Gerenciar capturas de pacotes em máquinas virtuais com o Observador de Rede do Azure usando a CLI do Azure
A ferramenta de captura de pacotes do Observador de Rede permite que você crie sessões de captura para registrar o tráfego de rede de e para uma VM (máquina virtual) do Azure. Os filtros são fornecidos para a sessão de captura garantir que somente o tráfego que você deseja capturar. A captura de pacotes ajuda a diagnosticar problemas de rede de maneiras reativas e proativas. As aplicações dela vão além da detecção de anomalias para incluir a coleta de estatísticas de rede, a aquisição de insights sobre invasões de rede, a depuração da comunicação cliente-servidor e a resolução de vários outros desafios de rede. A captura de pacotes do Observador de Rede permite que você inicie capturas de pacote remotamente, aliviando a necessidade de execução manual em uma máquina virtual específica.
Neste artigo, você aprenderá a configurar, iniciar, parar, baixar e excluir remotamente uma captura de pacotes de máquina virtual usando o Azure PowerShell. Para saber como gerenciar capturas de pacotes usando o portal do Azure ou a CLI do Azure, consulte Gerenciar capturas de pacotes para máquinas virtuais usando o portal do Azure ou Gerenciar capturas de pacotes em máquinas virtuais usando o PowerShell.
Pré-requisitos
Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Azure Cloud Shell ou CLI do Azure.
As etapas desse artigo executam os comandos da CLI do Azure interativamente no Azure Cloud Shell. Para executar os comandos no Cloud Shell, selecione Abrir o Cloud Shell no canto superior direito de um bloco de código. Selecione Copiar para copiar o código e colá-lo no Cloud Shell para executá-lo. Você também pode executar o Cloud Shell no portal do Azure.
Você também pode instalar a CLI do Azure localmente para executar os comandos. Se você executar a CLI do Azure localmente, entre no Azure usando o comando az login .
Uma máquina virtual com a seguinte conectividade TCP de saída:
- para a conta de armazenamento pela porta 443
- para 169.254.169.254 na porta 80
- para 168.63.129.16 na porta 8037
Observação
- O Azure criará uma instância do Observador de Rede na região da máquina virtual se o Observador de Rede não estiver habilitado para essa região. Para obter mais informações, consulte Habilitar ou desabilitar o Observador de Rede do Azure.
- A captura de pacotes do Observador de Rede requer que a extensão de VM do agente do Observador de Rede seja instalada na máquina virtual de destino. Para obter mais informações, consulte Instalar o agente do Observador de Rede.
- Os dois últimos endereços IP e portas listados nos Pré-requisitos são comuns a todas as ferramentas do Observador de Rede que usam o agente do Observador de Rede e podem mudar ocasionalmente.
Se um grupo de segurança de rede estiver associado ao adaptador de rede ou à sub-rede na qual o adaptador de rede está, verifique se de existem regras que permitem a conectividade de saída nas portas anteriores. Da mesma forma, verifique a conectividade de saída nas portas anteriores ao adicionar rotas definidas pelo usuário à rede.
Habilitar o agente do Observador de Rede
Etapa 1
Execute o az vm extension set
comando para instalar o agente de captura de pacote na máquina virtual convidada.
Para máquinas virtuais do Windows:
az vm extension set --resource-group resourceGroupName --vm-name virtualMachineName --publisher Microsoft.Azure.NetworkWatcher --name NetworkWatcherAgentWindows --version 1.4
Para máquinas virtuais Linux:
az vm extension set --resource-group resourceGroupName --vm-name virtualMachineName --publisher Microsoft.Azure.NetworkWatcher --name NetworkWatcherAgentLinux --version 1.4
Etapa 2
Para garantir que o agente está instalado, execute o vm extension show
comando e passe o nome de máquina virtual e o grupo de recursos. Verifique a lista resultante para garantir que o agente está instalado.
Para máquinas virtuais do Windows:
az vm extension show --resource-group resourceGroupName --vm-name virtualMachineName --name NetworkWatcherAgentWindows
Para máquinas virtuais Linux:
az vm extension show --resource-group resourceGroupName --vm-name virtualMachineName --name AzureNetworkWatcherExtension
O exemplo a seguir é um exemplo de resposta de execuçãoaz vm extension show
{
"autoUpgradeMinorVersion": true,
"forceUpdateTag": null,
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{vmName}/extensions/NetworkWatcherAgentWindows",
"instanceView": null,
"location": "westcentralus",
"name": "NetworkWatcherAgentWindows",
"protectedSettings": null,
"provisioningState": "Succeeded",
"publisher": "Microsoft.Azure.NetworkWatcher",
"resourceGroup": "{resourceGroupName}",
"settings": null,
"tags": null,
"type": "Microsoft.Compute/virtualMachines/extensions",
"typeHandlerVersion": "1.4",
"virtualMachineExtensionType": "NetworkWatcherAgentWindows"
}
Iniciar uma captura de pacotes
Depois que as etapas anteriores forem concluídas, o agente de captura de pacote está instalado na máquina virtual.
Etapa 1
Recupere uma conta de armazenamento. Essa conta de armazenamento é usada para armazenar o arquivo de captura de pacote.
az storage account list
Etapa 2
Neste ponto, você está pronto para criar uma captura de pacote. Primeiro, vamos examinar os parâmetros que talvez você queira configurar. Os filtros são um desses parâmetros que podem ser usados para limitar os dados armazenados pela captura de pacotes. O exemplo a seguir configura uma captura de pacote com vários filtros. Os três primeiros filtros coletam tráfego de saída TCP apenas de IP local 10.0.0.3 para portas de destino de 20, 80 e 443. O último filtro coleta apenas o tráfego UDP.
az network watcher packet-capture create --resource-group {resourceGroupName} --vm {vmName} --name packetCaptureName --storage-account {storageAccountName} --filters "[{\"protocol\":\"TCP\", \"remoteIPAddress\":\"1.1.1.1-255.255.255.255\",\"localIPAddress\":\"10.0.0.3\", \"remotePort\":\"20\"},{\"protocol\":\"TCP\", \"remoteIPAddress\":\"1.1.1.1-255.255.255.255\",\"localIPAddress\":\"10.0.0.3\", \"remotePort\":\"80\"},{\"protocol\":\"TCP\", \"remoteIPAddress\":\"1.1.1.1-255.255.255.255\",\"localIPAddress\":\"10.0.0.3\", \"remotePort\":\"443\"},{\"protocol\":\"UDP\"}]"
O exemplo a seguir é a saída esperada ao executar o az network watcher packet-capture create
comando.
{
"bytesToCapturePerPacket": 0,
"etag": "W/\"b8cf3528-2e14-45cb-a7f3-5712ffb687ac\"",
"filters": [
{
"localIpAddress": "10.0.0.3",
"localPort": "",
"protocol": "TCP",
"remoteIpAddress": "1.1.1.1-255.255.255.255",
"remotePort": "20"
},
{
"localIpAddress": "10.0.0.3",
"localPort": "",
"protocol": "TCP",
"remoteIpAddress": "1.1.1.1-255.255.255.255",
"remotePort": "80"
},
{
"localIpAddress": "10.0.0.3",
"localPort": "",
"protocol": "TCP",
"remoteIpAddress": "1.1.1.1-255.255.255.255",
"remotePort": "443"
},
{
"localIpAddress": "",
"localPort": "",
"protocol": "UDP",
"remoteIpAddress": "",
"remotePort": ""
}
],
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_westcentralus/packetCaptures/packetCaptureName",
"name": "packetCaptureName",
"provisioningState": "Succeeded",
"resourceGroup": "NetworkWatcherRG",
"storageLocation": {
"filePath": null,
"storageId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/gwteststorage123abc",
"storagePath": "https://gwteststorage123abc.blob.core.windows.net/network-watcher-logs/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/{resourceGroupName}/providers/microsoft.compute/virtualmachines/{vmName}/2017/05/25/packetcapture_16_22_34_630.cap"
},
"target": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{vmName}",
"timeLimitInSeconds": 18000,
"totalBytesPerSession": 1073741824
}
Obter uma captura de pacote
Executando o az network watcher packet-capture show-status
comando, recupera o status de uma captura de pacote atualmente em execução ou concluído.
az network watcher packet-capture show-status --name packetCaptureName --location {networkWatcherLocation}
O exemplo a seguir mostra a saída JSON do az network watcher packet-capture show-status
comando. O exemplo a seguir ilustra o momento em que a captura é Stopped, com um StopReason de TimeExceeded.
{
"additionalProperties": {
"status": "Succeeded"
},
"captureStartTime": "2016-12-06T17:20:01.5671279Z",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_westcentralus/packetCaptures/packetCaptureName",
"name": "packetCaptureName",
"packetCaptureError": [],
"packetCaptureStatus": "Stopped",
"stopReason": "TimeExceeded"
}
Parar uma captura de pacotes
Ao executar o az network watcher packet-capture stop
comando, se uma sessão de captura estiver em andamento, será interrompida.
az network watcher packet-capture stop --name packetCaptureName --location westcentralus
Observação
O comando não retorna nenhuma resposta quando executado em uma sessão de captura em execução no momento ou em uma sessão existente que já foi interrompida.
Excluir uma captura de pacotes
az network watcher packet-capture delete --name packetCaptureName --location westcentralus
Observação
Excluir uma captura de pacotes não exclui o arquivo na conta de armazenamento.
Baixar um pacote de capturas
Quando a sessão de captura de pacote for concluído, o arquivo de captura pode ser carregado no Armazenamento de Blobs ou em um arquivo local na VM. O local de armazenamento da captura de pacotes é definido na criação da sessão. Uma ferramenta conveniente para acessar esses arquivos de captura salvos em uma conta de armazenamento é o Gerenciador de Armazenamento do Microsoft Azure, que pode ser baixado aqui: https://storageexplorer.com/
Se uma conta de armazenamento for especificada, os arquivos de captura de pacote serão salvos em uma conta de armazenamento no seguinte local:
https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{VMName}/{year}/{month}/{day}/packetCapture_{creationTime}.cap
Conteúdo relacionado
- Para saber como automatizar a captura de pacote com alertas de máquina virtual, veja Criar uma captura de pacote acionada por alerta.
- Para determinar se um tráfego específico é permitido dentro ou fora de uma máquina virtual, veja Diagnosticar um problema de filtro de tráfego de rede de máquina virtual.