Správa zachytávání paketů pomocí služby Azure Network Watcher
Článek
V tomto článku se dozvíte, jak pomocí funkce zachytávání paketů služby Azure Network Watcher vzdáleně konfigurovat, spouštět, zastavovat, stahovat a odstraňovat zachytávání paketů virtuálních počítačů.
Škálovací sada virtuálních počítačů nebo virtuálních počítačů s odchozím připojením TCP k: 169.254.169.254 přes port a 168.63.129.16 přes port 808037. Rozšíření agenta Network Watcher používá tyto IP adresy ke komunikaci s platformou Azure.
Rozšíření virtuálního počítače agenta Network Watcher nainstalované na cílovém virtuálním počítači Pokaždé, když na webu Azure Portal použijete zachytávání paketů služby Network Watcher, agent se automaticky nainstaluje na cílový virtuální počítač nebo škálovací sadu, pokud nebyl dříve nainstalovaný. Pokud chcete aktualizovat už nainstalovaného agenta, přečtěte si téma Aktualizace rozšíření Azure Network Watcher na nejnovější verzi.
Virtuální počítač s odchozím připojením TCP k: 169.254.169.254 přes port a 168.63.129.16 přes port 808037. Rozšíření agenta Network Watcher používá tyto IP adresy ke komunikaci s platformou Azure.
Kroky v tomto článku spouští rutiny Azure PowerShellu interaktivně ve službě Azure Cloud Shell. Pokud chcete příkazy spustit v Cloud Shellu, vyberte Otevřít Cloud Shell v pravém horním rohu bloku kódu. Výběrem možnosti Kopírovat zkopírujte kód a vložte ho do Cloud Shellu a spusťte ho. Cloud Shell můžete spustit také z webu Azure Portal.
Ke spuštění rutin můžete také nainstalovat Azure PowerShell místně. Tento článek vyžaduje modul Az PowerShell. Další informace najdete v tématu Postup instalace Azure PowerShellu. Pokud powershell spouštíte místně, přihlaste se k Azure pomocí rutiny Connect-AzAccount .
Virtuální počítač s odchozím připojením TCP k: 169.254.169.254 přes port a 168.63.129.16 přes port 808037. Rozšíření agenta Network Watcher používá tyto IP adresy ke komunikaci s platformou Azure.
Kroky v tomto článku spouští příkazy Azure CLI interaktivně v Azure Cloud Shellu. Pokud chcete příkazy spustit v Cloud Shellu, vyberte Otevřít Cloud Shell v pravém horním rohu bloku kódu. Výběrem možnosti Kopírovat zkopírujte kód a vložte ho do Cloud Shellu a spusťte ho. Cloud Shell můžete spustit také z webu Azure Portal.
Azure vytvoří instanci služby Network Watcher v oblasti virtuálního počítače, pokud pro danou oblast není povolená služba Network Watcher. Další informace najdete v tématu Povolení nebo zakázání služby Azure Network Watcher.
Pokud je skupina zabezpečení sítě přidružená k síťovému rozhraní nebo podsíti, ve které je síťové rozhraní, ujistěte se, že existují pravidla umožňující odchozí připojení přes předchozí porty. Podobně při přidávání tras definovaných uživatelem do sítě zajistěte odchozí připojení přes předchozí porty.
Relaci zachycení spustíte pomocí následujících kroků:
Do vyhledávacího pole v horní části portálu zadejte Network Watcher. Ve výsledcích hledání vyberte Network Watcher .
V části Diagnostické nástroje sítě vyberte zachytávání paketů a pak vyberte + Přidat a vytvořte zachytávání paketů.
V části Přidat zachytávání paketů zadejte nebo vyberte hodnoty pro následující nastavení:
Nastavení
Hodnota
Základní podrobnosti
Předplatné
Vyberte předplatné Azure virtuálního počítače.
Skupina prostředků
Vyberte skupinu prostředků virtuálního počítače.
Typ cíle
Vyberte virtuální počítač nebo škálovací sadu virtuálních počítačů.
Cílová škálovací sada virtuálních počítačů
Vyberte škálovací sadu virtuálních počítačů. Tato možnost je dostupná, pokud jako cílový typ vyberete škálovací sadu virtuálních počítačů.
Cílová instance
Vyberte virtuální počítač nebo instanci škálovací sady.
Název zachytávání paketů
Zadejte název nebo ponechte výchozí název.
Konfigurace zachytávání paketů
Umístění zachytávání
Vyberte Účet úložiště (výchozí možnost), Soubor nebo Obojí.
Účet úložiště
Vyberte účet úložiště Úrovně Standard 1. Tato možnost je dostupná, pokud jako umístění pro zachytávání vyberete účet úložiště nebo obojí . Účet úložiště musí být ve stejné oblasti jako cílová instance.
Cesta k místnímu souboru
Zadejte platnou místní cestu k souboru, kam chcete uložit zachytávání do cílového virtuálního počítače. Pokud používáte počítač s Linuxem, cesta může začínat /var/capturesna . Pokud používáte počítač s Windows, cesta může začínat C:\Capturesna . Tato možnost je dostupná, pokud jako umístění pro zachycení vyberete Soubor nebo Obojí .
Maximální počet bajtů na paket
Zadejte maximální počet bajtů, které se mají zachytávat pro každý paket. Všechny bajty se zachytí, pokud je zadáno prázdné nebo 0.
Maximální počet bajtů na relaci
Zadejte celkový počet zachycených bajtů. Po dosažení hodnoty se zachytávání paketů zastaví. Až 1 GB se zachytí, pokud zůstane prázdné.
Časový limit (sekundy)
Zadejte časový limit relace zachytávání paketů v sekundách. Po dosažení hodnoty se zachytávání paketů zastaví. Až 5 hodin (18 000 sekund) se zachytí, pokud zůstane prázdné.
Filtrování (volitelné)
Přidání kritérií filtru
Vyberte Přidat kritéria filtru a přidejte nový filtr. Můžete definovat tolik filtrů, kolik potřebujete.
Protokol
Filtruje zachytávání paketů na základě vybraného protokolu. Dostupné hodnoty jsou TCP, UDP nebo Any.
Místní IP adresa2
Filtruje zachytávání paketů pro pakety, kde místní IP adresa odpovídá této hodnotě.
Místní port2
Filtruje zachytávání paketů pro pakety, ve kterých místní port odpovídá této hodnotě.
Vzdálená IP adresa2
Filtruje zachytávání paketů pro pakety, ve kterých vzdálená IP adresa odpovídá této hodnotě.
Vzdálený port2
Filtruje zachytávání paketů pro pakety, ve kterých vzdálený port odpovídá této hodnotě.
Pro ukládání zachytávání paketů se v současné době nepodporuje 1 účty Premium Storage.
2 Hodnoty portů a IP adres můžou být jedna hodnota, rozsah, například 80–1024, nebo více hodnot, jako je 80, 443.
Vyberte Spustit zachytávání paketů.
Zachytávání paketů se zastaví po dosažení časového limitu nebo velikosti souboru (maximální počet bajtů na relaci).
Přidejte filtry, abyste zachytili jenom požadovaný provoz. Můžete například zaznamenat pouze provoz TCP z konkrétní IP adresy na konkrétní port.
-TimeLimitInSeconds
Nastavte maximální dobu trvání relace zachycení. Výchozí hodnota je 18000 sekund (5 hodin).
-BytesToCapturePerPacket
Nastavte maximální počet bajtů, které se mají zachytávat pro každý paket. Všechny bajty jsou zachyceny, pokud nejsou použity nebo 0 zadané.
-TotalBytesPerSession
Nastavte celkový počet zachycených bajtů. Po dosažení hodnoty se zachytávání paketů zastaví. Pokud se nepoužívá, zachytí se až 1 GB (1 073 741 824 bajtů).
-LocalFilePath
Zadejte platnou místní cestu k souboru, pokud chcete, aby se zachytávání uložilo do cílového virtuálního počítače (například C:\Capture\myVM_1.cap). Pokud používáte počítač s Linuxem, musí cesta začínat řetězcem /var/captures.
Zachytávání paketů se zastaví po dosažení časového limitu nebo velikosti souboru (maximální počet bajtů na relaci).
# Start the Network Watcher capture session.
az network watcher packet-capture create --name 'myVM_1' --resource-group 'myResourceGroup' --vm 'myVM' --storage-account 'mystorageaccount'
# Start the Network Watcher capture session (storage account is in different resource group from the VM).
az network watcher packet-capture create --name 'myVM_1' --resource-group 'myResourceGroup' --vm 'myVM' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup2/providers/Microsoft.Storage/storageAccounts/mystorageaccount'
Po spuštění relace zachycení se zobrazí následující výstup:
Přidejte filtry, abyste zachytili jenom požadovaný provoz. Můžete například zaznamenat pouze provoz TCP z konkrétní IP adresy na konkrétní port.
--time-limit
Nastavte maximální dobu trvání relace zachycení. Výchozí hodnota je 18000 sekund (5 hodin).
--capture-size
Nastavte maximální počet bajtů, které se mají zachytávat pro každý paket. Všechny bajty jsou zachyceny, pokud nejsou použity nebo 0 zadané.
--capture-limit
Nastavte celkový počet zachycených bajtů. Po dosažení hodnoty se zachytávání paketů zastaví. Pokud se nepoužívá, zachytí se až 1 GB (1 073 741 824 bajtů).
--file-path
Zadejte platnou místní cestu k souboru, pokud chcete, aby se zachytávání uložilo do cílového virtuálního počítače (například C:\Capture\myVM_1.cap). Pokud používáte počítač s Linuxem, musí cesta začínat řetězcem /var/captures.
Zachytávání paketů se zastaví po dosažení časového limitu nebo velikosti souboru (maximální počet bajtů na relaci).
Pokud chcete relaci zachytávání paketů ručně zastavit před dosažením limitů doby nebo velikosti souboru, vyberte tři tečky ... na pravé straně zachytávání paketů nebo na ni klikněte pravým tlačítkem myši a pak vyberte Zastavit.
Pokud chcete ručně zastavit relaci zachytávání paketů před dosažením limitů velikosti souboru nebo času, použijte rutinu Stop-AzNetworkWatcherPacketCapture .
# Get information, properties, and status of a packet capture.
Get-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'
Následující výstup je příkladem výstupu rutiny Get-AzNetworkWatcherPacketCapture . Následující příklad je po dokončení zachycení. Hodnota PacketCaptureStatus je Zastaveno, se StopReason of TimeExceeded. Tato hodnota ukazuje, že zachytávání paketů proběhlo úspěšně a spustilo jeho čas.
# Get information, properties, and status of a packet capture.
az network watcher packet-capture show-status --location 'eastus' --name 'myVM_1'
Následující příklad je výstupem az network watcher packet-capture show-status příkazu. Vidíte, že hodnota packetCaptureStatus je Zastaveno s hodnotou StopReason hodnoty TimeExceededed:
Po uzavření relace zachytávání paketů se výsledný soubor zachytávání uloží do úložiště Azure, do místního souboru na cílovém virtuálním počítači nebo do obou. Cíl úložiště pro zachytávání paketů se zadává během jeho vytváření. Další informace najdete v části Zahájení zachytávání paketů.
Pokud chcete stáhnout soubor zachytávání paketů uložený do úložiště Azure, postupujte takto:
Na stránce Zachytávání paketů vyberte zachytávání paketů, které chcete stáhnout.
V části Podrobnosti vyberte odkaz na soubor zachytávání paketů.
Na stránce objektu blob vyberte Stáhnout.
Poznámka:
Soubory zachytávání můžete také stáhnout z kontejneru účtu úložiště pomocí webu Azure Portal nebo Průzkumník služby Storage 1 na následující cestě:
1 Průzkumník služby Storage je samostatná aplikace, kterou můžete pohodlně používat pro přístup k datům Azure Storage a práci s tím. Další informace najdete v tématu Začínáme s Průzkumník služby Storage.
Pokud chcete stáhnout soubor zachytávání paketů uložený na virtuálním počítači, připojte se k virtuálnímu počítači a stáhněte soubor z místní cesty zadané během vytváření zachytávání paketů.
Po uzavření relace zachytávání paketů se výsledný soubor zachytávání uloží do úložiště Azure, do místního souboru na cílovém virtuálním počítači nebo do obou. Cíl úložiště pro zachytávání paketů se zadává během jeho vytváření. Další informace najdete v části Zahájení zachytávání paketů.
Pokud je zadaný účet úložiště, uloží se do účtu úložiště zachytávání souborů na následující cestě:
# Download the packet capture file from Azure storage container.
Get-AzStorageBlobContent -Container 'network-watcher-logs' -Blob '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' -Destination 'C:\Capture\myVM_1.cap'
Poznámka:
Soubor zachytávání můžete také stáhnout z kontejneru účtu úložiště pomocí Průzkumník služby Azure Storage. Průzkumník služby Storage je samostatná aplikace, kterou můžete pohodlně používat pro přístup k datům Azure Storage a práci s daty. Další informace najdete v tématu Začínáme s Průzkumník služby Storage.
Po uzavření relace zachytávání paketů se výsledný soubor zachytávání uloží do úložiště Azure, do místního souboru na cílovém virtuálním počítači nebo do obou. Cíl úložiště pro zachytávání paketů se zadává během jeho vytváření. Další informace najdete v části Zahájení zachytávání paketů.
Pokud je zadaný účet úložiště, uloží se do účtu úložiště zachytávání souborů na následující cestě:
# Download the packet capture file from Azure storage container.
az storage blob download --container-name 'network-watcher-logs' --blob-url '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' --file 'C:\Capture\myVM_1.cap'
Poznámka:
Soubor zachytávání můžete také stáhnout z kontejneru účtu úložiště pomocí Průzkumník služby Azure Storage. Průzkumník služby Storage je samostatná aplikace, kterou můžete pohodlně používat pro přístup k datům Azure Storage a práci s daty. Další informace najdete v tématu Začínáme s Průzkumník služby Storage.
Na stránce Zachytávání paketů vybertena pravé straně zachytávání paketů, který chcete odstranit, nebo na něj klikněte pravým tlačítkem myši a pak vyberte Odstranit.
# Delete a packet capture resource.
az network watcher packet-capture delete --location 'eastus' --name 'myVM_1'
Důležité
Odstranění prostředku zachytávání paketů ve službě Network Watcher neodstraní zachytávací soubor z účtu úložiště nebo virtuálního počítače. Pokud už soubor pro zachytávání nepotřebujete, musíte ho ručně odstranit z účtu úložiště nebo virtuálního počítače.
Informace o analýze souboru zachytávání paketů služby Network Watcher pomocí Wiresharku najdete v tématu Kontrola a analýza souborů zachytávání paketů služby Network Watcher.
