数据包捕获概述

使用 Azure 网络观察程序数据包捕获,可以创建数据包捕获会话以跟踪进出虚拟机 (VM) 或规模集的流量。 数据包捕获有助于以主动和被动方式诊断网络异常。 其他用途包括收集网络统计信息,获得网络入侵信息,调试客户端与服务器之间的通信等。

数据包捕获是通过网络观察程序远程启动的扩展。 此功可节省时间并减轻在所需虚拟机或虚拟机规模集实例上手动运行数据包捕获的负担。

可以通过门户、PowerShell、Azure CLI 或 REST API 触发数据包捕获。 还可以使用虚拟机警报触发数据包捕获。 可以选择将捕获的数据保存在本地磁盘或 Azure 存储 Blob 中。

重要

数据包捕获需要网络观察程序代理 VM 扩展AzureNetworkWatcherExtension。 有关详细信息,请参阅:

捕获配置

要控制捕获数据的大小,请使用以下选项:

properties 说明
每个数据包的最大字节数(字节) 每个数据包中的字节数。 如果留空,则捕获所有字节。 如果只需要捕获 IPv4 标头,则输入 34。
每个会话的最大字节数(字节) 捕获的字节总数,达到此值后会话结束。
时间限制(秒) 数据包捕获会话时间限制,一旦达到该值,会话将会结束。 默认值为 18000 秒(5 小时)。

筛选(可选)

使用筛选器仅捕获要监视的流量。 筛选器基于 5 元组(协议、本地 IP 地址、远程 IP 地址、本地端口和远程端口)信息:

properties 说明
协议 要筛选的数据包捕获协议。 可用值为 TCP、UDP 和 All。
本地 IP 地址 此值将数据包捕获筛选为本地 IP 地址与此筛选器值匹配的数据包。
本地端口 此值将数据包捕获筛选为本地端口与此筛选器值匹配的数据包。
远程 IP 地址 此值将数据包捕获筛选为远程 IP 与此筛选器值匹配的数据包。
远程端口 此值将数据包捕获筛选为远程端口与此筛选器值匹配的数据包。

注意事项

每个区域每个订阅限制为 10,000 个并行数据包捕获会话。 此限制仅适用于会话,不适用于本地 VM 或存储帐户中已保存的数据包捕获文件。 有关限制的完整列表,请参阅网络观察程序服务限制页