Azure portal を使用して Azure Network Watcher で仮想マシンのパケット キャプチャを管理する
Network Watcher パケット キャプチャ ツールを使用すると、Azure 仮想マシン (VM) との間のネットワーク トラフィックを記録するキャプチャ セッションを作成できます。 必要なトラフィックのみを確実にキャプチャするためにキャプチャ セッション用のフィルターが用意されています。 パケット キャプチャは、事後対応的および事前対応的な両方の方法でネットワークの異常を診断するのに役立ちます。 その適用範囲は、異常検出だけでなく、ネットワーク統計情報の収集、ネットワーク侵入に関する分析情報の取得、クライアントとサーバー間の通信のデバッグ、その他のさまざまなネットワークの課題への対処を含みます。 Network Watcher パケット キャプチャを使用すると、パケット キャプチャをリモートで開始できるため、特定の仮想マシン上で手動で実行する必要性が軽減されます。
この記事では、Azure portal を使用して、仮想マシンのパケット キャプチャをリモートで構成、開始、停止、ダウンロード、削除する方法について説明します。 PowerShell または Azure CLI を使用してパケット キャプチャを管理する方法については、PowerShell を使用した仮想マシンのパケット キャプチャの管理に関する記事、または Azure CLI を使用した仮想マシンのパケット キャプチャの管理に関する記事を参照してください。
前提条件
- アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
- 次の送信 TCP 接続を持つ仮想マシン:
- ポート 443 を経由するストレージ アカウントへの接続
- ポート 80 を経由する 169.254.169.254 への接続
- ポート 8037 を経由する 168.63.129.16 への接続
Note
- 仮想マシンのリージョンで Network Watcher が有効になっていない場合、Azure ではそのリージョンに Network Watcher インスタンスを作成します。 詳細については、「Azure Network Watcher を有効または無効にする」を参照してください。
- Network Watcher パケット キャプチャでは、対象となる仮想マシンに Network Watcher エージェント VM 拡張機能をインストールする必要があります。 Azure portal で Network Watcher パケット キャプチャを使用するたびに、エージェントがターゲット VM またはスケール セットに自動的にインストールされます (以前にインストールされていない場合)。 既にインストールされているエージェントを更新するには、「Azure Network Watcher 拡張機能を最新バージョンに更新する」を参照してください。 エージェントを手動でインストールするには、「Linux 用 Network Watcher Agent 仮想マシン拡張機能」または「Windows 用 Network Watcher Agent 仮想マシン拡張機能」を参照してください。
- 「前提条件」に記載されている最後の 2 つの IP アドレスとポートは、Network Watcher エージェントを使用するすべての Network Watcher ツールで共通であり、変更されることがあります。
ネットワーク セキュリティ グループが、ネットワーク インターフェイス、またはネットワーク インターフェイスが含まれるサブネットに関連付けられている場合は、前述のポート経由の送信接続を許可するルールが存在することを確認します。 同様に、ユーザー定義ルートをネットワークに追加するときに、前述のポート経由の送信接続を確保します。
パケット キャプチャを開始する
Azure portal にサインインします。
ポータルの上部にある検索ボックスに、「Network Watcher」と入力します。 検索結果から [Network Watcher] を選択します。
[ネットワーク診断ツール] で、[Packet capture]\(パケット キャプチャ) を選択します。 状態を問わず、既存のパケット キャプチャがすべて一覧表示されます。
[+ 追加] を選択してパケット キャプチャを作成します。 [パケット キャプチャの追加] で、次の設定値を入力または選択します。
設定 値 基本的な詳細 サブスクリプション 仮想マシンの Azure サブスクリプションを選択します。 リソース グループ 仮想マシンのリソース グループを選択します。 変換後の型 [仮想マシン] を選択します。 ターゲット インスタンス 仮想マシンを選択します。 パケット キャプチャ名 名前を入力するか、既定の名前をそのまま使用します。 パケット キャプチャの構成 キャプチャ場所 [ストレージ アカウント]、[ファイル]、または [両方] を選択します。 ストレージ アカウント Standard ストレージ アカウントを選択します1。
このオプションは、キャプチャ場所に [ストレージ アカウント] または [両方] を選択した場合に使用できます。ローカル ファイル パス キャプチャをターゲット仮想マシンに保存する有効なローカル ファイル パスを入力します。 Linux マシンを使用している場合、パスは /var/captures で始まる必要があります。
このオプションは、キャプチャ場所に [ファイル] または [両方] を選択した場合に使用できます。1 パケットあたりの最大バイト数 各パケットごとに取り込まれる最大バイト数を入力します。 空白のままにするか、0 を入力すると、すべてのバイトが取り込まれます。 1 セッションあたりの最大バイト数 取り込まれる合計バイト数を入力します。 この値に達するとパケット キャプチャは停止します。 空白のままにすると、最大 1 GB が取り込まれます。 [制限時間 (秒)] パケット キャプチャ セッションの時間制限を秒単位で入力します。 この値に達するとパケット キャプチャは停止します。 空白のままにすると、最大 5 時間 (18,000 秒) が取り込まれます。 フィルター処理 (省略可能) フィルター条件の追加 [フィルター条件の追加] を選択して、新しいフィルターを追加します。 フィルターは必要なだけ定義することができます。 Protocol 選択したプロトコルに基づいてパケット キャプチャをフィルター処理します。 使用可能な値は、[TCP]、[UDP]、または [任意] のいずれかです。 ローカル IP アドレス2 ローカル IP アドレスがこの値と一致するパケットを対象に、パケット キャプチャをフィルター処理します。 ローカル ポート2 ローカル ポートがこの値と一致するパケットを対象に、パケット キャプチャをフィルター処理します。 リモート IP アドレス2 リモート IP アドレスがこの値と一致するパケットを対象に、パケット キャプチャをフィルター処理します。 リモート ポート2 リモート ポートがこの値と一致するパケットを対象に、パケット キャプチャをフィルター処理します。 1 Premium ストレージ アカウントは現在、パケット キャプチャの格納には対応していません。
2 ポートと IP アドレスの値には、1 つの値、範囲 (80-1024 など)、複数の値 (80、443 など) を指定できます。
[パケット キャプチャを開始する] を選択します。
パケット キャプチャに設定した制限時間が経過すると、パケット キャプチャは停止され、確認が可能になります。 制限時間に達する前にパケット キャプチャ セッションを手動で停止するには、パケット キャプチャの右側にある [...] を選択するか、それを右クリックして [停止] を選択します。
パケット キャプチャをダウンロードする
パケット キャプチャ セッションを終了すると、結果のキャプチャ ファイルは Azure Storage、ターゲット仮想マシン上のローカル ファイル、またはその両方に保存されます。 パケット キャプチャの保存先は、作成時に指定します。 詳細については、「パケット キャプチャを開始する」を参照してください。
Azure Storage に保存されたパケット キャプチャ ファイルをダウンロードするには、次の手順に従います。
Azure portal にサインインします。
ポータルの上部にある検索ボックスに「Network Watcher」と入力し、検索結果から Network Watcher を選択します。
[ネットワーク診断ツール] で、[Packet capture]\(パケット キャプチャ) を選択します。
[パケット キャプチャ] ページで、ファイルをダウンロードするパケット キャプチャを選択します。
[詳細] セクションで、パケット キャプチャ ファイルのリンクを選択します。
[BLOB] ページで、[ダウンロード] を選択します。
Note
Azure portal または Storage Explorer1 を使用して、次のパスでストレージ アカウント コンテナーからキャプチャ ファイルをダウンロードすることもできます。
https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap
1 Storage Explorer は、Azure Storage データにアクセスしたり操作したりする際に使用すると便利なスタンドアロン アプリです。 詳細については、「Storage Explorer の概要」を参照してください。
仮想マシン (VM) に保存されたパケット キャプチャ ファイルをダウンロードするには、VM に接続し、パケット キャプチャの作成時に指定したローカル パスからファイルをダウンロードします。
パケット キャプチャを削除する
Azure portal にサインインします。
ポータルの上部にある検索ボックスに「Network Watcher」と入力し、検索結果から Network Watcher を選択します。
[ネットワーク診断ツール] で、[Packet capture]\(パケット キャプチャ) を選択します。
[パケット キャプチャ] ページで、削除するパケット キャプチャの右側にある [...] を選択するか、右クリックして [削除] を選択します。
[はい] を選択します。
重要
Network Watcher でパケット キャプチャを削除しても、ストレージ アカウントや仮想マシンからキャプチャ ファイルは削除されません。 キャプチャ ファイルが不要になった場合は、ストレージ コストが発生しないように、ストレージ アカウントから手動で削除する必要があります。
関連するコンテンツ
- 仮想マシンのアラートを使用してパケット キャプチャを自動化する方法については、アラートでトリガーされるパケット キャプチャの作成に関するページを参照してください。
- Wireshark を使用して Network Watcher パケット キャプチャ ファイルを分析する方法については、「Network Watcher パケット キャプチャ ファイルの検査と分析」を参照してください。