Управление записью пакетов с помощью Azure Наблюдатель за сетями
Статья
В этой статье вы узнаете, как использовать функцию отслеживания пакетов azure Наблюдатель за сетями для удаленной настройки, запуска, остановки, скачивания и удаления записей пакетов виртуальной машины.
Масштабируемый набор виртуальных машин или виртуальных машин с исходящим TCP-подключением 169.254.169.254 : через порт 80 и 168.63.129.16 через порт 8037. Расширение виртуальной машины агента Наблюдатель за сетями использует эти IP-адреса для взаимодействия с платформой Azure.
Наблюдатель за сетями расширение виртуальной машины агента, установленное на целевой виртуальной машине. При использовании записи пакетов Наблюдатель за сетями в портал Azure агент автоматически устанавливается на целевой виртуальной машине или масштабируемом наборе, если он не был установлен ранее. Чтобы обновить уже установленный агент, ознакомьтесь с расширением Azure Наблюдатель за сетями до последней версии.
Виртуальная машина с исходящим TCP-подключением: 169.254.169.254 через порт 80 и 168.63.129.16 через порт 8037. Расширение виртуальной машины агента Наблюдатель за сетями использует эти IP-адреса для взаимодействия с платформой Azure.
Действия, описанные в этой статье, выполняют командлеты Azure PowerShell в интерактивном режиме в Azure Cloud Shell. Чтобы выполнить команды в Cloud Shell, выберите Open Cloud Shell в правом верхнем углу блока кода. Выберите "Копировать", чтобы скопировать код, а затем вставьте его в Cloud Shell, чтобы запустить его. Вы также можете запустить Cloud Shell из портал Azure.
Вы также можете установить Azure PowerShell локально для выполнения командлетов. Для этой статьи требуется модуль Az PowerShell. Дополнительные сведения см. в статье "Установка Azure PowerShell". При локальном запуске PowerShell войдите в Azure с помощью командлета Connect-AzAccount .
Виртуальная машина с исходящим TCP-подключением: 169.254.169.254 через порт 80 и 168.63.129.16 через порт 8037. Расширение виртуальной машины агента Наблюдатель за сетями использует эти IP-адреса для взаимодействия с платформой Azure.
Действия, описанные в этой статье, выполняют команды Azure CLI интерактивно в Azure Cloud Shell. Чтобы выполнить команды в Cloud Shell, выберите Open Cloud Shell в правом верхнем углу блока кода. Выберите "Копировать ", чтобы скопировать код и вставить его в Cloud Shell, чтобы запустить его. Вы также можете запустить Cloud Shell из портал Azure.
Azure создает экземпляр Наблюдатель за сетями в регионе виртуальной машины, если Наблюдатель за сетями не был включен для этого региона. Дополнительные сведения см. в статье "Включение или отключение Azure Наблюдатель за сетями".
Если группа безопасности сети связана с сетевым интерфейсом или подсетью, в которую находится сетевой интерфейс, убедитесь, что правила существуют, чтобы разрешить исходящее подключение через предыдущие порты. Аналогичным образом убедитесь, что исходящее подключение через предыдущие порты при добавлении определяемых пользователем маршрутов в сеть.
Чтобы запустить сеанс записи, выполните следующие действия.
В поле поиска в верхней части портала введите Наблюдатель за сетями. Выберите Наблюдатель за сетями из результатов поиска.
Выберите запись пакетов в разделе "Средства диагностики сети", а затем нажмите кнопку "Добавить ", чтобы создать запись пакетов.
В разделе "Добавление записи пакетов" введите или выберите значения для следующих параметров:
Параметр
Значение
Основные сведения
Отток подписок
Выберите подписку Azure виртуальной машины.
Группа ресурсов
Выберите группу ресурсов виртуальной машины.
Целевой тип
Выберите масштабируемый набор виртуальных машин или виртуальных машин.
Целевой масштабируемый набор виртуальных машин
Выберите масштабируемый набор виртуальных машин. Этот параметр доступен, если выбрать масштабируемый набор виртуальных машин в качестве целевого типа.
Целевой экземпляр
Выберите виртуальную машину или экземпляр масштабируемого набора.
Имя записи пакетов
Введите имя или оставьте имя по умолчанию.
Конфигурация записи пакетов
Расположение записи
Выберите учетную запись хранения (параметр по умолчанию), файл или оба.
Storage account
Выберите учетную записьхранения уровня "Стандартный" 1. Этот параметр доступен, если выбрана учетная запись хранения или оба в качестве расположения записи. Учетная запись хранения должна находиться в том же регионе, что и целевой экземпляр.
Путь к локальному файлу
Введите допустимый локальный путь к файлу, в котором требуется сохранить запись в целевой виртуальной машине. Если вы используете компьютер Linux, путь может начинаться с /var/captures. Если вы используете компьютер с Windows, путь может начинаться с C:\Captures. Этот параметр доступен, если выбрать "Файл" или "Оба" в качестве расположения записи.
Максимальное количество байтов на пакет
Введите максимальное количество байтов, которые необходимо записать на каждый пакет. Все байты записываются, если введены пустые или 0.
Максимальное количество байтов на сеанс
Введите общее количество байтов, захваченных. После достижения этого значения запись пакетов останавливается. Если оставить пустым, записывается до 1 ГБ.
Ограничение по времени (в секундах)
Введите ограничение времени сеанса записи пакетов в секундах. После достижения этого значения запись пакетов останавливается. До 5 часов (18 000 секунд) фиксируется, если осталось пустым.
Фильтрация (необязательно)
Добавление условий фильтра
Выберите " Добавить критерии фильтра" , чтобы добавить новый фильтр. Можно определить любое число фильтров.
Протокол
Фильтрует запись пакетов на основе выбранного протокола. Доступные значения: TCP, UDP или Any.
Локальный IP-адрес2
Фильтрует запись пакетов для пакетов, где локальный IP-адрес соответствует этому значению.
Локальный порт2
Фильтрует запись пакетов для пакетов, где локальный порт соответствует этому значению.
Удаленный IP-адрес2
Фильтрует запись пакетов для пакетов, где удаленный IP-адрес соответствует этому значению.
Удаленный порт2
Фильтрует запись пакетов для пакетов, где удаленный порт соответствует этому значению.
1 Учетные записи хранения класса Premium в настоящее время не поддерживаются для хранения записей пакетов.
2 Значения портов и IP-адресов могут быть одним значением, диапазоном, таким как 80-1024, или несколькими значениями, такими как 80, 443.
Нажмите кнопку "Начать запись пакетов".
Запись пакетов останавливается после достижения ограничения времени или размера файла (максимум байтов на сеанс).
Добавьте фильтры, чтобы записать только нужный трафик. Например, можно записать только TCP-трафик из определенного IP-адреса в определенный порт.
-TimeLimitInSeconds
Задайте максимальную длительность сеанса записи. Значение по умолчанию — 18000 секунд (5 часов).
-BytesToCapturePerPacket
Задайте максимальное количество байтов для записи каждого пакета. Все байты записываются, если не используется или не введено 0.
-TotalBytesPerSession
Задайте общее количество байтов, которые записываются. После достижения этого значения запись пакетов останавливается. Не более 1 ГБ (1 073 741 824 байта), если он не используется.
-LocalFilePath
Введите допустимый путь к локальному файлу, если требуется сохранить запись на целевой виртуальной машине (например, C:\Capture\myVM_1.cap). Если вы используете компьютер Linux, путь должен начинаться с /var/captures.
Запись пакетов останавливается после достижения ограничения времени или размера файла (максимум байтов на сеанс).
Чтобы запустить сеанс записи, используйте команду create az network watcher packet-capture:
# Start the Network Watcher capture session.
az network watcher packet-capture create --name 'myVM_1' --resource-group 'myResourceGroup' --vm 'myVM' --storage-account 'mystorageaccount'
# Start the Network Watcher capture session (storage account is in different resource group from the VM).
az network watcher packet-capture create --name 'myVM_1' --resource-group 'myResourceGroup' --vm 'myVM' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup2/providers/Microsoft.Storage/storageAccounts/mystorageaccount'
После запуска сеанса записи вы увидите следующие выходные данные:
В следующей таблице описаны необязательные параметры, которые можно использовать с командой create az network watcher packet-capture:
Параметр
описание
--filters
Добавьте фильтры, чтобы записать только нужный трафик. Например, можно записать только TCP-трафик из определенного IP-адреса в определенный порт.
--time-limit
Задайте максимальную длительность сеанса записи. Значение по умолчанию — 18000 секунд (5 часов).
--capture-size
Задайте максимальное количество байтов для записи каждого пакета. Все байты записываются, если не используется или не введено 0.
--capture-limit
Задайте общее количество байтов, которые записываются. После достижения этого значения запись пакетов останавливается. Не более 1 ГБ (1 073 741 824 байта), если он не используется.
--file-path
Введите допустимый путь к локальному файлу, если требуется сохранить запись на целевой виртуальной машине (например, C:\Capture\myVM_1.cap). Если вы используете компьютер Linux, путь должен начинаться с /var/captures.
Запись пакетов останавливается после достижения ограничения времени или размера файла (максимум байтов на сеанс).
Чтобы вручную остановить сеанс записи пакетов, прежде чем он достигнет пределов времени или размера файла, выберите многоточие ... в правой части записи пакетов или щелкните его правой кнопкой мыши, а затем нажмите кнопку " Остановить".
# Get information, properties, and status of a packet capture.
Get-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'
Ниже приведен пример выходных данных командлета Get-AzNetworkWatcherPacketCapture . полученных после завершения записи пакетов. В качестве значения параметра PacketCaptureStatus указано Stopped, а для параметра StopReason задано значение TimeExceeded. По этому значению можно понять, что запись пакетов выполнена успешно за требуемое время.
# Get information, properties, and status of a packet capture.
az network watcher packet-capture show-status --location 'eastus' --name 'myVM_1'
Ниже приведен пример выходных данных команды az network watcher packet-capture show-status. Вы увидите, что значение packetCaptureStatus остановлено с значением StopReason TimeExceed:
После завершения сеанса записи пакетов результирующий файл записи сохраняется в хранилище Azure, локальный файл на целевой виртуальной машине или обоих. Место хранения для записи пакетов указывается во время его создания. Дополнительные сведения см. в разделе "Запуск записи пакетов".
Чтобы скачать файл записи пакетов, сохраненный в хранилище Azure, выполните следующие действия.
На странице отслеживания пакетов выберите запись пакетов, которую вы хотите скачать.
В разделе "Сведения" выберите ссылку на файл записи пакетов.
На странице большого двоичного объекта нажмите кнопку "Скачать".
Примечание.
Вы также можете скачать файлы записи из контейнера учетной записи хранения с помощью портал Azure или Обозреватель службы хранилища 1 по следующему пути:
1 Обозреватель службы хранилища — это автономное приложение, которое удобно использовать для доступа к данным служба хранилища Azure и работы с ним. Дополнительные сведения см. в статье "Начало работы с Обозреватель службы хранилища".
Чтобы скачать файл записи пакетов, сохраненный на виртуальной машине, подключитесь к виртуальной машине и скачайте файл из локального пути, указанного во время создания записи пакетов.
После завершения сеанса записи пакетов результирующий файл записи сохраняется в хранилище Azure, локальный файл на целевой виртуальной машине или обоих. Место хранения для записи пакетов указывается во время его создания. Дополнительные сведения см. в разделе "Запуск записи пакетов".
Если указана учетная запись хранения, файлы записи сохраняются в учетной записи хранения по следующему пути:
# Download the packet capture file from Azure storage container.
Get-AzStorageBlobContent -Container 'network-watcher-logs' -Blob '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' -Destination 'C:\Capture\myVM_1.cap'
Примечание.
Вы также можете скачать файл записи из контейнера учетной записи хранения с помощью обозревателя служба хранилища Azure. Обозреватель службы хранилища — это автономное приложение, которое удобно использовать для доступа и работы с данными служба хранилища Azure. Дополнительные сведения см. в статье "Начало работы с Обозреватель службы хранилища".
После завершения сеанса записи пакетов результирующий файл записи сохраняется в хранилище Azure, локальный файл на целевой виртуальной машине или обоих. Место хранения для записи пакетов указывается во время его создания. Дополнительные сведения см. в разделе "Запуск записи пакетов".
Если указана учетная запись хранения, файлы записи сохраняются в учетной записи хранения по следующему пути:
# Download the packet capture file from Azure storage container.
az storage blob download --container-name 'network-watcher-logs' --blob-url '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' --file 'C:\Capture\myVM_1.cap'
Примечание.
Вы также можете скачать файл записи из контейнера учетной записи хранения с помощью обозревателя служба хранилища Azure. Обозреватель службы хранилища — это автономное приложение, которое удобно использовать для доступа и работы с данными служба хранилища Azure. Дополнительные сведения см. в статье "Начало работы с Обозреватель службы хранилища".
На странице отслеживания пакетов выберите ... в правой части записи пакетов, которую вы хотите удалить, или щелкните его правой кнопкой мыши, а затем нажмите кнопку "Удалить".
# Delete a packet capture resource.
az network watcher packet-capture delete --location 'eastus' --name 'myVM_1'
Внимание
Удаление ресурса записи пакетов в Наблюдатель за сетями не удаляет файл записи из учетной записи хранения или виртуальной машины. Если файл записи больше не нужен, его необходимо удалить вручную из учетной записи хранения или виртуальной машины.
Сведения об анализе файла записи пакетов Наблюдатель за сетями с помощью Wireshark см. в статье "Проверка и анализ файлов записи пакетов Наблюдатель за сетями".
