Verwalten von Paketerfassungen mit Azure Network Watcher

In diesem Artikel erfahren Sie, wie Sie mithilfe des Azure Network Watcher-Features Paketerfassung VM-Paketerfassungen remote konfigurieren, starten, beenden, herunterladen und löschen.

Voraussetzungen

Portal

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

• Eine VM oder VM-Skalierungsgruppe mit ausgehender TCP-Konnektivität mit 169.254.169.254 über Port 80 und mit 168.63.129.16 über Port 8037. Die VM-Erweiterung des Network Watcher-Agents verwendet diese IP-Adressen für die Kommunikation mit der Azure-Plattform.

• VM-Erweiterung des Network Watcher-Agents, die auf der Ziel-VM installiert ist. Wann immer Sie die Network Watcher-Paketerfassung im Azure-Portal verwenden, wird der Agent automatisch für die Ziel-VM oder -Skalierungsgruppe installiert, falls er zuvor noch nicht installiert wurde. Informationen zum Aktualisieren eines bereits installierten Agents finden Sie unter Aktualisieren der Azure Network Watcher-Erweiterung auf die neueste Version.

• Ein Azure-Speicherkonto mit ausgehender VM-TCP-Konnektivität über Port 443. Falls Sie kein Speicherkonto besitzen, lesen Sie die Informationen unter Erstellen eines Speicherkontos mithilfe des Azure-Portals. Auf das Speicherkonto muss Zugriff über das Subnetz der Ziel-VM oder Zielskalierungsgruppe bestehen. Weitere Informationen finden Sie unter Konfigurieren von Firewalls und virtuellen Netzwerken in Azure Storage.

• Melden Sie sich mit Ihrem Azure-Konto beim Azure-Portal an.

PowerShell

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

• Eine VM mit ausgehender TCP-Konnektivität mit 169.254.169.254 über Port 80 und mit 168.63.129.16 über Port 8037. Die VM-Erweiterung des Network Watcher-Agents verwendet diese IP-Adressen für die Kommunikation mit der Azure-Plattform.

• VM-Erweiterung des Network Watcher-Agents, die auf der Ziel-VM installiert ist. Weitere Informationen finden Sie unter Verwalten der VM-Erweiterung des Network Watcher-Agents für Windows oder Verwalten der VM-Erweiterung des Network Watcher-Agents für Linux.

• Ein Azure-Speicherkonto mit ausgehender VM-TCP-Konnektivität über Port 443. Falls Sie kein Speicherkonto besitzen, lesen Sie die Informationen unter Erstellen eines Speicherkontos mithilfe von PowerShell. Auf das Speicherkonto muss Zugriff über das Subnetz der Ziel-VM oder Zielskalierungsgruppe bestehen. Weitere Informationen finden Sie unter Konfigurieren von Firewalls und virtuellen Netzwerken in Azure Storage.

• Azure Cloud Shell oder Azure PowerShell.

  Die Schritte in diesem Artikel führen die Azure PowerShell Cmdlets interaktiv in Azure Cloud Shell aus. Um die Befehle in Cloud Shell auszuführen, wählen Sie in der oberen rechten Ecke eines Codeblocks Cloud Shell öffnen aus. Wählen Sie Kopieren aus, um den Code zu kopieren und fügen Sie ihn in Cloud Shell ein, um ihn auszuführen. Sie können Azure Cloud Shell innerhalb des Azure-Portals starten.

  Sie können Azure PowerShell auch lokal installieren, um die Cmdlets auszuführen. Für diesen Artikel ist das Az PowerShell-Modul erforderlich. Weitere Informationen finden Sie unter Installieren von Azure PowerShell. Melden Sie sich bei Azure mit dem Cmdlet Connect-AzAccount an, wenn Sie PowerShell lokal ausführen.

Azure CLI

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

• Eine VM mit ausgehender TCP-Konnektivität mit 169.254.169.254 über Port 80 und mit 168.63.129.16 über Port 8037. Die VM-Erweiterung des Network Watcher-Agents verwendet diese IP-Adressen für die Kommunikation mit der Azure-Plattform.

• VM-Erweiterung des Network Watcher-Agents, die auf der Ziel-VM installiert ist. Weitere Informationen finden Sie unter Verwalten der VM-Erweiterung des Network Watcher-Agents für Windows oder Verwalten der VM-Erweiterung des Network Watcher-Agents für Linux.

• Ein Azure-Speicherkonto mit ausgehender VM-TCP-Konnektivität über Port 443. Falls Sie kein Speicherkonto besitzen, lesen Sie die Informationen unter Erstellen eines Speicherkontos mithilfe der Azure CLI. Auf das Speicherkonto muss Zugriff über das Subnetz der Ziel-VM oder Zielskalierungsgruppe bestehen. Weitere Informationen finden Sie unter Konfigurieren von Firewalls und virtuellen Netzwerken in Azure Storage.

• Azure Cloud Shell oder Azure CLI.

  In den Schritten diesem Artikel werden die Azure CLI-Befehle interaktiv in Azure Cloud Shell ausgeführt. Um die Befehle in Cloud Shell auszuführen, wählen Sie in der oberen rechten Ecke eines Codeblocks Cloud Shell öffnen aus. Wählen Sie Kopieren aus, um den Code zu kopieren, und fügen Sie ihn in Cloud Shell ein, um ihn auszuführen. Sie können Azure Cloud Shell innerhalb des Azure-Portals starten.

  Sie können die Azure CLI auch lokal installieren, um die Befehle auszuführen. Wenn Sie die Azure CLI lokal ausführen, melden Sie sich mit dem Befehl az login bei Azure an.

Hinweis

Azure erstellt eine Network Watcher-Instanz in der Region des virtuellen Computers, wenn Network Watcher für diese Region nicht aktiviert wurde. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren von Azure Network Watcher.

Wenn eine Netzwerksicherheitsgruppe der Netzwerkschnittstelle oder einem Subnetz, in dem sich die Netzwerkschnittstelle befindet, zugeordnet ist, stellen Sie sicher, dass Regeln definiert sind, um ausgehende Verbindungen über die oben genannten Ports zuzulassen. Stellen Sie ebenso die ausgehende Konnektivität über die vorherigen Ports sicher, wenn Sie Ihrem Netzwerk benutzerdefinierte Routen hinzufügen.

Starten einer Paketerfassung

Portal

Führen Sie die folgenden Schritte aus, um eine Erfassungssitzung zu starten:

1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie Network Watcher aus den Suchergebnissen aus.

   

2. Wählen Sie unter Netzwerkdiagnosetools die Option Paketerfassung und dann + Hinzufügen aus, um eine Paketerfassung zu erstellen.

   

3. Geben Sie unter Paketerfassung hinzufügen Werte für die folgenden Einstellungen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Grundlegende Informationen
   Subscription	Wählen Sie das Azure-Abonnement des virtuellen Computers aus.
   Resource group	Wählen Sie die Ressourcengruppe des virtuellen Computers aus.
   Zieltyp	Wählen Sie VM oder VM-Skalierungsgruppe aus.
   Ziel-VM-Skalierungsgruppe	Wählen Sie die VM-Skalierungsgruppe aus. Diese Option ist verfügbar, wenn Sie VM-Skalierungsgruppe als Zieltyp auswählen.
   Zielinstanz	Wählen Sie die VM- oder Skalierungsgruppeninstanz aus.
   Paketerfassungsname	Geben Sie einen Namen ein, oder übernehmen Sie den Standardnamen.
   Konfiguration der Paketerfassung
   Erfassungsort	Wählen Sie Speicherkonto (Standardoption), Datei oder Beides aus.
   Speicherkonto	Wählen Sie Ihr Standard-Speicherkonto1 aus. Diese Option ist verfügbar, wenn Sie Speicherkonto oder Beides als Erfassungsspeicherort auswählen. Das Speicherkonto muss sich in derselben Region wie die Zielinstanz befinden.
   Lokaler Dateipfad	Geben Sie einen gültigen lokalen Dateipfad ein, in dem die Erfassung auf dem virtuellen Zielcomputer gespeichert werden soll. Bei einem Linux-Computer kann der Pfad mit /var/captures beginnen. Bei einem Windows-Computer kann der Pfad mit C:\Captures beginnen. Diese Option ist verfügbar, wenn Sie Datei oder Beides als Erfassungsspeicherort auswählen.
   Maximale Anzahl von Bytes pro Paket	Geben Sie die maximale Anzahl von Bytes ein, die pro Paket erfasst werden sollen. Wenn Sie keinen Wert oder 0 eingeben, werden alle Bytes erfasst.
   Maximale Anzahl von Bytes pro Sitzung	Geben Sie die Gesamtzahl der erfassten Bytes ein. Wenn dieser Wert erreicht wird, wird die Paketerfassung beendet. Wenn Sie keinen Wert eingeben, wird bis zu 1 GB erfasst.
   Zeitlimit (Sekunden)	Geben Sie das Zeitlimit der Paketerfassungssitzung in Sekunden ein. Wenn dieser Wert erreicht wird, wird die Paketerfassung beendet. Wenn Sie keinen Wert eingeben, werden bis zu 5 Stunden (18.000 Sekunden) erfasst.
   Filterung (optional)
   Filterkriterien hinzufügen	Wählen Sie Filterkriterien hinzufügen aus, um einen neuen Filter hinzuzufügen. Sie können beliebig viele Filter definieren.
   Protokoll	Filtert die Paketerfassung basierend auf dem ausgewählten Protokoll. Die verfügbaren Werte sind TCP, UDP und Alle.
   Lokale IP-Adresse2	Filtert die Paketerfassung für Pakete, deren lokale IP-Adresse mit diesem Wert übereinstimmt.
   Lokaler Port2	Filtert die Paketerfassung nach Paketen, deren lokaler Port mit diesem Wert übereinstimmt.
   Remote-IP-Adresse2	Filtert die Paketerfassung nach Paketen, deren Remote-IP-Adresse mit diesem Wert übereinstimmt.
   Remoteport2	Filtert die Paketerfassung nach Paketen, deren Remoteport mit diesem Wert übereinstimmt.

   ¹ Für Storage Premium-Konten wird das Speichern von Paketerfassungen derzeit nicht unterstützt.

   ² Port- und IP-Adresswerte können ein einzelner Wert, ein Bereich wie 80-1024 oder mehrere Werte wie 80, 443 sein.

4. Wählen Sie Paketerfassung starten aus.

   

5. Die Paketerfassung wird beendet, sobald das Zeitlimit oder die Dateigröße (maximale Byte pro Sitzung) erreicht ist.

PowerShell

Verwenden Sie das Cmdlet New-AzNetworkWatcherPacketCapture, um eine Erfassungssitzung zu starten:

# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -ResourceGroupName 'myResourceGroup' -Name 'myVM'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -ResourceGroupName 'myResourceGroup' -Name 'mystorageaccount'

# Start the Network Watcher capture session.
New-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1' -TargetVirtualMachineId $vm.Id  -StorageAccountId $storageAccount.Id 

Nachdem die Erfassungssitzung gestartet wurde, wird die folgende Ausgabe angezeigt:

ProvisioningState Name   BytesToCapturePerPacket TotalBytesPerSession TimeLimitInSeconds
----------------- ----   ----------------------- -------------------- ------------------
Succeeded         myVM_1 0                       1073741824           18000

In der folgenden Tabelle sind die optionalen Parameter beschrieben, die mit dem Cmdlet New-AzNetworkWatcherPacketCapture verwendet werden können:

Parameter	Beschreibung
-Filter	Fügen Sie Filter hinzu, um nur den gewünschten Datenverkehr zu erfassen. Beispielsweise können Sie nur TCP-Datenverkehr von einer bestimmten IP-Adresse an einen bestimmten Port erfassen.
-TimeLimitInSeconds	Legen Sie die maximale Dauer der Erfassungssitzung fest. Der Standardwert ist 18 000 Sekunden (5 Stunden).
-BytesToCapturePerPacket	Legen Sie die maximale Anzahl von Bytes fest, die pro Paket erfasst werden sollen. Wenn kein Wert oder 0 eingegeben wird, werden alle Bytes erfasst.
-TotalBytesPerSession	Legen Sie die Gesamtzahl der erfassten Bytes fest. Wenn dieser Wert erreicht wird, wird die Paketerfassung beendet. Wenn kein Wert angegeben ist, werden bis zu 1 GB (1.073.741.824 Bytes) erfasst.
-LocalFilePath	Geben Sie einen gültigen lokalen Dateipfad ein, wenn die Erfassung auf dem virtuellen Zielcomputer gespeichert werden soll (z. B. C:\Capture\myVM_1.cap). Bei einem Linux-Computer muss der Pfad mit /var/captures beginnen.

Die Paketerfassung wird beendet, sobald das Zeitlimit oder die Dateigröße (maximale Byte pro Sitzung) erreicht ist.

Azure-Befehlszeilenschnittstelle

Um eine Erfassungssitzung zu starten, verwenden Sie den Befehl az network watcher packet-capture create:

# Start the Network Watcher capture session.
az network watcher packet-capture create --name 'myVM_1' --resource-group 'myResourceGroup' --vm 'myVM' --storage-account 'mystorageaccount'

# Start the Network Watcher capture session (storage account is in different resource group from the VM).
az network watcher packet-capture create --name 'myVM_1' --resource-group 'myResourceGroup' --vm 'myVM' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup2/providers/Microsoft.Storage/storageAccounts/mystorageaccount'

Nachdem die Erfassungssitzung gestartet wurde, wird die folgende Ausgabe angezeigt:

{
  "bytesToCapturePerPacket": 0,
  "etag": "W/\"aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb\"",
  "filters": [],
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_eastus/packetCaptures/myVM_1",
  "name": "myVM_1",
  "provisioningState": "Succeeded",
  "resourceGroup": "NetworkWatcherRG",
  "scope": {
    "exclude": [],
    "include": []
  },
  "storageLocation": {
    "storageId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount",
    "storagePath": "https://mystorageaccount.blob.core.windows.net/network-watcher-logs/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2025/01/31/packetcapture_16_39_41_077.cap"
  },
  "target": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM",
  "targetType": "AzureVM",
  "timeLimitInSeconds": 18000,
  "totalBytesPerSession": 1073741824
}

In der folgenden Tabelle sind die optionalen Parameter beschrieben, die Sie mit dem Befehl az network watcher packet-capture create verwenden können:

Parameter	Beschreibung
--filters	Fügen Sie Filter hinzu, um nur den gewünschten Datenverkehr zu erfassen. Beispielsweise können Sie nur TCP-Datenverkehr von einer bestimmten IP-Adresse an einen bestimmten Port erfassen.
--time-limit	Legen Sie die maximale Dauer der Erfassungssitzung fest. Der Standardwert ist 18 000 Sekunden (5 Stunden).
--capture-size	Legen Sie die maximale Anzahl von Bytes fest, die pro Paket erfasst werden sollen. Wenn kein Wert oder 0 eingegeben wird, werden alle Bytes erfasst.
--capture-limit	Legen Sie die Gesamtzahl der erfassten Bytes fest. Wenn dieser Wert erreicht wird, wird die Paketerfassung beendet. Wenn kein Wert angegeben ist, werden bis zu 1 GB (1.073.741.824 Bytes) erfasst.
--file-path	Geben Sie einen gültigen lokalen Dateipfad ein, wenn die Erfassung auf dem virtuellen Zielcomputer gespeichert werden soll (z. B. C:\Capture\myVM_1.cap). Bei einem Linux-Computer muss der Pfad mit /var/captures beginnen.

Die Paketerfassung wird beendet, sobald das Zeitlimit oder die Dateigröße (maximale Byte pro Sitzung) erreicht ist.

Beenden einer Paketerfassung

Portal

Wenn Sie eine Paketerfassungssitzung manuell beenden möchten, bevor sie das Zeitlimit oder den Grenzwert für die Dateigröße erreicht, wählen Sie die Auslassungspunkte (...) auf der rechten Seite der Paketerfassung aus, oder klicken Sie mit der rechten Maustaste darauf, und wählen Sie dann Beenden aus.

PowerShell

Wenn Sie eine Paketerfassungssitzung manuell beenden möchten, bevor sie das Zeitlimit oder den Grenzwert für die Dateigröße erreicht, verwenden Sie das Cmdlet Stop-AzNetworkWatcherPacketCapture.

# Manually stop a packet capture session.
Stop-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'

Hinweis

Das Cmdlet gibt keine Antwort zurück, wenn es für eine aktuell ausgeführte Erfassungssitzung oder eine vorhandene Sitzung ausgeführt wird, die bereits beendet wurde.

Azure-Befehlszeilenschnittstelle

Wenn Sie eine Paketerfassungssitzung manuell beenden möchten, bevor sie das Zeitlimit oder den Grenzwert für die Dateigröße erreicht, verwenden Sie den Befehl az network watcher packet-capture stop.

# Manually stop a packet capture session.
az network watcher packet-capture stop --location 'eastus' --name 'myVM_1'

Hinweis

Der Befehl gibt keine Antwort zurück, wenn er für eine aktuell ausgeführte Erfassungssitzung oder eine Sitzung ausgeführt wird, die bereits beendet wurde.

Anzeigen des Paketerfassungsstatus

Portal

Wechseln Sie zur Seite Paketerfassung von Network Watcher, um vorhandene Paketerfassungen unabhängig vom Status aufzulisten.

PowerShell

Verwenden Sie das Cmdlet Get-AzNetworkWatcherPacketCapture, um den Status einer Paketerfassung abzurufen (laufend oder abgeschlossen).

# Get information, properties, and status of a packet capture.
Get-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'

Die folgende Ausgabe ist ein Beispiel für die Ausgabe des Cmdlets Get-AzNetworkWatcherPacketCapture. Im folgenden Beispiel ist die Erfassung abgeschlossen. Der PacketCaptureStatus-Wert lautet „Stopped“ mit dem StopReason „TimeExceeded“. Dieser Wert zeigt, dass die Paketerfassung erfolgreich war und über den dafür festgelegten Zeitraum ausgeführt wurde.

ProvisioningState Name   Target                                                                                                                              BytesToCapturePerPacket TotalBytesPerSession TimeLimitInSeconds
----------------- ----   ------                                                                                                                              ----------------------- -------------------- ------------------
Succeeded         myVM_1 /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM 0                       1073741824           18000

Hinweis

Um weitere Details in der Ausgabe zu erhalten, fügen Sie | Format-List am Ende des Befehls hinzu.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den Befehl az network watcher packet-capture show-status, um den Status einer Paketerfassung („Wird ausgeführt“ oder „Abgeschlossen“) abzurufen.

# Get information, properties, and status of a packet capture.
az network watcher packet-capture show-status --location 'eastus' --name 'myVM_1'

Das folgende Beispiel zeigt die Ausgabe des Befehls az network watcher packet-capture show-status. Der packetCaptureStatus-Wert lautet Stopped und der StopReason-Wert TimeExceeded:

{
  "additionalProperties": {
    "status": "Succeeded"
  },
  "captureStartTime": "2016-12-06T17:20:01.5671279Z",
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_eastus/packetCaptures/myVM_1",
  "name": "packetCaptureName",
  "packetCaptureError": [],
  "packetCaptureStatus": "Stopped",
  "stopReason": "TimeExceeded"
}

Herunterladen einer Paketerfassung

Portal

Nach Abschluss der Paketerfassungssitzung wird die resultierende Aufnahmedatei im Azure-Speicher, als lokale Datei auf dem virtuellen Zielcomputer oder an beiden Orten gespeichert. Das Speicherziel für die Paketerfassung wird während der Erstellung angegeben. Weitere Informationen finden Sie im Abschnitt Starten einer Paketerfassung.

Führen Sie die folgenden Schritte aus, um eine Paketerfassungsdatei herunterzuladen, die in Azure Storage gespeichert ist:

1. Wählen Sie auf der Seite Paketerfassung die Paketaufnahme aus, deren Sie Datei herunterladen möchten.

2. Wählen Sie im Abschnitt Details den Link „Paketerfassungsdatei“ aus.

   

3. Wählen Sie auf der Blobseite Herunterladen aus.

Hinweis

Sie können die Erfassungsdateien auch über das Azure-Portal oder den Storage-Explorer¹ im folgenden Pfad aus dem Speicherkontocontainer herunterladen:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

¹ Der Storage-Explorer ist eine eigenständige App, mit der Sie bequem auf Azure Storage-Daten zugreifen und diese verwenden können. Weitere Informationen finden Sie unter Erste Schritte mit dem Storage-Explorer.

Zum Herunterladen einer Paketerfassungsdatei, die auf dem virtuellen Computer (VM) gespeichert ist, stellen Sie eine Verbindung mit dem virtuellen Computer her, und laden Sie die Datei aus dem lokalen Pfad herunter, der während der Paketerfassung angegeben wird.

PowerShell

Nach Abschluss der Paketerfassungssitzung wird die resultierende Aufnahmedatei im Azure-Speicher, als lokale Datei auf dem virtuellen Zielcomputer oder an beiden Orten gespeichert. Das Speicherziel für die Paketerfassung wird während der Erstellung angegeben. Weitere Informationen finden Sie im Abschnitt Starten einer Paketerfassung.

Wenn ein Speicherkonto angegeben wird, werden Erfassungsdateien im Speicherkonto unter dem Pfad gespeichert:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

Verwenden Sie das Cmdlet Get-AzStorageBlobContent, um eine Paketerfassung aus Azure-Speicher auf den lokalen Datenträger herunterzuladen:

# Download the packet capture file from Azure storage container.
Get-AzStorageBlobContent -Container 'network-watcher-logs' -Blob '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' -Destination 'C:\Capture\myVM_1.cap'

Hinweis

Mithilfe des Azure Storage-Explorers können Sie die Erfassungsdatei auch aus dem Speicherkontocontainer herunterladen. Storage-Explorer ist eine eigenständige App, mit der Sie bequem auf Azure Storage-Daten zugreifen und diese verwenden können. Weitere Informationen finden Sie unter Erste Schritte mit dem Storage-Explorer.

Azure-Befehlszeilenschnittstelle

Nach Abschluss der Paketerfassungssitzung wird die resultierende Aufnahmedatei im Azure-Speicher, als lokale Datei auf dem virtuellen Zielcomputer oder an beiden Orten gespeichert. Das Speicherziel für die Paketerfassung wird während der Erstellung angegeben. Weitere Informationen finden Sie im Abschnitt Starten einer Paketerfassung.

Wenn ein Speicherkonto angegeben wird, werden Erfassungsdateien im Speicherkonto unter dem Pfad gespeichert:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

Verwenden Sie den Befehl az storage blob download, um eine Paketerfassung aus Azure-Speicher auf den lokalen Datenträger herunterzuladen:

# Download the packet capture file from Azure storage container.
az storage blob download --container-name 'network-watcher-logs' --blob-url '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' --file 'C:\Capture\myVM_1.cap'

Hinweis

Mithilfe des Azure Storage-Explorers können Sie die Erfassungsdatei auch aus dem Speicherkontocontainer herunterladen. Storage-Explorer ist eine eigenständige App, mit der Sie bequem auf Azure Storage-Daten zugreifen und diese verwenden können. Weitere Informationen finden Sie unter Erste Schritte mit dem Storage-Explorer.

Löschen einer Paketerfassung

Portal

1. Wählen Sie auf der Seite Paketerfassung rechts neben der Paketerfassung, die Sie löschen möchten, die Option ... aus, oder klicken Sie mit der rechten Maustaste darauf, und wählen Sie dann Löschen aus.

   

2. Wählen Sie Ja aus.

PowerShell

Verwenden Sie Remove-AzNetworkWatcherPacketCapture, um eine Paketerfassungsressource zu löschen.

# Delete a packet capture resource.
Remove-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'

Azure-Befehlszeilenschnittstelle

Verwenden Sie az network watcher packet-capture delete, um eine Paketerfassungsressource zu löschen.

# Delete a packet capture resource.
az network watcher packet-capture delete --location 'eastus' --name 'myVM_1'

Wichtig

Das Löschen einer Paketerfassungsressource in Network Watcher löscht die Erfassungsdatei nicht aus dem Speicherkonto oder vom virtuellen Computer. Wenn Sie die Erfassungsdatei nicht mehr benötigen, müssen Sie sie manuell aus dem Speicherkonto oder vom virtuellen Computer löschen.

Zugehöriger Inhalt

• Informationen zur Automatisierung von Paketerfassungen mit VM-Warnungen finden Sie unter Erstellen einer durch Warnungen ausgelösten Paketerfassung.

• Informationen zum Analysieren einer Network Watcher-Paketerfassungsdatei mithilfe von Wireshark finden Sie unter Untersuchen und Analysieren von Network Watcher-Paketerfassungsdateien.