数据包捕获概述

使用 Azure 网络观察程序数据包捕获,可以创建数据包捕获会话以跟踪进出虚拟机 (VM) 或规模集的流量。 数据包捕获有助于以主动和被动方式诊断网络异常。 其他用途包括收集网络统计信息,获得网络入侵信息,调试客户端与服务器之间的通信,等等。

数据包捕获是通过网络观察程序远程启动的扩展。 此功可减轻在所需虚拟机或虚拟机规模集实例上手动运行数据包捕获的负担,从而可节省宝贵的时间。 可通过门户、PowerShell、Azure CLI 或 REST API 来触发数据包捕获。 数据包捕获触发方式的一个示例是通过虚拟机警报。 为捕获会话提供了筛选器以确保捕获要监视的流量。 筛选器基于 5 元组(协议、本地 IP 地址、远程 IP 地址、本地端口和远程端口)信息。 捕获的数据可以存储在本地磁盘或存储 blob 中。

重要

数据包捕获需要虚拟机扩展 AzureNetworkWatcherExtension

要控制被捕获数据的大小并仅捕获所需信息,请使用以下选项:

捕获配置

properties 说明
每个数据包的最大字节数(字节) 每个数据包中的字节数。 如果留空,则捕获所有字节。 如果只需要捕获 IPv4 标头,则输入 34。
每个会话的最大字节数(字节) 捕获的字节总数,达到此值后会话结束。
时间限制(秒) 数据包捕获会话时间限制,一旦达到该值,会话将会结束。 默认值为 18000 秒(5 小时)。

筛选(可选)

properties 说明
协议 要筛选的数据包捕获协议。 可用值为 TCP、UDP 和 All。
本地 IP 地址 此值将数据包捕获筛选为本地 IP 地址与此筛选器值匹配的数据包。
本地端口 此值将数据包捕获筛选为本地端口与此筛选器值匹配的数据包。
远程 IP 地址 此值将数据包捕获筛选为远程 IP 与此筛选器值匹配的数据包。
远程端口 此值将数据包捕获筛选为远程端口与此筛选器值匹配的数据包。

注意事项

每个区域每个订阅限制为 10,000 个并行数据包捕获会话。 此限制仅适用于会话,不适用于本地 VM 或存储帐户中已保存的数据包捕获文件。 有关限制的完整列表,请参阅网络观察程序服务限制页

后续步骤