Gérer les captures de paquets dans des jeux de machines virtuelles avec Azure Network Watcher en utilisant le portail

La capture de paquets de Network Watcher vous permet de créer des sessions de capture pour suivre le trafic entrant et sortant d'une instance de jeu d'échelles de machines virtuelles. Les filtres sont fournis pour la session de capture pour vous assurer que vous capturez uniquement le trafic souhaité. La capture de paquets permet de diagnostiquer les anomalies réseau, de manière réactive et proactive. D’autres utilisations incluent la collecte de statistiques réseau, l’obtention d’informations sur les intrusions réseau, pour déboguer la communication client-serveur, et bien plus encore. La possibilité de déclencher à distance des captures de paquets réduit la nécessité de lancer manuellement une capture sur un ensemble d'instances de machines virtuelles souhaitées, ce qui permet d'économiser un temps précieux.

Dans cet article, vous allez apprendre à démarrer, arrêter, télécharger et supprimer une capture de paquets.

Avant de commencer

La capture de paquets nécessite la connectivité TCP sortante suivante :

• au compte de stockage choisi sur le port 443
• à 169.254.169.254 sur le port 80
• à 168.63.129.16 sur le port 8037

Remarque

Les ports mentionnés dans les deux derniers cas ci-dessus sont communs à toutes les fonctionnalités de Network Watcher qui impliquent l’extension Network Watcher et peuvent parfois changer.

Si un groupe de sécurité réseau est associé à l’interface réseau ou au sous-réseau dans lequel se trouve l’interface réseau, vérifiez que les règles existent qui autorisent les ports précédents. De même, l’ajout d’itinéraires de trafic définis par l’utilisateur à votre réseau peut empêcher la connectivité aux adresses IP et ports mentionnés ci-dessus. Assurez-vous qu’ils sont accessibles.

Démarrer une capture de paquets

1. Dans votre navigateur, accédez au portail Azure et sélectionnez Tous les services, puis sélectionnez Network Watcher dans la section Mise en réseau .

2. Sélectionnez Capture de paquets sous des outils de diagnostic réseau. Toutes les captures de paquets existantes sont répertoriées, quel que soit leur état.

3. Sélectionnez Ajouter pour créer une capture de paquets. Vous pouvez sélectionner des valeurs pour les propriétés suivantes :

   • Abonnement: l’abonnement dans lequel se trouve l’ensemble de machines virtuelles pour lequel vous souhaitez créer la capture de paquets.

   • groupe de ressources: l'ensemble de machines virtuelles du groupe de ressources.

   • Type Cible: choisissez Ensemble de Machines Virtuelles dans la liste déroulante.

   • instance cible: instance/(s) spécifique sur laquelle vous souhaitez exécuter des captures. Vous pouvez choisir Sélectionner tout, si vous souhaitez exécuter des captures sur toutes les instances.

   • nom de capture de paquets: le nom est automatiquement renseigné et peut être remplacé conformément à la commodité de l’utilisateur

   • Compte de stockage ou fichier: Sélectionnez compte de stockage, fichierou les deux. L’option recommandée consiste à choisir l’option de compte de stockage. Si vous sélectionnez Fichier, la capture est écrite dans le chemin de l’instance de machine virtuelle.

   • Comptes de Stockage: Sélectionnez un compte de stockage existant si vous avez sélectionné Compte de Stockage. Cette option est disponible uniquement si vous avez sélectionné Stockage.

   • chemin d’accès au fichier local: le chemin d’accès local sur la machine virtuelle où la capture de paquets sera enregistrée (valide uniquement lorsque le fichier est sélectionné). Le chemin d’accès doit être un chemin valide. Si vous utilisez un groupe de machines virtuelles à échelle Linux, le chemin d’accès doit commencer par /var/captures.

     Note

     Les comptes de stockage Premium ne sont actuellement pas pris en charge pour le stockage des captures de paquets.

   • Nombre maximal d’octets par paquet: nombre d’octets de chaque paquet capturé. Si laissé vide, tous les octets sont capturés.

   • nombre maximal d’octets par session: nombre total d’octets capturés. Par défaut, la valeur est de 1,07 Go

   • limite de temps (secondes): limite de temps avant l’arrêt de la capture de paquets. La valeur par défaut est de 18 000 secondes (5 heures).

   • Filtrage (facultatif). Sélectionnez + Ajouter un filtre

     • protocole: protocole à filtrer pour la capture de paquets. Les valeurs disponibles sont TCP, UDP et Any.
     • adresse IP locale: filtre la capture de paquets pour les paquets où l’adresse IP locale correspond à cette valeur.
     • port local: filtre la capture de paquets pour les paquets où le port local correspond à cette valeur.
     • adresse IP distante: filtre la capture de paquets pour les paquets où l’adresse IP distante correspond à cette valeur.
     • port distant: filtre la capture de paquets pour les paquets où le port distant correspond à cette valeur.

     Remarque

     Les valeurs de port et d’adresse IP peuvent être une valeur unique, une plage de valeurs ou une plage, telle que 80-1024, pour le port. Vous pouvez définir autant de filtres que nécessaire.

4. Sélectionnez OK.

Une fois la limite de temps définie sur la capture de paquets expirée, la capture de paquets est arrêtée et peut être examinée. Vous pouvez également arrêter manuellement une session de capture de paquets.

Note

Le portail automatiquement :

• Crée un observateur réseau dans la même région que celle où l'ensemble de machines virtuelles que vous avez sélectionné existe, si la région ne dispose pas déjà d'un observateur réseau.
• Ajoute l'AzureNetworkWatcherExtension Linux ou Windows à l'ensemble de machines virtuelles à échelle variable, s'il n'est pas déjà installé.

Supprimer une capture de paquets

1. Dans la vue de capture de paquets, sélectionnez ... sur le côté droit de la capture de paquets, ou cliquez avec le bouton droit sur une capture de paquets existante, puis sélectionnez Supprimer.
2. Vous êtes invité à confirmer que vous souhaitez supprimer la capture de paquets. Sélectionnez Oui.

Note

La suppression d’une capture de paquets ne supprime pas le fichier de capture dans le compte de stockage ou sur l’ensemble d'instances de machine virtuelle.

Arrêter une capture de paquets

Dans la vue de capture de paquets, sélectionnez ... sur le côté droit de la capture de paquets, ou cliquez avec le bouton droit sur une capture de paquets existante, puis sélectionnez Arrêter.

Télécharger une capture de paquets

Une fois votre session de capture de paquets terminée, le fichier de capture est chargé dans le stockage Blob ou dans un fichier local sur l'ensemble d'instances de machine virtuelle. L’emplacement de stockage de la capture de paquets est défini lors de la création de la capture de paquets. Un outil pratique pour accéder aux fichiers de capture enregistrés dans un compte de stockage est l’Explorateur Stockage Microsoft Azure, que vous pouvez télécharger.

Si un compte de stockage est spécifié, les fichiers de capture de paquets sont enregistrés dans un compte de stockage à l’emplacement suivant :

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{VMName}/{year}/{month}/{day}/packetCapture_{creationTime}.cap

Si vous avez sélectionné le fichier lors de la création de la capture, vous pouvez afficher ou télécharger le fichier à partir du chemin que vous avez configuré sur l'instance de l'ensemble d'instances de machines virtuelles.

Étapes suivantes

• Pour déterminer si un trafic spécifique est autorisé dans ou hors d'une machine virtuelle/groupe de machines virtuelles identiques, consultez Diagnostiquer un problème de filtre de trafic réseau de machine virtuelle.