Azure Network Watcher でパケット キャプチャを管理する

この記事では、Azure Network Watcher のパケット キャプチャ機能を使用して、仮想マシンのパケット キャプチャをリモートで構成、開始、停止、ダウンロード、削除する方法について説明します。

前提条件

ポータル

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。

• ポート 80 経由の 169.254.169.254 およびポート 8037 経由の 168.63.129.16 への送信 TCP 接続を持つ仮想マシン (VM) または仮想マシン スケール セット。 これらの IP アドレスは、Network Watcher エージェント VM 拡張機能と Azure プラットフォームの通信に使用されます。

• ターゲット仮想マシンにインストールされた Network Watcher Agent VM 拡張機能。 Azure portal で Network Watcher パケット キャプチャを使用するたびに、エージェントがターゲット VM またはスケール セットに自動的にインストールされます (以前にインストールされていない場合)。 既にインストールされているエージェントを更新するには、「Azure Network Watcher 拡張機能を最新バージョンに更新する」を参照してください。

• ポート 443 経由の VM 送信 TCP 接続を持つ Azure ストレージ アカウント。 ストレージ アカウントを持っていない場合は、Azure portal を使用したストレージ アカウントの作成に関するページを参照してください。 ターゲット仮想マシンまたはスケール セットのサブネットからストレージ アカウントにアクセスできる必要があります。 詳細については、Azure Storage ファイアウォールおよび仮想ネットワークの構成に関する記事を参照してください。

• Azure アカウントで Azure Portal にサインインします。

PowerShell

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。

• ポート 80 経由の 169.254.169.254 およびポート 8037 経由で 168.63.129.16 への送信 TCP 接続を持つ仮想マシン (VM)。 これらの IP アドレスは、Network Watcher エージェント VM 拡張機能と Azure プラットフォームの通信に使用されます。

• ターゲット仮想マシンにインストールされた Network Watcher Agent VM 拡張機能。 詳細については、「Windows 用 Network Watcher Agent 仮想マシン拡張機能の管理」または「Linux 用 Network Watcher Agent 仮想マシン拡張機能を管理する」を参照してください。

• ポート 443 経由の VM 送信 TCP 接続を持つ Azure ストレージ アカウント。 ストレージ アカウントを持っていない場合は、PowerShell を使用したストレージ アカウントの作成に関するページを参照してください。 ターゲット仮想マシンまたはスケール セットのサブネットからストレージ アカウントにアクセスできる必要があります。 詳細については、Azure Storage ファイアウォールおよび仮想ネットワークの構成に関する記事を参照してください。

• Azure Cloud Shell または Azure PowerShell。

  この記事の手順では、Azure Cloud Shell で Azure PowerShell コマンドレットを対話型で実行します。 Cloud Shell でコマンドを実行するには、コード ブロックの右上隅にある [Cloud Shell を開く] を選択します。 [コピー] を選択してコードをコピーし、続いて Cloud Shell に貼り付けて実行します。 Azure portal 内から Cloud Shell を実行することもできます。

  また、Azure PowerShell をローカルにインストールしてコマンドレットを実行することもできます。 この記事では、Az PowerShell モジュールが必要です。 詳細については、「Azure PowerShell のインストール方法」を参照してください。 PowerShell をローカルで実行している場合は、Connect-AzAccount コマンドレットを使用して Azure にサインインします。

Azure CLI

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。

• ポート 80 経由の 169.254.169.254 およびポート 8037 経由で 168.63.129.16 への送信 TCP 接続を持つ仮想マシン (VM)。 これらの IP アドレスは、Network Watcher エージェント VM 拡張機能と Azure プラットフォームの通信に使用されます。

• ターゲット仮想マシンにインストールされた Network Watcher Agent VM 拡張機能。 詳細については、「Windows 用 Network Watcher Agent 仮想マシン拡張機能の管理」または「Linux 用 Network Watcher Agent 仮想マシン拡張機能を管理する」を参照してください。

• ポート 443 経由の VM 送信 TCP 接続を持つ Azure ストレージ アカウント。 ストレージ アカウントがない場合は、Azure CLI を使用したストレージ アカウントの作成に関するページを参照してください。 ターゲット仮想マシンまたはスケール セットのサブネットからストレージ アカウントにアクセスできる必要があります。 詳細については、Azure Storage ファイアウォールおよび仮想ネットワークの構成に関する記事を参照してください。

• Azure Cloud Shell または Azure CLI。

  この記事の手順では、Azure Cloud Shell で Azure CLI コマンドを対話型で実行します。 Cloud Shell でコマンドを実行するには、コード ブロックの右上隅にある [Cloud Shell を開く] を選択します。 [コピー] を選択してコードをコピーし、Cloud Shell に貼り付けて実行します。 Azure portal 内から Cloud Shell を実行することもできます。

  また、Azure CLI をローカルにインストールしてコマンドを実行することもできます。 Azure CLI をローカルで実行する場合は、az login コマンドを使用して Azure にサインインします。

Note

仮想マシンのリージョンで Network Watcher が有効になっていない場合、Azure でそのリージョンに Network Watcher インスタンスが作成されます。 詳細については、「Azure Network Watcher を有効または無効にする」を参照してください。

ネットワーク セキュリティ グループが、ネットワーク インターフェイス、またはネットワーク インターフェイスが含まれるサブネットに関連付けられている場合は、前述のポート経由の送信接続を許可するルールが存在することを確認します。 同様に、ユーザー定義ルートをネットワークに追加するときに、前述のポート経由の送信接続を確保します。

パケット キャプチャを開始する

ポータル

キャプチャ セッションを開始するには、次の手順に従います。

1. ポータルの上部にある検索ボックスに、「Network Watcher」と入力します。 検索結果から [Network Watcher] を選択します。

   

2. [ネットワーク診断ツール] の [パケット キャプチャ] を選択し、[+ 追加] を選択してパケット キャプチャを作成します。

   

3. [パケット キャプチャの追加] で、次の設定値を入力または選択します。

   設定	値
   基本的な詳細
   サブスクリプション	仮想マシンの Azure サブスクリプションを選択します。
   リソース グループ	仮想マシンのリソース グループを選択します。
   変換後の型	[仮想マシン] または [仮想マシン スケール セット] を選択します。
   ターゲット仮想マシン スケール セット	仮想マシン スケール セットを選択します。 このオプションは、ターゲットの種類として [仮想マシン スケール セット] を選択した場合に使用できます。
   ターゲット インスタンス	仮想マシンまたはスケール セットのインスタンスを選択します。
   パケット キャプチャ名	名前を入力するか、既定の名前をそのまま使用します。
   パケット キャプチャの構成
   キャプチャ場所	[ストレージ アカウント] (既定のオプション)、[ファイル]、または [両方] を選択します。
   ストレージ アカウント	Standard ストレージ アカウントを選択します1。 このオプションは、キャプチャ場所として [ストレージ アカウント] または [両方] を選択した場合に使用できます。 ストレージ アカウントは、ターゲット インスタンスと同じリージョンに存在する必要があります。
   ローカル ファイル パス	キャプチャをターゲット仮想マシンに保存する有効なローカル ファイル パスを入力します。 Linux マシンを使用している場合、パスは /var/captures で始めることができます。 Windows マシンを使用している場合、パスは C:\Captures で始めることができます。 このオプションは、キャプチャ場所として [ファイル] または [両方] を選択すると使用できます。
   1 パケットあたりの最大バイト数	各パケットごとに取り込まれる最大バイト数を入力します。 空白のままにするか、0 を入力すると、すべてのバイトが取り込まれます。
   1 セッションあたりの最大バイト数	取り込まれる合計バイト数を入力します。 この値に達するとパケット キャプチャは停止します。 空白のままにすると、最大 1 GB が取り込まれます。
   [制限時間 (秒)]	パケット キャプチャ セッションの時間制限を秒単位で入力します。 この値に達するとパケット キャプチャは停止します。 空白のままにすると、最大 5 時間 (18,000 秒) が取り込まれます。
   フィルター処理 (省略可能)
   フィルター条件の追加	[フィルター条件の追加] を選択して、新しいフィルターを追加します。 フィルターは必要なだけ定義することができます。
   Protocol	選択したプロトコルに基づいてパケット キャプチャをフィルター処理します。 使用可能な値は、[TCP]、[UDP]、または [任意] のいずれかです。
   ローカル IP アドレス2	ローカル IP アドレスがこの値と一致するパケットを対象に、パケット キャプチャをフィルター処理します。
   ローカル ポート2	ローカル ポートがこの値と一致するパケットを対象に、パケット キャプチャをフィルター処理します。
   リモート IP アドレス2	リモート IP アドレスがこの値と一致するパケットを対象に、パケット キャプチャをフィルター処理します。
   リモート ポート2	リモート ポートがこの値と一致するパケットを対象に、パケット キャプチャをフィルター処理します。

   ¹ Premium ストレージ アカウントは現在、パケット キャプチャの格納には対応していません。

   ² ポートと IP アドレスの値には、1 つの値、範囲 (80-1024 など)、複数の値 (80、443 など) を指定できます。

4. [パケット キャプチャを開始する] を選択します。

   

5. パケット キャプチャは、時間制限またはファイル サイズ (セッションあたりの最大バイト数) に達すると停止します。

PowerShell

キャプチャ セッションを開始するには、New-AzNetworkWatcherPacketCapture コマンドレットを使用します。

# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -ResourceGroupName 'myResourceGroup' -Name 'myVM'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -ResourceGroupName 'myResourceGroup' -Name 'mystorageaccount'

# Start the Network Watcher capture session.
New-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1' -TargetVirtualMachineId $vm.Id  -StorageAccountId $storageAccount.Id 

キャプチャ セッションが開始されると、次の出力が表示されます。

ProvisioningState Name   BytesToCapturePerPacket TotalBytesPerSession TimeLimitInSeconds
----------------- ----   ----------------------- -------------------- ------------------
Succeeded         myVM_1 0                       1073741824           18000

次の表では、New-AzNetworkWatcherPacketCapture コマンドレットで使用できる省略可能なパラメーターについて説明します。

パラメーター	description
-Filter	必要なトラフィックのみをキャプチャするフィルターを追加します。 たとえば、特定の IP アドレスから特定のポートへの TCP トラフィックのみをキャプチャできます。
-TimeLimitInSeconds	キャプチャ セッションの最長期間を設定します。 既定値は 18,000 秒 (5 時間) です。
-BytesToCapturePerPacket	各パケットごとにキャプチャする最大バイト数を設定します。 使用されていない場合、または 0 が入力されている場合は、すべてのバイトがキャプチャされます。
-TotalBytesPerSession	キャプチャする合計バイト数を設定します。 この値に達するとパケット キャプチャは停止します。 使用しない場合、最大 1 GB (1,073,741,824 バイト) がキャプチャされます。
-LocalFilePath	キャプチャを対象の仮想マシンに保存する場合、有効なローカル ファイル パス (C:\Capture\myVM_1.cap など) を入力します。 Linux マシンを使用している場合、パスは /var/captures で始まる必要があります。

パケット キャプチャは、時間制限またはファイル サイズ (セッションあたりの最大バイト数) に達すると停止します。

Azure CLI

キャプチャ セッションを開始するには、az network watcher packet-capture create コマンドを使用します。

# Start the Network Watcher capture session.
az network watcher packet-capture create --name 'myVM_1' --resource-group 'myResourceGroup' --vm 'myVM' --storage-account 'mystorageaccount'

# Start the Network Watcher capture session (storage account is in different resource group from the VM).
az network watcher packet-capture create --name 'myVM_1' --resource-group 'myResourceGroup' --vm 'myVM' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup2/providers/Microsoft.Storage/storageAccounts/mystorageaccount'

キャプチャ セッションが開始されると、次の出力が表示されます。

{
  "bytesToCapturePerPacket": 0,
  "etag": "W/\"aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb\"",
  "filters": [],
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_eastus/packetCaptures/myVM_1",
  "name": "myVM_1",
  "provisioningState": "Succeeded",
  "resourceGroup": "NetworkWatcherRG",
  "scope": {
    "exclude": [],
    "include": []
  },
  "storageLocation": {
    "storageId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount",
    "storagePath": "https://mystorageaccount.blob.core.windows.net/network-watcher-logs/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2025/01/31/packetcapture_16_39_41_077.cap"
  },
  "target": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM",
  "targetType": "AzureVM",
  "timeLimitInSeconds": 18000,
  "totalBytesPerSession": 1073741824
}

次の表では、az network watcher packet-capture create コマンドで使用できる省略可能なパラメーターについて説明します。

パラメーター	description
--filters	必要なトラフィックのみをキャプチャするフィルターを追加します。 たとえば、特定の IP アドレスから特定のポートへの TCP トラフィックのみをキャプチャできます。
--time-limit	キャプチャ セッションの最長期間を設定します。 既定値は 18,000 秒 (5 時間) です。
--capture-size	各パケットごとにキャプチャする最大バイト数を設定します。 使用されていない場合、または 0 が入力されている場合は、すべてのバイトがキャプチャされます。
--capture-limit	キャプチャする合計バイト数を設定します。 この値に達するとパケット キャプチャは停止します。 使用しない場合、最大 1 GB (1,073,741,824 バイト) がキャプチャされます。
--file-path	キャプチャを対象の仮想マシンに保存する場合、有効なローカル ファイル パス (C:\Capture\myVM_1.cap など) を入力します。 Linux マシンを使用している場合、パスは /var/captures で始まる必要があります。

パケット キャプチャは、時間制限またはファイル サイズ (セッションあたりの最大バイト数) に達すると停止します。

パケット キャプチャを停止する

ポータル

時間またはファイル サイズの制限に達する前にパケット キャプチャ セッションを手動で停止するには、パケット キャプチャの右側にある省略記号 [...] を選択するか、それを右クリックして [停止] を選択します。

PowerShell

パケット キャプチャ セッションを時間またはファイル サイズの制限に達する前に手動で停止するには、Stop-AzNetworkWatcherPacketCapture コマンドレットを使用します。

# Manually stop a packet capture session.
Stop-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'

Note

このコマンドレットは、実行されたのが、現在実行中のキャプチャ セッションであるか、既に停止しているセッションであるかについて応答を返しません。

Azure CLI

パケット キャプチャ セッションを時間またはファイル サイズの制限に達する前に手動で停止するには、az network watcher packet-capture stop コマンドを使用します。

# Manually stop a packet capture session.
az network watcher packet-capture stop --location 'eastus' --name 'myVM_1'

Note

このコマンドは、実行されたのが、現在実行中のキャプチャ セッションであるか、既に停止しているセッションであるかについて応答を返しません。

パケット キャプチャの状態を表示する

ポータル

Network Watcher の [パケット キャプチャ] ページに移動すると、状態に関係なく既存のパケット キャプチャが一覧表示されます。

PowerShell

パケット キャプチャ (実行中または完了) の状態を取得するには Get-AzNetworkWatcherPacketCapture コマンドレットを使用します。

# Get information, properties, and status of a packet capture.
Get-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'

次の出力は、Get-AzNetworkWatcherPacketCapture コマンドレットから出力の例です。 次の例はキャプチャ完了後です。 PacketCaptureStatus 値は Stopped で、StopReason は TimeExceeded です。 この値は、パケット キャプチャが成功し、所定の時間実行されたことを示します。

ProvisioningState Name   Target                                                                                                                              BytesToCapturePerPacket TotalBytesPerSession TimeLimitInSeconds
----------------- ----   ------                                                                                                                              ----------------------- -------------------- ------------------
Succeeded         myVM_1 /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM 0                       1073741824           18000

Note

出力でさらなる詳細を取得するには、コマンドの末尾に | Format-List を追加します。

Azure CLI

パケット キャプチャ (実行中または完了) の状態を取得するには、az network watcher packet-capture show-status コマンドを使用します。

# Get information, properties, and status of a packet capture.
az network watcher packet-capture show-status --location 'eastus' --name 'myVM_1'

次の例は、az network watcher packet-capture show-status コマンドからの出力です。 packetCaptureStatus 値は Stopped で、stopReason 値は TimeExceeded であることが確認できます。

{
  "additionalProperties": {
    "status": "Succeeded"
  },
  "captureStartTime": "2016-12-06T17:20:01.5671279Z",
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_eastus/packetCaptures/myVM_1",
  "name": "packetCaptureName",
  "packetCaptureError": [],
  "packetCaptureStatus": "Stopped",
  "stopReason": "TimeExceeded"
}

パケット キャプチャをダウンロードする

ポータル

パケット キャプチャ セッションを終了すると、結果のキャプチャ ファイルは Azure Storage、ターゲット仮想マシン上のローカル ファイル、またはその両方に保存されます。 パケット キャプチャの保存先は、作成時に指定します。 詳細については、「パケット キャプチャを開始する」セクションを参照してください。

Azure Storage に保存されたパケット キャプチャ ファイルをダウンロードするには、次の手順に従います。

1. [パケット キャプチャ] ページで、ファイルをダウンロードするパケット キャプチャを選択します。

2. [詳細] セクションで、パケット キャプチャ ファイルのリンクを選択します。

   

3. [BLOB] ページで、[ダウンロード] を選択します。

Note

Azure portal または Storage Explorer¹ を使用して、次のパスでストレージ アカウント コンテナーからキャプチャ ファイルをダウンロードすることもできます。

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

¹ Storage Explorer は、Azure Storage データにアクセスしたり操作したりする際に使用すると便利なスタンドアロン アプリです。 詳細については、「Storage Explorer の概要」を参照してください。

仮想マシン (VM) に保存されたパケット キャプチャ ファイルをダウンロードするには、VM に接続し、パケット キャプチャの作成時に指定したローカル パスからファイルをダウンロードします。

PowerShell

パケット キャプチャ セッションを終了すると、結果のキャプチャ ファイルは Azure Storage、ターゲット仮想マシン上のローカル ファイル、またはその両方に保存されます。 パケット キャプチャの保存先は、作成時に指定します。 詳細については、「パケット キャプチャを開始する」セクションを参照してください。

ストレージ アカウントが指定されている場合、パケット キャプチャ ファイルは、次のパスにあるストレージ アカウントに保存されます。

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

Azure Storage からローカル ディスクにパケット キャプチャをダウンロードするには、Get-AzStorageBlobContent コマンドレットを使用します。

# Download the packet capture file from Azure storage container.
Get-AzStorageBlobContent -Container 'network-watcher-logs' -Blob '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' -Destination 'C:\Capture\myVM_1.cap'

Note

Azure Storage Explorer を使用して、ストレージ アカウント コンテナーからキャプチャ ファイルをダウンロードすることもできます。 Storage Explorer は、Azure Storage データにアクセスして操作するために便利に使用できるスタンドアロン アプリです。 詳細については、「Storage Explorer の概要」を参照してください。

Azure CLI

パケット キャプチャ セッションを終了すると、結果のキャプチャ ファイルは Azure Storage、ターゲット仮想マシン上のローカル ファイル、またはその両方に保存されます。 パケット キャプチャの保存先は、作成時に指定します。 詳細については、「パケット キャプチャを開始する」セクションを参照してください。

ストレージ アカウントが指定されている場合、パケット キャプチャ ファイルは、次のパスにあるストレージ アカウントに保存されます。

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

Azure Storage からローカル ディスクにパケット キャプチャをダウンロードするには、az storage blob download コマンドを使用します。

# Download the packet capture file from Azure storage container.
az storage blob download --container-name 'network-watcher-logs' --blob-url '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' --file 'C:\Capture\myVM_1.cap'

Note

Azure Storage Explorer を使用して、ストレージ アカウント コンテナーからキャプチャ ファイルをダウンロードすることもできます。 Storage Explorer は、Azure Storage データにアクセスして操作するために便利に使用できるスタンドアロン アプリです。 詳細については、「Storage Explorer の概要」を参照してください。

パケット キャプチャを削除する

ポータル

1. [パケット キャプチャ] ページで、削除するパケット キャプチャの右側にある [...] を選択するか、右クリックして [削除] を選択します。

   

2. [はい] を選択します。

PowerShell

パケット キャプチャ リソースを削除するには、Remove-AzNetworkWatcherPacketCapture を使用します。

# Delete a packet capture resource.
Remove-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'

Azure CLI

パケット キャプチャ リソースを削除するには、az network watcher packet-capture delete を使用します。

# Delete a packet capture resource.
az network watcher packet-capture delete --location 'eastus' --name 'myVM_1'

重要

Network Watcher でパケット キャプチャ リソースを削除しても、ストレージ アカウントまたは仮想マシンからキャプチャ ファイルは削除されません。 キャプチャ ファイルが不要になった場合は、ストレージ アカウントまたは仮想マシンから手動で削除する必要があります。

関連するコンテンツ

• 仮想マシンのアラートを使用してパケット キャプチャを自動化する方法については、アラートでトリガーされるパケット キャプチャの作成に関するページを参照してください。

• Wireshark を使用して Network Watcher パケット キャプチャ ファイルを分析する方法については、「Network Watcher パケット キャプチャ ファイルの検査と分析」を参照してください。