,您將瞭解如何使用 Azure 入口網站 從遠端設定、啟動、停止、下載和刪除虛擬機封包擷取。 若要瞭解如何使用 PowerShell 或 Azure CLI 管理封包擷取,請參閱 使用 PowerShell 管理虛擬機的封包擷取,或使用 Azure CLI 管理虛擬機的封包擷取。
必要條件
- 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
- 具有下列輸出 TCP 連線的虛擬機:
- 透過埠 443 對記憶體帳戶
- 至 169.254.169.254,透過埠 80
- 至 168.63.129.16 透過埠 8037
注意
- 如果未針對該區域啟用 網路監看員,Azure 會在虛擬機區域中建立 網路監看員 實例。 如需詳細資訊,請參閱啟用或停用 Azure 網路監看員。
- 網路監看員 封包擷取需要 網路監看員 代理程式 VM 擴充功能才能安裝在目標虛擬機上。 每當您在 Azure 入口網站 中使用 網路監看員 封包擷取時,如果尚未安裝代理程式,就會自動安裝在目標 VM 或擴展集上。 若要更新已安裝的代理程式,請參閱將 Azure 網路監看員 擴充功能更新為最新版本。 若要手動安裝代理程式,請參閱 網路監看員 適用於Linux的代理程式虛擬機擴充功能或適用於Windows的 網路監看員 Agent 虛擬機擴充功能。
- 必要條件中列出的最後兩個IP位址和埠,在所有使用 網路監看員 代理程式且偶爾可能會變更的 網路監看員 工具中都是常見的。
如果網路安全組與網路介面或網路介面所屬的子網相關聯,請確定規則存在,以允許透過先前的埠進行輸出連線。 同樣地,在將使用者定義的路由新增至您的網路時,請確定透過先前埠的輸出連線能力。
啟動封包擷取
登入 Azure 入口網站。
在入口網站頂端的搜尋方塊中,輸入 網路監看員。 從搜尋結果中選取 [網路監看員]。
在 [網路診斷工具] 下,選取 [封包擷取]。 系統會列出所有現有的封包擷取,不論其狀態為何。
選取 [+ 新增] 以建立封包擷取。 在 [新增封包擷取] 中,輸入或選取下列設定的值:
設定 值 基本詳細數據 訂用帳戶 選取虛擬機器的 Azure 訂用帳戶。 資源群組 選取虛擬機器的資源群組。 目標類型 選取 [虛擬機器]。 目標實例 選取虛擬機器。 封包擷取名稱 輸入名稱或保留預設名稱。 封包擷取設定 擷取 選取 [儲存體帳戶]、[檔案] 或 [兩者]。 儲存體帳戶 選取您的 標準 記憶體帳戶1。
如果您選取 [儲存體 帳戶] 或 [兩者] 作為擷取位置,則可以使用此選項。本機檔案路徑 輸入您想要在目標虛擬機器中儲存擷取的有效本機檔案路徑。 如果您使用 Linux 計算機,路徑必須以 /var/captures 開頭。
如果您選取 [檔案] 或 [兩者] 作為擷取位置,則可以使用此選項。每個封包的位元組數上限 輸入每個封包要擷取的最大位元組數。 如果保留空白或輸入 0,則會擷取所有位元組。 每個工作階段的位元組數上限 輸入要擷取的位元組總數。 到達該值之後,封包擷取就會停止。 如果保留空白,最多會擷取 1 GB。 時間限制(秒) 輸入封包擷取工作階段的時間限制 (以秒為單位)。 到達該值之後,封包擷取就會停止。 如果保留空白,最多會擷取 5 小時 (18,000 秒)。 篩選 (選擇性) 新增篩選準則 選取 [新增篩選條件 ] 以新增篩選條件。 您可以視需要定義多個篩選。 通訊協定 根據選取的通訊協定來篩選封包擷取。 可用的值為 TCP、 UDP 或 Any。 本機IP位址2 針對本機 IP 位址符合此值的封包來篩選封包擷取。 本機埠2 針對本機連接埠符合此值的封包來篩選封包擷取。 遠端IP位址2 針對遠端 IP 位址符合此值的封包來篩選封包擷取。 遠端埠2 針對遠端連接埠符合此值的封包來篩選封包擷取。 1 進階版 記憶體帳戶目前不支持儲存封包擷取。
2 埠和 IP 位址值可以是單一值、範圍,例如 80-1024,或多個值,例如 80、443。
選取 [啟動封包擷取]。
一旦達到封包擷取上設定的時間限制之後,封包擷取就會停止且可供檢閱。 若要在封包擷取會話達到時間限制之前手動停止封包擷取會話,請選取 封包擷取右側的 ... ,或以滑鼠右鍵單擊它,然後選取 [ 停止]。
下載封包擷取
結束封包擷取會話之後,產生的擷取檔案會儲存至 Azure 記憶體、目標虛擬機上的本機檔案或兩者。 封包擷取的儲存目的地會在建立封包期間指定。 如需詳細資訊,請參閱 啟動封包擷取。
若要下載儲存至 Azure 記憶體的封包擷取檔案,請遵循下列步驟:
登入 Azure 入口網站。
在入口網站頂端的搜尋方塊中,輸入 網路監看員,然後從搜尋結果中選取 [網路監看員]。
在 [網路診斷工具] 下,選取 [封包擷取]。
在 [ 封包擷取 ] 頁面中,選取您想要下載其檔案的封包擷取。
在 [ 詳細數據] 區段中,選取封包擷取檔案連結。
在 Blob 頁面中,選取 [ 下載]。
注意
您也可以使用下列路徑的 Azure 入口網站 或 儲存體總管 1,從記憶體帳戶容器下載擷取檔案:
https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap
1 儲存體總管 是一個獨立應用程式,可讓您輕鬆地用來存取和使用 Azure 儲存體 數據。 如需詳細資訊,請參閱開始使用 儲存體總管。
若要下載儲存至虛擬機的封包擷取檔案,請連線到 VM,並從封包擷取建立期間指定的本機路徑下載檔案。
刪除封包擷取
登入 Azure 入口網站。
在入口網站頂端的搜尋方塊中,輸入 網路監看員,然後從搜尋結果中選取 [網路監看員]。
在 [網路診斷工具] 下,選取 [封包擷取]。
在 [封包擷取] 頁面中,選取您要刪除之封包擷取右側的 [...],或以滑鼠右鍵按鍵按下它,然後選取 [刪除]。
選取 [是]。
重要
刪除 網路監看員 中的封包擷取並不會從記憶體帳戶或虛擬機中刪除擷取檔案。 如果您不再需要擷取檔案,您必須從記憶體帳戶手動將其刪除,以避免產生記憶體成本。
相關內容
- 若要瞭解如何使用虛擬機警示將封包擷取自動化,請參閱 建立警示觸發的封包擷取。
- 若要瞭解如何使用Wireshark分析 網路監看員 封包擷取檔案,請參閱檢查和分析 網路監看員 封包擷取檔案。