Zarządzanie przechwytywaniem pakietów dla maszyn wirtualnych za pomocą usługi Azure Network Watcher przy użyciu witryny Azure Portal

Narzędzie przechwytywania pakietów usługi Network Watcher umożliwia tworzenie sesji przechwytywania w celu rejestrowania ruchu sieciowego do i z maszyny wirtualnej platformy Azure. Filtry są udostępniane dla sesji przechwytywania, aby zapewnić przechwycenie tylko żądanego ruchu. Przechwytywanie pakietów pomaga w diagnozowaniu anomalii sieci zarówno reaktywnie, jak i aktywnie. Jej aplikacje wykraczają poza wykrywanie anomalii, aby obejmować zbieranie statystyk sieciowych, uzyskiwanie wglądu w włamania do sieci, debugowanie komunikacji klient-serwer i rozwiązywanie różnych innych problemów z siecią. Przechwytywanie pakietów usługi Network Watcher umożliwia zdalne inicjowanie przechwytywania pakietów, co pozwala zmniejszyć potrzebę ręcznego wykonywania na określonej maszynie wirtualnej.

Z tego artykułu dowiesz się, jak zdalnie konfigurować, uruchamiać, zatrzymywać, pobierać i usuwać przechwytywanie pakietów maszyn wirtualnych przy użyciu witryny Azure Portal. Aby dowiedzieć się, jak zarządzać przechwytywaniem pakietów przy użyciu programu PowerShell lub interfejsu wiersza polecenia platformy Azure, zobacz Zarządzanie przechwytywaniem pakietów dla maszyn wirtualnych przy użyciu programu PowerShell lub Zarządzanie przechwytywaniem pakietów dla maszyn wirtualnych przy użyciu interfejsu wiersza polecenia platformy Azure.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
• Maszyna wirtualna z następującą wychodzącą łącznością TCP:
  • do konta magazynu za pośrednictwem portu 443
  • do 169.254.169.254 przez port 80
  • do 168.63.129.16 przez port 8037

Uwaga

• Platforma Azure tworzy wystąpienie usługi Network Watcher w regionie maszyny wirtualnej, jeśli usługa Network Watcher nie została włączona dla tego regionu. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie usługi Azure Network Watcher.
• Przechwytywanie pakietów usługi Network Watcher wymaga zainstalowania rozszerzenia maszyny wirtualnej agenta usługi Network Watcher na docelowej maszynie wirtualnej. Za każdym razem, gdy używasz funkcji przechwytywania pakietów usługi Network Watcher w witrynie Azure Portal, agent jest automatycznie instalowany na docelowej maszynie wirtualnej lub zestawie skalowania, jeśli nie został wcześniej zainstalowany. Aby zaktualizować już zainstalowanego agenta, zobacz Aktualizowanie rozszerzenia usługi Azure Network Watcher do najnowszej wersji. Aby ręcznie zainstalować agenta, zobacz Rozszerzenie maszyny wirtualnej agenta usługi Network Watcher dla systemu Linux lub Rozszerzenie maszyny wirtualnej agenta usługi Network Watcher dla systemu Windows.
• Dwa ostatnie adresy IP i porty wymienione w sekcji Wymagania wstępne są wspólne we wszystkich narzędziach usługi Network Watcher korzystających z agenta usługi Network Watcher i mogą czasami ulec zmianie.

Jeśli sieciowa grupa zabezpieczeń jest skojarzona z interfejsem sieciowym lub podsiecią, w którą znajduje się interfejs sieciowy, upewnij się, że istnieją reguły zezwalające na łączność wychodzącą przez poprzednie porty. Podobnie należy zapewnić łączność wychodzącą przez poprzednie porty podczas dodawania tras zdefiniowanych przez użytkownika do sieci.

Uruchamianie przechwytywania pakietów

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Network Watcher. Wybierz pozycję Network Watcher z wyników wyszukiwania.

   

3. Wybierz pozycję Przechwytywanie pakietów w obszarze Narzędzia diagnostyczne sieci. Wszystkie istniejące przechwytywanie pakietów są wyświetlane niezależnie od ich stanu.

   

4. Wybierz pozycję + Dodaj , aby utworzyć przechwytywanie pakietów. W obszarze Dodawanie przechwytywania pakietów wprowadź lub wybierz wartości dla następujących ustawień:

   Ustawienie	Wartość
   Podstawowe szczegóły
   Subskrypcja	Wybierz subskrypcję platformy Azure maszyny wirtualnej.
   Grupa zasobów	Wybierz grupę zasobów maszyny wirtualnej.
   Typ docelowy	Wybierz pozycję Maszyna wirtualna.
   Wystąpienie docelowe	Wybierz maszynę wirtualną.
   Nazwa przechwytywania pakietów	Wprowadź nazwę lub pozostaw nazwę domyślną.
   Konfiguracja przechwytywania pakietów
   Lokalizacja przechwytywania	Wybierz pozycję Konto magazynu, Plik lub Oba.
   Konto magazynu	Wybierz kontomagazynu w warstwie Standardowa 1. Ta opcja jest dostępna, jeśli wybrano opcję Konto magazynu lub Oba jako lokalizację przechwytywania.
   Ścieżka pliku lokalnego	Wprowadź prawidłową lokalną ścieżkę pliku, w której chcesz zapisać przechwytywanie na docelowej maszynie wirtualnej. Jeśli używasz maszyny z systemem Linux, ścieżka musi zaczynać się od /var/captures. Ta opcja jest dostępna, jeśli wybrano opcję Plik lub Oba jako lokalizację przechwytywania.
   Maksymalna liczba bajtów na pakiet	Wprowadź maksymalną liczbę bajtów do przechwycenia dla każdego pakietu. Wszystkie bajty są przechwytywane, jeśli pozostały puste lub 0 wprowadzone.
   Maksymalna liczba bajtów na sesję	Wprowadź łączną liczbę bajtów przechwyconych. Gdy wartość zostanie osiągnięta, przechwytywanie pakietów zostanie zatrzymane. W przypadku pozostawienia pustego przechwycono maksymalnie 1 GB.
   Limit czasu (w sekundach)	Wprowadź limit czasu sesji przechwytywania pakietów w sekundach. Gdy wartość zostanie osiągnięta, przechwytywanie pakietów zostanie zatrzymane. W przypadku pozostawienia pustego przechwycono maksymalnie 5 godzin (18 000 sekund).
   Filtrowanie (opcjonalnie)
   Dodawanie kryteriów filtrowania	Wybierz pozycję Dodaj kryteria filtru, aby dodać nowy filtr. Można zdefiniować dowolną liczbę filtrów.
   Protokół	Filtruje przechwytywanie pakietów na podstawie wybranego protokołu. Dostępne wartości to TCP, UDP lub Dowolne.
   Lokalny adresIP 2	Filtruje przechwytywanie pakietów dla pakietów, w których lokalny adres IP jest zgodny z tą wartością.
   Portlokalny 2	Filtruje przechwytywanie pakietów dla pakietów, w których port lokalny odpowiada tej wartości.
   Zdalny adresIP 2	Filtruje przechwytywanie pakietów dla pakietów, w których zdalny adres IP jest zgodny z tą wartością.
   Portzdalny 2	Filtruje przechwytywanie pakietów dla pakietów, w których port zdalny odpowiada tej wartości.

   ¹ Konta usługi Premium Storage nie są obecnie obsługiwane do przechowywania przechwytywania pakietów.

   ² Wartości portów i adresów IP mogą być pojedynczą wartością, zakresem, takim jak 80–1024, lub wieloma wartościami, takimi jak 80, 443.

5. Wybierz pozycję Rozpocznij przechwytywanie pakietów.

   

6. Po osiągnięciu limitu czasu ustawionego na przechwytywanie pakietów przechwytywanie pakietów zatrzymuje się i można je przejrzeć. Aby ręcznie zatrzymać sesję przechwytywania pakietów przed osiągnięciem limitu czasu, wybierz pozycję ... po prawej stronie przechwytywania pakietów lub kliknij ją prawym przyciskiem myszy, a następnie wybierz pozycję Zatrzymaj.

   

Pobieranie przechwytywania pakietów

Po zakończeniu sesji przechwytywania pakietów wynikowy plik przechwytywania jest zapisywany w usłudze Azure Storage, pliku lokalnego na docelowej maszynie wirtualnej lub obu tych maszynach. Miejsce docelowe magazynu przechwytywania pakietów jest określone podczas jego tworzenia. Aby uzyskać więcej informacji, zobacz Uruchamianie przechwytywania pakietów.

Aby pobrać plik przechwytywania pakietów zapisany w usłudze Azure Storage, wykonaj następujące kroki:

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania w górnej części portalu wprowadź network watcher, a następnie wybierz pozycję Network Watcher z wyników wyszukiwania.

3. Wybierz pozycję Przechwytywanie pakietów w obszarze Narzędzia diagnostyczne sieci.

4. Na stronie Przechwytywanie pakietów wybierz przechwytywanie pakietów, które chcesz pobrać.

5. W sekcji Szczegóły wybierz link plik przechwytywania pakietów.

   

6. Na stronie obiektu blob wybierz pozycję Pobierz.

Uwaga

Możesz również pobrać pliki przechwytywania z kontenera konta magazynu przy użyciu witryny Azure Portal lub Eksplorator usługi Storage ¹ w następującej ścieżce:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

¹ Eksplorator usługi Storage to autonomiczna aplikacja, której można wygodnie używać do uzyskiwania dostępu do danych usługi Azure Storage i pracy z danymi usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Wprowadzenie do Eksplorator usługi Storage.

Aby pobrać plik przechwytywania pakietów zapisany na maszynie wirtualnej, połącz się z maszyną wirtualną i pobierz plik ze ścieżki lokalnej określonej podczas tworzenia przechwytywania pakietów.

Usuwanie przechwytywania pakietów

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania w górnej części portalu wprowadź network watcher, a następnie wybierz pozycję Network Watcher z wyników wyszukiwania.

3. Wybierz pozycję Przechwytywanie pakietów w obszarze Narzędzia diagnostyczne sieci.

4. Na stronie Przechwytywanie pakietów wybierz pozycję ... po prawej stronie przechwytywania pakietów, które chcesz usunąć, lub kliknij ją prawym przyciskiem myszy, a następnie wybierz polecenie Usuń.

   

5. Wybierz opcję Tak.

Ważne

Usunięcie przechwytywania pakietów w usłudze Network Watcher nie powoduje usunięcia pliku przechwytywania z konta magazynu ani maszyny wirtualnej. Jeśli nie potrzebujesz już pliku przechwytywania, musisz ręcznie usunąć go z konta magazynu, aby uniknąć ponoszenia kosztów magazynowania.

Powiązana zawartość

• Aby dowiedzieć się, jak zautomatyzować przechwytywanie pakietów przy użyciu alertów maszyny wirtualnej, zobacz Tworzenie przechwycenia pakietów wyzwalanych przez alert.
• Aby dowiedzieć się, jak analizować plik przechwytywania pakietów usługi Network Watcher przy użyciu programu Wireshark, zobacz Inspekcja i analizowanie plików przechwytywania pakietów usługi Network Watcher.