使用 Azure 门户通过 Azure 网络观察程序管理虚拟机的数据包捕获
使用网络观察程序数据包捕获工具,可以创建捕获会话以跟踪进出 Azure 虚拟机 (VM) 的流量。 为捕获会话提供了筛选器以确保仅捕获所需的流量。 数据包捕获有助于以主动和被动方式诊断网络异常。 其应用程序超出了异常情况检测的范围,包括收集网络统计信息、获取对网络入侵的见解、调试客户端服务器通信以及解决各种其他网络难题。 通过网络观察程序数据包捕获,可以远程启动数据包捕获,从而减少在特定虚拟机上手动执行的需要。
本文介绍如何使用 Azure 门户远程配置、启动、停止、下载和删除虚拟机数据包捕获。 要了解如何使用 PowerShell 或 Azure CLI 管理数据包捕获,请参阅使用 PowerShell 管理虚拟机的数据包捕获和使用 Azure CLI 管理虚拟机的数据包捕获。
先决条件
- 具有活动订阅的 Azure 帐户。 创建试用版订阅。
- 具有以下出站 TCP 连接的虚拟机:
- 到存储帐户(通过端口 443)
- 到 169.254.169.254(通过端口 80)
- 到 168.63.129.16(通过端口 8037)
注意
- 如果未为该区域启用网络观察程序,Azure 会在虚拟机区域中创建网络观察程序实例。 有关详细信息,请参阅启用或禁用 Azure 网络观察程序。
- 网络观察程序数据包捕获要求在目标虚拟机上安装网络观察程序代理 VM 扩展。 每当在 Azure 门户中使用网络观察程序数据包捕获时,都会在目标 VM 或规模集上自动安装代理(如果以前未安装)。 要更新已安装的代理,请参阅将 Azure 网络观察程序扩展更新到最新版本。 若要手动安装代理,请参阅适用于 Linux 的网络观察程序代理虚拟机扩展或适用于 Windows 的网络观察程序代理虚拟机扩展。
- 先决条件中列出的最后两个 IP 地址和端口在使用网络观察程序代理的所有网络观察程序工具中都很常见,可能偶尔会改变。
如果某个网络安全组已关联到网络接口或该网络接口所在的子网,请确保存在规则以允许基于上述端口的出站连接。 同样,在将用户定义的路由添加到网络时,请确保通过以前的端口进行出站连接。
启动数据包捕获
登录到 Azure 门户。
在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中,选择“网络观察程序”。
在“网络诊断工具”下选择“数据包捕获”。 将列出任何现有的数据包捕获,无论其状态如何。
选择“+添加”以创建数据包捕获。 在“添加数据包捕获”中,输入或选择以下设置的值:
设置 Value 基本详细信息 订阅 选择虚拟机的 Azure 订阅。 资源组 选择虚拟机的资源组。 目标类型 选择“虚拟机”。 目标实例 选择虚拟机。 数据包捕获名称 输入名称或保留默认名称。 数据包捕获配置 捕获位置 选择“存储帐户”、“文件”或“两者”。 存储帐户 选择“标准”存储帐户1。
如果选择了“存储帐户”或“两者”作为捕获位置,则此选项可用。本地文件路径 输入要在目标虚拟机中保存捕获的有效本地文件路径。 如果你使用的是 Linux 计算机,则路径必须以 /var/captures 开头。
如果选择了“文件”或“两者”作为捕获位置,则此选项可用。每个数据包的最大字节数 输入每个数据包要捕获的最大字节数。 如果留空或输入 0,则会捕获所有字节。 每个会话的最大字节数 输入捕获的字节总数。 一旦达到此值,数据包捕获便停止。 如果留空,最多捕获 1 GB。 时间限制(秒) 输入数据包捕获会话的时间限制(以秒为单位)。 一旦达到此值,数据包捕获便停止。 如果留空,则最多捕获 5 小时(18,000 秒)。 筛选(可选) 添加筛选条件 选择“添加筛选条件”以添加新筛选器。 可以根据需要定义任意数量的筛选器。 协议 根据所选协议筛选数据包捕获。 可用值为 TCP、UDP 或 Any。 本地 IP 地址2 在数据包捕获中筛选其中的本地 IP 地址与此值匹配的数据包。 本地端口2 在数据包捕获中筛选其中的本地端口与此值匹配的数据包。 远程 IP 地址2 将数据包捕获筛选为远程 IP 地址与此值匹配的数据包。 远程端口2 在数据包捕获中筛选其中的远程端口与此值匹配的数据包。 1 目前不支持使用高级存储帐户存储数据包捕获。
2 端口和 IP 地址值可以是单个值、某个范围(例如 80-1024),或多个值(例如 80、443)。
选择“启动数据包捕获”。
一旦达到数据包捕获设置的时间限制,数据包捕获将停止并且用户可以查看。 若要在数据包捕获会话达到其时间限制之前手动停止该会话,请选择数据包捕获右侧的“...”,或右键单击,然后选择“停止”。
下载数据包捕获
完成数据包捕获会话后,生成的捕获文件将保存到 Azure 存储、目标虚拟机中的本地文件或这两个位置。 数据包捕获的存储目的地在其创建期间指定。 有关详细信息,请参阅启动数据包捕获。
若要下载保存到 Azure 存储的数据包捕获文件,请执行以下步骤:
登录 Azure 门户。
在门户顶部的搜索框中,输入“网络观察程序”,然后从搜索结果中选择“网络观察程序”。
在“网络诊断工具”下选择“数据包捕获”。
在“数据包捕获”页中,选择要下载其文件的数据包捕获。
在“详细信息”部分,选择数据包捕获文件链接。
在 blob 页中,选择“下载”。
注意
还可使用 Azure 门户或存储资源管理器1 从存储帐户容器下载捕获文件,下载路径如下:
https://{storageAccountName}.blob.core.chinacloudapi.cn/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap
1 存储资源管理器是可用于访问和处理 Azure 存储数据的独立应用。 有关详细信息,请参阅存储资源管理器入门。
要下载保存到虚拟机 (VM) 的数据包捕获文件,请连接到 VM 并从数据包捕获创建期间指定的本地路径下载文件。
删除数据包捕获
登录到 Azure 门户。
在门户顶部的搜索框中,输入“网络观察程序”,然后从搜索结果中选择“网络观察程序”。
在“网络诊断工具”下选择“数据包捕获”。
在“数据包捕获”页中,选择要删除的数据包捕获右侧的“...”,或右键单击,然后选择“删除”。
选择是。
重要
删除网络观察程序中的数据包捕获不会删除存储帐户或虚拟机中的捕获文件。 如果不再需要捕获文件,则必须手动将其从存储帐户中删除,以避免产生存储成本。
相关内容
- 若要了解如何使用虚拟机警报自动执行数据包捕获,请参阅创建警报触发的数据包捕获。
- 若要了解如何使用 Wireshark 分析网络观察程序数据包捕获文件,请参阅检查和分析网络观察程序数据包捕获文件。