Pakketopnamen beheren met Azure Network Watcher

Artikel
02/04/2025

In dit artikel leert u hoe u de azure Network Watcher-pakketopnamefunctie kunt gebruiken om pakketopnamen van virtuele machines op afstand te configureren, te starten, te stoppen, te downloaden en te verwijderen.

Vereisten

Een Azure-account met een actief abonnement. Gratis een account maken
Een virtuele machine (VM) of virtuele-machineschaalset met uitgaande TCP-connectiviteit met: 169.254.169.254 via poort 80 en 168.63.129.16 via poort 8037. De VM-extensie van de Network Watcher-agent gebruikt deze IP-adressen om te communiceren met het Azure-platform.
Network Watcher Agent VM-extensie geïnstalleerd op de virtuele doelmachine. Wanneer u Network Watcher-pakketopname in Azure Portal gebruikt, wordt de agent automatisch geïnstalleerd op de doel-VM of schaalset als deze nog niet eerder is geïnstalleerd. Zie Azure Network Watcher-extensie bijwerken naar de nieuwste versie om een al geïnstalleerde agent bij te werken.
Een Azure-opslagaccount met uitgaande TCP-connectiviteit voor vm's via poort 443. Als u geen opslagaccount hebt, raadpleegt u Een opslagaccount maken met behulp van Azure Portal. Het opslagaccount moet toegankelijk zijn vanuit het subnet van de virtuele doelmachine of schaalset. Raadpleeg Firewalls en virtuele netwerken voor Azure Storage configureren voor meer informatie.
Meld u met uw Azure-account aan bij Azure Portal.

Een Azure-account met een actief abonnement. Gratis een account maken
Een virtuele machine (VM) met uitgaande TCP-connectiviteit met: 169.254.169.254 via poort 80 en 168.63.129.16 via poort 8037. De VM-extensie van de Network Watcher-agent gebruikt deze IP-adressen om te communiceren met het Azure-platform.
Network Watcher Agent VM-extensie geïnstalleerd op de virtuele doelmachine. Zie Network Watcher Agent VM-extensie beheren voor Windows of Network Watcher Agent VM-extensie voor Linux beheren voor meer informatie.
Een Azure-opslagaccount met uitgaande TCP-connectiviteit voor vm's via poort 443. Als u geen opslagaccount hebt, raadpleegt u Een opslagaccount maken met behulp van PowerShell. Het opslagaccount moet toegankelijk zijn vanuit het subnet van de virtuele doelmachine of schaalset. Raadpleeg Firewalls en virtuele netwerken voor Azure Storage configureren voor meer informatie.
Azure Cloud Shell of Azure PowerShell.

Met de stappen in dit artikel worden de Azure PowerShell-cmdlets interactief uitgevoerd in Azure Cloud Shell. Als u de opdrachten in Cloud Shell wilt uitvoeren, selecteert u Cloud Shell openen in de rechterbovenhoek van een codeblok. Selecteer Kopiëren om de code te kopiëren en plak deze in Cloud Shell om deze uit te voeren. U kunt Cloud Shell ook uitvoeren vanuit Azure Portal.

U kunt Azure PowerShell ook lokaal installeren om de cmdlets uit te voeren. Voor dit artikel is de Az PowerShell-module vereist. Zie Azure PowerShell installeren voor meer informatie. Als u PowerShell lokaal uitvoert, meldt u zich aan bij Azure met behulp van de cmdlet Connect-AzAccount .

Een Azure-account met een actief abonnement. Gratis een account maken
Een virtuele machine (VM) met uitgaande TCP-connectiviteit met: 169.254.169.254 via poort 80 en 168.63.129.16 via poort 8037. De VM-extensie van de Network Watcher-agent gebruikt deze IP-adressen om te communiceren met het Azure-platform.
Network Watcher Agent VM-extensie geïnstalleerd op de virtuele doelmachine. Zie Network Watcher Agent VM-extensie beheren voor Windows of Network Watcher Agent VM-extensie voor Linux beheren voor meer informatie.
Een Azure-opslagaccount met uitgaande TCP-connectiviteit voor vm's via poort 443. Als u geen opslagaccount hebt, raadpleegt u Een opslagaccount maken met behulp van de Azure CLI. Het opslagaccount moet toegankelijk zijn vanuit het subnet van de virtuele doelmachine of schaalset. Raadpleeg Firewalls en virtuele netwerken voor Azure Storage configureren voor meer informatie.
Azure Cloud Shell of Azure CLI.

In de stappen in dit artikel worden de Azure CLI-opdrachten interactief uitgevoerd in Azure Cloud Shell. Als u de opdrachten in Cloud Shell wilt uitvoeren, selecteert u Cloud Shell openen in de rechterbovenhoek van een codeblok. Selecteer Kopiëren om de code te kopiëren en plak deze in Cloud Shell om deze uit te voeren. U kunt Cloud Shell ook uitvoeren vanuit Azure Portal.

U kunt Azure CLI ook lokaal installeren om de opdrachten uit te voeren. Als u Azure CLI lokaal uitvoert, meldt u zich aan bij Azure met behulp van de opdracht az login .

Notitie

Azure maakt een Network Watcher-exemplaar in de regio van de virtuele machine als Network Watcher niet is ingeschakeld voor die regio. Zie Azure Network Watcher in- of uitschakelen voor meer informatie.

Als een netwerkbeveiligingsgroep is gekoppeld aan de netwerkinterface of het subnet waarin de netwerkinterface zich bevindt, moet u ervoor zorgen dat regels bestaan om uitgaande connectiviteit via de vorige poorten toe te staan. Zorg er ook voor dat uitgaande connectiviteit via de vorige poorten wordt uitgevoerd bij het toevoegen van door de gebruiker gedefinieerde routes aan uw netwerk.

Een pakketopname starten

Gebruik de volgende stappen om een opnamesessie te starten:

Voer Network Watcher in het zoekvak boven aan de portal in. Selecteer Network Watcher in de zoekresultaten.
Selecteer Pakketopname onder Diagnostische hulpprogramma's voor netwerk en selecteer vervolgens + Toevoegen om een pakketopname te maken.

Voer in Pakketopname toevoegen waarden in of selecteer deze voor de volgende instellingen:

Instelling	Weergegeven als
Basisdetails
Abonnement	Selecteer het Azure-abonnement van de virtuele machine.
Resourcegroep	Selecteer de resourcegroep van de virtuele machine.
Doeltype	Selecteer Virtuele machine of virtuele-machineschaalset.
Virtuele-machineschaalset doel	Selecteer de virtuele-machineschaalset. Deze optie is beschikbaar als u virtuele-machineschaalset selecteert als doeltype.
Doelexemplaren	Selecteer de instantie van de virtuele machine of schaalset.
Naam van pakketopname	Voer een naam in of laat de standaardnaam staan.
Configuratie van pakketopname
Locatie vastleggen	Selecteer Opslagaccount (standaardoptie), Bestand of Beide.
Opslagaccount	Selecteer uw Standard-opslagaccount¹. Deze optie is beschikbaar als u opslagaccount of Beide selecteert als een opnamelocatie. Het opslagaccount moet zich in dezelfde regio bevinden als het doelexemplaren.
Lokaal bestandspad	Voer een geldig lokaal bestandspad in waar u de opname wilt opslaan op de virtuele doelmachine. Als u een Linux-computer gebruikt, kan het pad beginnen met `/var/captures`. Als u een Windows-computer gebruikt, kan het pad beginnen met `C:\Captures`. Deze optie is beschikbaar als u Bestand of Beide als een opnamelocatie selecteert.
Maximum aantal bytes per pakket	Voer het maximum aantal bytes in dat per pakket moet worden vastgelegd. Alle bytes worden vastgelegd als u leeg of 0 invoert.
Maximum aantal bytes per sessie	Voer het totale aantal bytes in dat is vastgelegd. Zodra de waarde is bereikt, stopt de pakketopname. Er wordt maximaal 1 GB vastgelegd als deze leeg blijft.
Tijdslimiet (seconden)	Voer de tijdslimiet van de pakketopnamesessie in seconden in. Zodra de waarde is bereikt, stopt de pakketopname. Maximaal 5 uur (18.000 seconden) wordt vastgelegd als deze leeg blijft.
Filteren (optioneel)
Filtercriteria toevoegen	Selecteer Filtercriteria toevoegen om een nieuw filter toe te voegen. U kunt zoveel filters definiëren als u nodig hebt.
Protocol	Hiermee filtert u de pakketopname op basis van het geselecteerde protocol. Beschikbare waarden zijn TCP, UDP of Any.
Lokaal IP-adres²	Hiermee filtert u de pakketopname voor pakketten waarbij het lokale IP-adres overeenkomt met deze waarde.
Lokale poort²	Hiermee filtert u de pakketopname voor pakketten waarbij de lokale poort overeenkomt met deze waarde.
Extern IP-adres²	Hiermee filtert u de pakketopname voor pakketten waarbij het externe IP-adres overeenkomt met deze waarde.
Externe poort²	Hiermee filtert u de pakketopname voor pakketten waarbij de externe poort overeenkomt met deze waarde.

¹ Premium-opslagaccounts worden momenteel niet ondersteund voor het opslaan van pakketopnamen.

Twee poort- en IP-adreswaarden kunnen één waarde zijn, een bereik zoals 80-1024 of meerdere waarden, zoals 80, 443.

Selecteer Pakketopname starten.
De pakketopname stopt zodra de tijdslimiet of de bestandsgrootte (maximum aantal bytes per sessie) is bereikt.

Gebruik de cmdlet New-AzNetworkWatcherPacketCapture om een capture-sessie te starten:

# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -ResourceGroupName 'myResourceGroup' -Name 'myVM'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -ResourceGroupName 'myResourceGroup' -Name 'mystorageaccount'

# Start the Network Watcher capture session.
New-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1' -TargetVirtualMachineId $vm.Id  -StorageAccountId $storageAccount.Id

Zodra de opnamesessie is gestart, ziet u de volgende uitvoer:

ProvisioningState Name   BytesToCapturePerPacket TotalBytesPerSession TimeLimitInSeconds
----------------- ----   ----------------------- -------------------- ------------------
Succeeded         myVM_1 0                       1073741824           18000

In de volgende tabel worden de optionele parameters beschreven die u kunt gebruiken met de cmdlet New-AzNetworkWatcherPacketCapture :

Parameter	beschrijving
`-Filter`	Voeg filter(en) toe om alleen het gewenste verkeer vast te leggen. U kunt bijvoorbeeld alleen TCP-verkeer van een specifiek IP-adres naar een specifieke poort vastleggen.
`-TimeLimitInSeconds`	Stel de maximale duur van de opnamesessie in. De standaardwaarde is 18000 seconden (5 uur).
`-BytesToCapturePerPacket`	Stel het maximum aantal bytes in dat per pakket moet worden vastgelegd. Alle bytes worden vastgelegd als ze niet worden gebruikt of 0 zijn ingevoerd.
`-TotalBytesPerSession`	Stel het totale aantal bytes in dat wordt vastgelegd. Zodra de waarde is bereikt, stopt de pakketopname. Maximaal 1 GB (1.073.741.824 bytes) wordt vastgelegd als deze niet wordt gebruikt.
`-LocalFilePath`	Voer een geldig lokaal bestandspad in als u wilt dat de opname wordt opgeslagen op de virtuele doelmachine (bijvoorbeeld C:\Capture\myVM_1.cap). Als u een Linux-computer gebruikt, moet het pad beginnen met /var/captures.

De pakketopname stopt zodra de tijdslimiet of de bestandsgrootte (maximum aantal bytes per sessie) is bereikt.

Gebruik az network watcher packet-capture create command om een capture-sessie te starten:

# Start the Network Watcher capture session.
az network watcher packet-capture create --name 'myVM_1' --resource-group 'myResourceGroup' --vm 'myVM' --storage-account 'mystorageaccount'

# Start the Network Watcher capture session (storage account is in different resource group from the VM).
az network watcher packet-capture create --name 'myVM_1' --resource-group 'myResourceGroup' --vm 'myVM' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup2/providers/Microsoft.Storage/storageAccounts/mystorageaccount'

Zodra de opnamesessie is gestart, ziet u de volgende uitvoer:

{
  "bytesToCapturePerPacket": 0,
  "etag": "W/\"aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb\"",
  "filters": [],
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_eastus/packetCaptures/myVM_1",
  "name": "myVM_1",
  "provisioningState": "Succeeded",
  "resourceGroup": "NetworkWatcherRG",
  "scope": {
    "exclude": [],
    "include": []
  },
  "storageLocation": {
    "storageId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount",
    "storagePath": "https://mystorageaccount.blob.core.windows.net/network-watcher-logs/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2025/01/31/packetcapture_16_39_41_077.cap"
  },
  "target": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM",
  "targetType": "AzureVM",
  "timeLimitInSeconds": 18000,
  "totalBytesPerSession": 1073741824
}

In de volgende tabel worden de optionele parameters beschreven die u kunt gebruiken met de opdracht az network watcher packet-capture create :

Parameter	beschrijving
`--filters`	Voeg filter(en) toe om alleen het gewenste verkeer vast te leggen. U kunt bijvoorbeeld alleen TCP-verkeer van een specifiek IP-adres naar een specifieke poort vastleggen.
`--time-limit`	Stel de maximale duur van de opnamesessie in. De standaardwaarde is 18000 seconden (5 uur).
`--capture-size`	Stel het maximum aantal bytes in dat per pakket moet worden vastgelegd. Alle bytes worden vastgelegd als ze niet worden gebruikt of 0 zijn ingevoerd.
`--capture-limit`	Stel het totale aantal bytes in dat wordt vastgelegd. Zodra de waarde is bereikt, stopt de pakketopname. Maximaal 1 GB (1.073.741.824 bytes) wordt vastgelegd als deze niet wordt gebruikt.
`--file-path`	Voer een geldig lokaal bestandspad in als u wilt dat de opname wordt opgeslagen op de virtuele doelmachine (bijvoorbeeld C:\Capture\myVM_1.cap). Als u een Linux-computer gebruikt, moet het pad beginnen met /var/captures.

De pakketopname stopt zodra de tijdslimiet of de bestandsgrootte (maximum aantal bytes per sessie) is bereikt.

Een pakketopname stoppen

Als u een pakketopnamesessie handmatig wilt stoppen voordat deze de tijds- of bestandsgroottelimieten bereikt, selecteert u het beletselteken ... aan de rechterkant van de pakketopname of klikt u er met de rechtermuisknop op en selecteert u Stoppen.

Gebruik de cmdlet Stop-AzNetworkWatcherPacketCapture om een pakketopnamesessie handmatig te stoppen voordat deze de tijdslimieten bereikt.

# Manually stop a packet capture session.
Stop-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'

Notitie

De cmdlet retourneert geen antwoord of deze wordt uitgevoerd op een opnamesessie die momenteel wordt uitgevoerd of een sessie die al is gestopt.

Als u een pakketopnamesessie handmatig wilt stoppen voordat deze de tijd- of bestandsgroottelimieten bereikt, gebruikt u de opdracht az network watcher packet-capture stop .

# Manually stop a packet capture session.
az network watcher packet-capture stop --location 'eastus' --name 'myVM_1'

Notitie

De opdracht retourneert geen antwoord of deze wordt uitgevoerd op een opnamesessie die momenteel wordt uitgevoerd of een sessie die al is gestopt.

Status van pakketopname weergeven

Ga naar de pagina Pakketopname van Network Watcher om bestaande pakketopnamen weer te geven, ongeacht hun status.

Gebruik de cmdlet Get-AzNetworkWatcherPacketCapture om de status van een pakketopname op te halen (uitgevoerd of voltooid).

# Get information, properties, and status of a packet capture.
Get-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'

De volgende uitvoer is een voorbeeld van de uitvoer van de Get-AzNetworkWatcherPacketCapture cmdlet. Het volgende voorbeeld is nadat de opname is voltooid. De waarde PacketCaptureStatus is gestopt, met een StopReason of TimeExceeded. Deze waarde laat zien dat de pakketopname is geslaagd en de tijd heeft uitgevoerd.

ProvisioningState Name   Target                                                                                                                              BytesToCapturePerPacket TotalBytesPerSession TimeLimitInSeconds
----------------- ----   ------                                                                                                                              ----------------------- -------------------- ------------------
Succeeded         myVM_1 /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM 0                       1073741824           18000

Notitie

Als u meer details in de uitvoer wilt zien, voegt u deze toe | Format-List aan het einde van de opdracht.

Gebruik az network watcher packet-capture show-status command om de status van een pakketopname op te halen (actief of voltooid).

# Get information, properties, and status of a packet capture.
az network watcher packet-capture show-status --location 'eastus' --name 'myVM_1'

Het volgende voorbeeld is de uitvoer van de az network watcher packet-capture show-status opdracht. U kunt zien dat de waarde packetCaptureStatus is gestopt, met een StopReason-waarde van TimeExceeded:

{
  "additionalProperties": {
    "status": "Succeeded"
  },
  "captureStartTime": "2016-12-06T17:20:01.5671279Z",
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_eastus/packetCaptures/myVM_1",
  "name": "packetCaptureName",
  "packetCaptureError": [],
  "packetCaptureStatus": "Stopped",
  "stopReason": "TimeExceeded"
}

Een pakketopname downloaden

Nadat de pakketopnamesessie is afgesloten, wordt het resulterende opnamebestand opgeslagen in Azure Storage, een lokaal bestand op de virtuele doelmachine of beide. De opslagbestemming voor de pakketopname wordt opgegeven tijdens het maken ervan. Zie de sectie Een pakketopname starten voor meer informatie.

Volg deze stappen om een pakketopnamebestand te downloaden dat is opgeslagen in Azure Storage:

Selecteer op de pagina Pakketopname de pakketopname die u wilt downloaden.
Selecteer in de sectie Details de bestandskoppeling voor pakketopname.
Selecteer Downloaden op de blobpagina.

Notitie

U kunt ook capture-bestanden downloaden uit de container van het opslagaccount met behulp van Azure Portal of Storage Explorer¹ op het volgende pad:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

¹ Storage Explorer is een zelfstandige app die u gemakkelijk kunt gebruiken om toegang te krijgen tot en te werken met Azure Storage-gegevens. Zie Aan de slag met Storage Explorer voor meer informatie.

Als u een pakketopnamebestand wilt downloaden dat is opgeslagen op de virtuele machine (VM), maakt u verbinding met de VIRTUELE machine en downloadt u het bestand via het lokale pad dat is opgegeven tijdens het maken van pakketopnamen.

Als er een opslagaccount is opgegeven, worden bestanden opgeslagen in het opslagaccount op het volgende pad:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

Als u een pakketopname wilt downloaden van Azure Storage naar de lokale schijf, gebruikt u de cmdlet Get-AzStorageBlobContent :

# Download the packet capture file from Azure storage container.
Get-AzStorageBlobContent -Container 'network-watcher-logs' -Blob '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' -Destination 'C:\Capture\myVM_1.cap'

Notitie

U kunt het opnamebestand ook downloaden uit de container van het opslagaccount met behulp van Azure Storage Explorer. Storage Explorer is een zelfstandige app die u gemakkelijk kunt gebruiken voor toegang tot En werken met Azure Storage-gegevens. Zie Aan de slag met Storage Explorer voor meer informatie.

Als er een opslagaccount is opgegeven, worden bestanden opgeslagen in het opslagaccount op het volgende pad:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

Als u een pakketopname wilt downloaden van Azure Storage naar de lokale schijf, gebruikt u de opdracht az storage blob download :

# Download the packet capture file from Azure storage container.
az storage blob download --container-name 'network-watcher-logs' --blob-url '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' --file 'C:\Capture\myVM_1.cap'

Notitie

Een pakketopname verwijderen

Selecteer op de pagina Pakketopname ... aan de rechterkant van de pakketopname die u wilt verwijderen of klik er met de rechtermuisknop op en selecteer Vervolgens Verwijderen.
Selecteer Ja.

Gebruik Remove-AzNetworkWatcherPacketCapture om een pakketopnameresource te verwijderen.

# Delete a packet capture resource.
Remove-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'

Gebruik az network watcher packet-capture delete om een pakketopnameresource te verwijderen.

# Delete a packet capture resource.
az network watcher packet-capture delete --location 'eastus' --name 'myVM_1'

Belangrijk

Als u de pakketopnameresource verwijdert in Network Watcher, wordt het opnamebestand niet verwijderd uit het opslagaccount of de virtuele machine. Als u het capture-bestand niet meer nodig hebt, moet u het handmatig verwijderen uit het opslagaccount of de virtuele machine.

Zie Een door een waarschuwing geactiveerde pakketopname maken voor meer informatie over het automatiseren van pakketopnamen met waarschuwingen voor virtuele machines.
Zie Network Watcher-pakketopnamebestanden inspecteren en analyseren voor meer informatie over het analyseren van een Network Watcher-pakketopnamebestand met Wireshark.

Delen via

Pakketopnamen beheren met Azure Network Watcher

Vereisten

Een pakketopname starten

Een pakketopname stoppen

Status van pakketopname weergeven

Een pakketopname downloaden

Een pakketopname verwijderen

Feedback

Aanvullende resources

Delen via

Pakketopnamen beheren met Azure Network Watcher

Vereisten

Een pakketopname starten

Een pakketopname stoppen

Status van pakketopname weergeven

Een pakketopname downloaden

Een pakketopname verwijderen

Gerelateerde inhoud

Feedback

Aanvullende resources