使用 Azure 门户通过 Azure 网络观察程序管理虚拟机的数据包捕获

使用网络观察程序数据包捕获工具,可以创建捕获会话以跟踪进出 Azure 虚拟机 (VM) 的流量。 为捕获会话提供了筛选器以确保仅捕获所需的流量。 数据包捕获有助于以主动和被动方式诊断网络异常。 其应用程序超出了异常情况检测的范围,包括收集网络统计信息、获取对网络入侵的见解、调试客户端服务器通信以及解决各种其他网络难题。 通过网络观察程序数据包捕获,可以远程启动数据包捕获,从而减少在特定虚拟机上手动执行的需要。

本文介绍如何使用 Azure 门户远程配置、启动、停止、下载和删除虚拟机数据包捕获。 要了解如何使用 PowerShell 或 Azure CLI 管理数据包捕获,请参阅使用 PowerShell 管理虚拟机的数据包捕获使用 Azure CLI 管理虚拟机的数据包捕获

先决条件

  • 具有活动订阅的 Azure 帐户。 创建试用版订阅
  • 具有以下出站 TCP 连接的虚拟机:
    • 到存储帐户(通过端口 443)
    • 到 169.254.169.254(通过端口 80)
    • 到 168.63.129.16(通过端口 8037)

注意

如果某个网络安全组已关联到网络接口或该网络接口所在的子网,请确保存在规则以允许基于上述端口的出站连接。 同样,在将用户定义的路由添加到网络时,请确保通过以前的端口进行出站连接。

启动数据包捕获

  1. 登录到 Azure 门户

  2. 在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中,选择“网络观察程序”。

    屏幕截图显示如何在 Azure 门户中搜索网络观察程序。

  3. 在“网络诊断工具”下选择“数据包捕获”。 将列出任何现有的数据包捕获,无论其状态如何。

    屏幕截图显示 Azure 门户中的网络观察程序数据包捕获。

  4. 选择“+添加”以创建数据包捕获。 在“添加数据包捕获”中,输入或选择以下设置的值:

    设置 Value
    基本详细信息
    订阅 选择虚拟机的 Azure 订阅。
    资源组 选择虚拟机的资源组。
    目标类型 选择“虚拟机”。
    目标实例 选择虚拟机。
    数据包捕获名称 输入名称或保留默认名称。
    数据包捕获配置
    捕获位置 选择“存储帐户”、“文件”或“两者”。
    存储帐户 选择“标准”存储帐户1
    如果选择了“存储帐户”或“两者”作为捕获位置,则此选项可用
    本地文件路径 输入要在目标虚拟机中保存捕获的有效本地文件路径。 如果你使用的是 Linux 计算机,则路径必须以 /var/captures 开头。
    如果选择了“文件”或“两者”作为捕获位置,则此选项可用
    每个数据包的最大字节数 输入每个数据包要捕获的最大字节数。 如果留空或输入 0,则会捕获所有字节。
    每个会话的最大字节数 输入捕获的字节总数。 一旦达到此值,数据包捕获便停止。 如果留空,最多捕获 1 GB。
    时间限制(秒) 输入数据包捕获会话的时间限制(以秒为单位)。 一旦达到此值,数据包捕获便停止。 如果留空,则最多捕获 5 小时(18,000 秒)。
    筛选(可选)
    添加筛选条件 选择“添加筛选条件”以添加新筛选器。 可以根据需要定义任意数量的筛选器。
    协议 根据所选协议筛选数据包捕获。 可用值为 TCP、UDP 或 Any。
    本地 IP 地址2 在数据包捕获中筛选其中的本地 IP 地址与此值匹配的数据包。
    本地端口2 在数据包捕获中筛选其中的本地端口与此值匹配的数据包。
    远程 IP 地址2 将数据包捕获筛选为远程 IP 地址与此值匹配的数据包。
    远程端口2 在数据包捕获中筛选其中的远程端口与此值匹配的数据包。

    1 目前不支持使用高级存储帐户存储数据包捕获。

    2 端口和 IP 地址值可以是单个值、某个范围(例如 80-1024),或多个值(例如 80、443)。

  5. 选择“启动数据包捕获”。

    Azure 门户中的“添加数据包捕获”的屏幕截图,其中显示了可用选项。

  6. 一旦达到数据包捕获设置的时间限制,数据包捕获将停止并且用户可以查看。 若要在数据包捕获会话达到其时间限制之前手动停止该会话,请选择数据包捕获右侧的“...”,或右键单击,然后选择“停止”

    显示如何在 Azure 门户中停止数据包捕获的屏幕截图。

下载数据包捕获

完成数据包捕获会话后,生成的捕获文件将保存到 Azure 存储、目标虚拟机中的本地文件或这两个位置。 数据包捕获的存储目的地在其创建期间指定。 有关详细信息,请参阅启动数据包捕获

若要下载保存到 Azure 存储的数据包捕获文件,请执行以下步骤:

  1. 登录 Azure 门户

  2. 在门户顶部的搜索框中,输入“网络观察程序”,然后从搜索结果中选择“网络观察程序”。

  3. 在“网络诊断工具”下选择“数据包捕获”。

  4. 在“数据包捕获”页中,选择要下载其文件的数据包捕获

  5. 在“详细信息”部分,选择数据包捕获文件链接

    显示如何在 Azure 门户中选择数据包捕获文件的屏幕截图。

  6. 在 blob 页中,选择“下载”

注意

还可使用 Azure 门户或存储资源管理器1 从存储帐户容器下载捕获文件,下载路径如下:

https://{storageAccountName}.blob.core.chinacloudapi.cn/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

1 存储资源管理器是可用于访问和处理 Azure 存储数据的独立应用。 有关详细信息,请参阅存储资源管理器入门

要下载保存到虚拟机 (VM) 的数据包捕获文件,请连接到 VM 并从数据包捕获创建期间指定的本地路径下载文件。

删除数据包捕获

  1. 登录到 Azure 门户

  2. 在门户顶部的搜索框中,输入“网络观察程序”,然后从搜索结果中选择“网络观察程序”。

  3. 在“网络诊断工具”下选择“数据包捕获”。

  4. 在“数据包捕获”页中,选择要删除的数据包捕获右侧的“...”,或右键单击,然后选择“删除”。

    显示如何在 Azure 门户中删除网络观察程序数据包捕获的屏幕截图。

  5. 选择

重要

删除网络观察程序中的数据包捕获不会删除存储帐户或虚拟机中的捕获文件。 如果不再需要捕获文件,则必须手动将其从存储帐户中删除,以避免产生存储成本。