Azure Network Watcher を使用してパケット キャプチャを開始、停止、ダウンロード、削除する
[アーティクル] 02/10/2025
1 人の共同作成者
フィードバック
この記事の内容
この記事では、Azure Network Watcher のパケット キャプチャ 機能を使用して、パケット キャプチャをリモートで構成、開始、停止、ダウンロード、削除する方法について説明します。
前提条件
アクティブなサブスクリプションが含まれる Azure アカウント。
無料でアカウントを作成できます 。
ポート 80 経由の 169.254.169.254 およびポート 8037 経由の 168.63.129.16 への送信 TCP 接続を持つ仮想マシン (VM) または仮想マシン スケール セット。 これらの IP アドレスは、Network Watcher エージェント VM 拡張機能と Azure プラットフォームの通信に使用されます。
ターゲット仮想マシンにインストールされた Network Watcher Agent VM 拡張機能。 Azure portal で Network Watcher パケット キャプチャを使用するたびに、エージェントがターゲット VM またはスケール セットに自動的にインストールされます (以前にインストールされていない場合)。 既にインストールされているエージェントを更新するには、「Azure Network Watcher 拡張機能を最新バージョンに更新する 」を参照してください。
ポート 443 経由の VM 送信 TCP 接続を持つ Azure ストレージ アカウント。 ストレージ アカウントを持っていない場合は、Azure portal を使用したストレージ アカウントの作成 に関するページを参照してください。 ターゲット仮想マシンまたはスケール セットのサブネットからストレージ アカウントにアクセスできる必要があります。 詳細については、Azure Storage ファイアウォールおよび仮想ネットワークの構成 に関する記事を参照してください。
Azure アカウントで Azure Portal にサインインします。
ネットワーク セキュリティ グループが、ネットワーク インターフェイス、またはネットワーク インターフェイスが含まれるサブネットに関連付けられている場合は、前述のポート経由の送信接続を許可するルールが存在することを確認します。 同様に、ユーザー定義ルートをネットワークに追加するときに、前述のポート経由の送信接続を確保します。
パケット キャプチャを開始する
キャプチャ セッションを開始するには、次の手順に従います。
ポータルの上部にある検索ボックスに、「Network Watcher [Network Watcher] を選択します。
[ネットワーク診断ツール] の [パケット キャプチャ] を選択し、[+ 追加] を選択してパケット キャプチャを作成します。
[パケット キャプチャの追加] で、次の設定値を入力または選択します。
設定
値
基本的な詳細
サブスクリプション
仮想マシンの Azure サブスクリプションを選択します。
リソース グループ
仮想マシンのリソース グループを選択します。
変換後の型
[仮想マシン] または [仮想マシン スケール セット] を選択します。
ターゲット仮想マシン スケール セット
仮想マシン スケール セットを選択します。 [仮想マシン スケール セット] を選択した場合に使用できます。
ターゲット インスタンス
仮想マシンまたはスケール セットのインスタンスを選択します。
パケット キャプチャ名
名前を入力するか、既定の名前をそのまま使用します。
パケット キャプチャの構成
キャプチャ場所
[ストレージ アカウント] (既定のオプション)、[ファイル] 、または [両方] を選択します。
ストレージ アカウント
Standard ストレージ アカウントを選択します1 。 [ストレージ アカウント] または [両方] を選択した場合に使用できます。
ローカル ファイル パス
キャプチャをターゲット仮想マシンに保存する有効なローカル ファイル パスを入力します。 /var/captures で始めることができます。 C:\Captures で始めることができます。 [ファイル] または [両方] を選択すると使用できます。
1 パケットあたりの最大バイト数
各パケットごとに取り込まれる最大バイト数を入力します。 空白のままにするか、0 を入力すると、すべてのバイトが取り込まれます。
1 セッションあたりの最大バイト数
取り込まれる合計バイト数を入力します。 この値に達するとパケット キャプチャは停止します。 空白のままにすると、最大 1 GB が取り込まれます。
[制限時間 (秒)]
パケット キャプチャ セッションの時間制限を秒単位で入力します。 この値に達するとパケット キャプチャは停止します。 空白のままにすると、最大 5 時間 (18,000 秒) が取り込まれます。
フィルター処理 (省略可能)
フィルター条件の追加
[フィルター条件の追加] を選択して、新しいフィルターを追加します。 フィルターは必要なだけ定義することができます。
Protocol
選択したプロトコルに基づいてパケット キャプチャをフィルター処理します。 使用可能な値は、[TCP] 、[UDP] 、または [任意] のいずれかです。
ローカル IP アドレス2
ローカル IP アドレスがこの値と一致するパケットを対象に、パケット キャプチャをフィルター処理します。
ローカル ポート2
ローカル ポートがこの値と一致するパケットを対象に、パケット キャプチャをフィルター処理します。
リモート IP アドレス2
リモート IP アドレスがこの値と一致するパケットを対象に、パケット キャプチャをフィルター処理します。
リモート ポート2
リモート ポートがこの値と一致するパケットを対象に、パケット キャプチャをフィルター処理します。
1 Premium ストレージ アカウントは現在、パケット キャプチャの格納には対応していません。
2 ポートと IP アドレスの値には、1 つの値、範囲 (80-1024 など)、複数の値 (80、443 など) を指定できます。
[パケット キャプチャを開始する] を選択します。
パケット キャプチャは、時間制限またはファイル サイズ (セッションあたりの最大バイト数) に達すると停止します。
キャプチャ セッションを開始するには、New-AzNetworkWatcherPacketCapture コマンドレットを使用します。
# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -ResourceGroupName 'myResourceGroup' -Name 'myVM'
# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -ResourceGroupName 'myResourceGroup' -Name 'mystorageaccount'
# Start the Network Watcher capture session.
New-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1' -TargetVirtualMachineId $vm.Id -StorageAccountId $storageAccount.Id
キャプチャ セッションが開始されると、次の出力が表示されます。
ProvisioningState Name BytesToCapturePerPacket TotalBytesPerSession TimeLimitInSeconds
----------------- ---- ----------------------- -------------------- ------------------
Succeeded myVM_1 0 1073741824 18000
次の表では、New-AzNetworkWatcherPacketCapture コマンドレットで使用できる省略可能なパラメーターについて説明します。
パラメーター
description
-Filter必要なトラフィックのみをキャプチャするフィルターを追加します。 たとえば、特定の IP アドレスから特定のポートへの TCP トラフィックのみをキャプチャできます。
-TimeLimitInSecondsキャプチャ セッションの最長期間を設定します。 既定値は 18,000 秒 (5 時間) です。
-BytesToCapturePerPacket各パケットごとにキャプチャする最大バイト数を設定します。 使用されていない場合、または 0 が入力されている場合は、すべてのバイトがキャプチャされます。
-TotalBytesPerSessionキャプチャする合計バイト数を設定します。 この値に達するとパケット キャプチャは停止します。 使用しない場合、最大 1 GB (1,073,741,824 バイト) がキャプチャされます。
-LocalFilePathキャプチャを対象の仮想マシンに保存する場合、有効なローカル ファイル パス (C:\Capture\myVM_1.cap など) を入力します。 Linux マシンを使用している場合、パスは /var/captures で始まる必要があります。
パケット キャプチャは、時間制限またはファイル サイズ (セッションあたりの最大バイト数) に達すると停止します。
キャプチャ セッションを開始するには、az network watcher packet-capture create コマンドを使用します。
# Start the Network Watcher capture session.
az network watcher packet-capture create --name 'myVM_1' --resource-group 'myResourceGroup' --vm 'myVM' --storage-account 'mystorageaccount'
# Start the Network Watcher capture session (storage account is in different resource group from the VM).
az network watcher packet-capture create --name 'myVM_1' --resource-group 'myResourceGroup' --vm 'myVM' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup2/providers/Microsoft.Storage/storageAccounts/mystorageaccount'
キャプチャ セッションが開始されると、次の出力が表示されます。
{
"bytesToCapturePerPacket": 0,
"etag": "W/\"aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb\"",
"filters": [],
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_eastus/packetCaptures/myVM_1",
"name": "myVM_1",
"provisioningState": "Succeeded",
"resourceGroup": "NetworkWatcherRG",
"scope": {
"exclude": [],
"include": []
},
"storageLocation": {
"storageId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount",
"storagePath": "https://mystorageaccount.blob.core.windows.net/network-watcher-logs/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2025/01/31/packetcapture_16_39_41_077.cap"
},
"target": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM",
"targetType": "AzureVM",
"timeLimitInSeconds": 18000,
"totalBytesPerSession": 1073741824
}
次の表では、az network watcher packet-capture create コマンドで使用できる省略可能なパラメーターについて説明します。
パラメーター
description
--filters必要なトラフィックのみをキャプチャするフィルターを追加します。 たとえば、特定の IP アドレスから特定のポートへの TCP トラフィックのみをキャプチャできます。
--time-limitキャプチャ セッションの最長期間を設定します。 既定値は 18,000 秒 (5 時間) です。
--capture-size各パケットごとにキャプチャする最大バイト数を設定します。 使用されていない場合、または 0 が入力されている場合は、すべてのバイトがキャプチャされます。
--capture-limitキャプチャする合計バイト数を設定します。 この値に達するとパケット キャプチャは停止します。 使用しない場合、最大 1 GB (1,073,741,824 バイト) がキャプチャされます。
--file-pathキャプチャを対象の仮想マシンに保存する場合、有効なローカル ファイル パス (C:\Capture\myVM_1.cap など) を入力します。 Linux マシンを使用している場合、パスは /var/captures で始まる必要があります。
パケット キャプチャは、時間制限またはファイル サイズ (セッションあたりの最大バイト数) に達すると停止します。
パケット キャプチャを停止する
時間またはファイル サイズの制限に達する前にパケット キャプチャ セッションを手動で停止するには、パケット キャプチャの右側にある省略記号 [...] を選択するか、それを右クリックして [停止] を選択します。
パケット キャプチャ セッションを時間またはファイル サイズの制限に達する前に手動で停止するには、Stop-AzNetworkWatcherPacketCapture コマンドレットを使用します。
# Manually stop a packet capture session.
Stop-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'
Note
このコマンドレットは、実行されたのが、現在実行中のキャプチャ セッションであるか、既に停止しているセッションであるかについて応答を返しません。
パケット キャプチャ セッションを時間またはファイル サイズの制限に達する前に手動で停止するには、az network watcher packet-capture stop コマンドを使用します。
# Manually stop a packet capture session.
az network watcher packet-capture stop --location 'eastus' --name 'myVM_1'
Note
このコマンドは、実行されたのが、現在実行中のキャプチャ セッションであるか、既に停止しているセッションであるかについて応答を返しません。
パケット キャプチャの状態を表示する
Network Watcher の [パケット キャプチャ] ページに移動すると、状態に関係なく既存のパケット キャプチャが一覧表示されます。
パケット キャプチャ (実行中または完了) の状態を取得するには Get-AzNetworkWatcherPacketCapture コマンドレットを使用します。
# Get information, properties, and status of a packet capture.
Get-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'
次の出力は、Get-AzNetworkWatcherPacketCapture コマンドレットから出力の例です。 次の例はキャプチャ完了後です。 PacketCaptureStatus 値は Stopped で、StopReason は TimeExceeded です。 この値は、パケット キャプチャが成功し、所定の時間実行されたことを示します。
ProvisioningState Name Target BytesToCapturePerPacket TotalBytesPerSession TimeLimitInSeconds
----------------- ---- ------ ----------------------- -------------------- ------------------
Succeeded myVM_1 /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM 0 1073741824 18000
Note
出力でさらなる詳細を取得するには、コマンドの末尾に | Format-List を追加します。
パケット キャプチャ (実行中または完了) の状態を取得するには、az network watcher packet-capture show-status コマンドを使用します。
# Get information, properties, and status of a packet capture.
az network watcher packet-capture show-status --location 'eastus' --name 'myVM_1'
次の例は、az network watcher packet-capture show-status コマンドからの出力です。 packetCaptureStatus 値は Stopped で、stopReason 値は TimeExceeded であることが確認できます。
{
"additionalProperties": {
"status": "Succeeded"
},
"captureStartTime": "2016-12-06T17:20:01.5671279Z",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_eastus/packetCaptures/myVM_1",
"name": "packetCaptureName",
"packetCaptureError": [],
"packetCaptureStatus": "Stopped",
"stopReason": "TimeExceeded"
}
パケット キャプチャをダウンロードする
パケット キャプチャ セッションが完了すると、結果のキャプチャ ファイルは Azure Storage、ターゲット仮想マシン上のローカル ファイル、またはその両方に保存されます。 パケット キャプチャの保存先は、作成時に指定します。 詳細については、「パケット キャプチャを開始する 」セクションを参照してください。
Azure Storage に保存されたパケット キャプチャ ファイルをダウンロードするには、次の手順に従います。
[パケット キャプチャ] ページで、ファイルをダウンロードするパケット キャプチャを選択します。
[詳細] セクションで、パケット キャプチャ ファイルのリンクを選択します。
[BLOB] ページで、[ダウンロード] を選択します。
次のパスでストレージ アカウント コンテナーに直接移動して、キャプチャ ファイルをダウンロードすることもできます。
https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap
ストレージ アカウントが指定されている場合、パケット キャプチャ ファイルは、次のパスにあるストレージ アカウントに保存されます。
https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap
Azure Storage からローカル ディスクにパケット キャプチャをダウンロードするには、Get-AzStorageBlobContent コマンドレットを使用します。
# Download the packet capture file from Azure storage container.
Get-AzStorageBlobContent -Container 'network-watcher-logs' -Blob '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' -Destination 'C:\Capture\myVM_1.cap'
ストレージ アカウントが指定されている場合、パケット キャプチャ ファイルは、次のパスにあるストレージ アカウントに保存されます。
https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap
Azure Storage からローカル ディスクにパケット キャプチャをダウンロードするには、az storage blob download コマンドを使用します。
# Download the packet capture file from Azure storage container.
az storage blob download --container-name 'network-watcher-logs' --blob-url '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' --file 'C:\Capture\myVM_1.cap'
Note
Azure Storage Explorer を使用して、ストレージ アカウント コンテナーからキャプチャ ファイルをダウンロードできます。 Storage Explorer は、Azure Storage データにアクセスして操作するために便利に使用できるスタンドアロン アプリです。 詳細については、「Storage Explorer の概要 」を参照してください。
重要
パケット キャプチャ セッション中、キャプチャ ファイルは最初は一時的な場所に保存されるため、ストレージ アカウント コンテナー内にすぐには表示されない場合があります。 そのファイルは、キャプチャ セッションが完了した後、最終的な場所に転送されます。
仮想マシン (VM) に保存されたパケット キャプチャ ファイルをダウンロードするには、VM に接続し、パケット キャプチャの作成時に指定したローカル パスからファイルをダウンロードします。
パケット キャプチャを削除する
[パケット キャプチャ] ページで、削除するパケット キャプチャの右側にある [...] を選択するか、右クリックして [削除] を選択します。
[はい] を選択します。
パケット キャプチャ リソースを削除するには、Remove-AzNetworkWatcherPacketCapture を使用します。
# Delete a packet capture resource.
Remove-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'
重要
Network Watcher でパケット キャプチャ リソースを削除しても、ストレージ アカウントまたは仮想マシンからキャプチャ ファイルは削除されません。 キャプチャ ファイルが不要になった場合は、ストレージ アカウントまたは仮想マシンから手動で削除する必要があります。
関連するコンテンツ
![使用可能なオプションを示す Azure portal での [パケット キャプチャの追加] のスクリーンショット。](media/packet-capture-manage/add-packet-capture.png)
![使用可能なオプションを示す Azure portal での [パケット キャプチャの追加] のスクリーンショット。](media/packet-capture-manage/add-packet-capture.png#lightbox)
