使用 azure 網路監看員 使用 Azure 入口網站 管理虛擬機的封包擷取

  • 發行項

網路監看員 封包擷取工具可讓您建立擷取會話,以記錄來自 Azure 虛擬機(VM) 的網路流量。 系統會為擷取工作階段提供篩選器,以確保您只會擷取到您想要的流量。 封包擷取有助於主動和主動診斷網路異常。 其應用程式超越異常偵測範圍,包括收集網路統計數據、取得網路入侵的見解、偵錯客戶端-伺服器通訊,以及解決各種其他網路挑戰。 網路監看員 封包擷取可讓您從遠端起始封包擷取,以減輕在特定虛擬機上手動執行的需求。

在本文中,您將瞭解如何使用 Azure 入口網站 從遠端設定、啟動、停止、下載和刪除虛擬機封包擷取。 若要瞭解如何使用 PowerShell 或 Azure CLI 管理封包擷取,請參閱 使用 PowerShell 管理虛擬機的封包擷取,或使用 Azure CLI 管理虛擬機的封包擷取。

必要條件

  • 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶
  • 具有下列輸出 TCP 連線的虛擬機:
    • 透過埠 443 對記憶體帳戶
    • 至 169.254.169.254,透過埠 80
    • 至 168.63.129.16 透過埠 8037

注意

  • 如果未針對該區域啟用 網路監看員,Azure 會在虛擬機區域中建立 網路監看員 實例。 如需詳細資訊,請參閱啟用或停用 Azure 網路監看員
  • 網路監看員 封包擷取需要 網路監看員 代理程式 VM 擴充功能才能安裝在目標虛擬機上。 每當您在 Azure 入口網站 中使用 網路監看員 封包擷取時,如果尚未安裝代理程式,就會自動安裝在目標 VM 或擴展集上。 若要更新已安裝的代理程式,請參閱將 Azure 網路監看員 擴充功能更新為最新版本。 若要手動安裝代理程式,請參閱 網路監看員 適用於Linux的代理程式虛擬機擴充功能或適用於Windows的 網路監看員 Agent 虛擬機擴充功能。
  • 必要條件中列出的最後兩個IP位址和埠,在所有使用 網路監看員 代理程式且偶爾可能會變更的 網路監看員 工具中都是常見的。

如果網路安全組與網路介面或網路介面所屬的子網相關聯,請確定規則存在,以允許透過先前的埠進行輸出連線。 同樣地,在將使用者定義的路由新增至您的網路時,請確定透過先前埠的輸出連線能力。

啟動封包擷取

  1. 登入 Azure 入口網站

  2. 在入口網站頂端的搜尋方塊中,輸入 網路監看員。 從搜尋結果中選取 [網路監看員]。

    Screenshot shows how to search for Network Watcher in the Azure portal.

  3. 在 [網路診斷工具] 下,選取 [封包擷取]。 系統會列出所有現有的封包擷取,不論其狀態為何。

    Screenshot shows Network Watcher packet capture in the Azure portal.

  4. 選取 [+ 新增] 以建立封包擷取。 在 [新增封包擷取] 中,輸入或選取下列設定的值:

    設定
    基本詳細數據
    訂用帳戶 選取虛擬機器的 Azure 訂用帳戶。
    資源群組 選取虛擬機器的資源群組。
    目標類型 選取 [虛擬機器]。
    目標實例 選取虛擬機器。
    封包擷取名稱 輸入名稱或保留預設名稱。
    封包擷取設定
    擷取 選取 [儲存體帳戶]、[檔案] 或 [兩者]
    儲存體帳戶 選取您的 標準 記憶體帳戶1
    如果您選取 [儲存體 帳戶] 或 [兩者] 作為擷取位置,則可以使用此選項。
    本機檔案路徑 輸入您想要在目標虛擬機器中儲存擷取的有效本機檔案路徑。 如果您使用 Linux 計算機,路徑必須以 /var/captures 開頭。
    如果您選取 [檔案] 或 [兩者] 作為擷取位置,則可以使用此選項。
    每個封包的位元組數上限 輸入每個封包要擷取的最大位元組數。 如果保留空白或輸入 0,則會擷取所有位元組。
    每個工作階段的位元組數上限 輸入要擷取的位元組總數。 到達該值之後,封包擷取就會停止。 如果保留空白,最多會擷取 1 GB。
    時間限制(秒) 輸入封包擷取工作階段的時間限制 (以秒為單位)。 到達該值之後,封包擷取就會停止。 如果保留空白,最多會擷取 5 小時 (18,000 秒)。
    篩選 (選擇性)
    新增篩選準則 選取 [新增篩選條件 ] 以新增篩選條件。 您可以視需要定義多個篩選。
    通訊協定 根據選取的通訊協定來篩選封包擷取。 可用的值為 TCPUDPAny
    本機IP位址2 針對本機 IP 位址符合此值的封包來篩選封包擷取。
    本機埠2 針對本機連接埠符合此值的封包來篩選封包擷取。
    遠端IP位址2 針對遠端 IP 位址符合此值的封包來篩選封包擷取。
    遠端埠2 針對遠端連接埠符合此值的封包來篩選封包擷取。

    1 進階版 記憶體帳戶目前不支持儲存封包擷取。

    2 埠和 IP 位址值可以是單一值、範圍,例如 80-1024,或多個值,例如 80、443。

  5. 選取 [啟動封包擷取]

    Screenshot of Add packet capture in the Azure portal showing available options.

  6. 一旦達到封包擷取上設定的時間限制之後,封包擷取就會停止且可供檢閱。 若要在封包擷取會話達到時間限制之前手動停止封包擷取會話,請選取 封包擷取右側的 ... ,或以滑鼠右鍵單擊它,然後選取 [ 停止]。

    Screenshot that shows how to stop a packet capture in the Azure portal.

下載封包擷取

結束封包擷取會話之後,產生的擷取檔案會儲存至 Azure 記憶體、目標虛擬機上的本機檔案或兩者。 封包擷取的儲存目的地會在建立封包期間指定。 如需詳細資訊,請參閱 啟動封包擷取

若要下載儲存至 Azure 記憶體的封包擷取檔案,請遵循下列步驟:

  1. 登入 Azure 入口網站

  2. 在入口網站頂端的搜尋方塊中,輸入 網路監看員,然後從搜尋結果中選取 [網路監看員]。

  3. 在 [網路診斷工具] 下,選取 [封包擷取]

  4. 在 [ 封包擷取 ] 頁面中,選取您想要下載其檔案的封包擷取。

  5. 在 [ 詳細數據] 區段中,選取封包擷取檔案連結。

    Screenshot that shows how to select the packet capture file in the Azure portal.

  6. 在 Blob 頁面中,選取 [ 下載]。

注意

您也可以使用下列路徑的 Azure 入口網站 或 儲存體總管 1,從記憶體帳戶容器下載擷取檔案:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

1 儲存體總管 是一個獨立應用程式,可讓您輕鬆地用來存取和使用 Azure 儲存體 數據。 如需詳細資訊,請參閱開始使用 儲存體總管

若要下載儲存至虛擬機的封包擷取檔案,請連線到 VM,並從封包擷取建立期間指定的本機路徑下載檔案。

刪除封包擷取

  1. 登入 Azure 入口網站

  2. 在入口網站頂端的搜尋方塊中,輸入 網路監看員,然後從搜尋結果中選取 [網路監看員]。

  3. 在 [網路診斷工具] 下,選取 [封包擷取]

  4. 在 [封包擷取] 頁面中,選取您要刪除之封包擷取右側的 [...],或以滑鼠右鍵按鍵按下它,然後選取 [刪除]。

    Screenshot that shows how to delete a packet capture from Network Watcher in Azure portal.

  5. 選取 [是]

重要

刪除 網路監看員 中的封包擷取並不會從記憶體帳戶或虛擬機中刪除擷取檔案。 如果您不再需要擷取檔案,您必須從記憶體帳戶手動將其刪除,以避免產生記憶體成本。

相關內容