Hantera paketinsamlingar med Azure Network Watcher

I den här artikeln får du lära dig hur du använder azure network watcher-paketinsamlingsfunktionen för att fjärr konfigurera, starta, stoppa, ladda ned och ta bort paketinsamlingar för virtuella datorer.

Förutsättningar

Portal

• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.

• En virtuell dator (VM) eller vm-skalningsuppsättning med utgående TCP-anslutning till: 169.254.169.254 via port 80 och 168.63.129.16 via port 8037. Vm-tillägget för Network Watcher-agenten använder dessa IP-adresser för att kommunicera med Azure-plattformen.

• Network Watcher Agent VM-tillägget installerat på den virtuella måldatorn. När du använder Network Watcher-paketinsamling i Azure Portal installeras agenten automatiskt på den virtuella måldatorn eller skalningsuppsättningen om den inte tidigare har installerats. Information om hur du uppdaterar en redan installerad agent finns i Uppdatera Azure Network Watcher-tillägget till den senaste versionen.

• Ett Azure Storage-konto med utgående TCP-anslutning till den virtuella datorn via port 443. Om du inte har något lagringskonto kan du läsa Skapa ett lagringskonto med hjälp av Azure Portal. Lagringskontot måste vara tillgängligt från undernätet för den virtuella måldatorn eller skalningsuppsättningen. Mer information finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk.

• Logga in på Azure Portal med ditt Azure-konto.

PowerShell

• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.

• En virtuell dator (VM) med utgående TCP-anslutning till: 169.254.169.254 via port 80 och 168.63.129.16 via port 8037. Vm-tillägget för Network Watcher-agenten använder dessa IP-adresser för att kommunicera med Azure-plattformen.

• Network Watcher Agent VM-tillägget installerat på den virtuella måldatorn. Mer information finns i Hantera VM-tillägget Network Watcher Agent för Windows eller Hantera VM-tillägget Network Watcher Agent för Linux.

• Ett Azure Storage-konto med utgående TCP-anslutning till den virtuella datorn via port 443. Om du inte har något lagringskonto kan du läsa Skapa ett lagringskonto med PowerShell. Lagringskontot måste vara tillgängligt från undernätet för den virtuella måldatorn eller skalningsuppsättningen. Mer information finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk.

• Azure Cloud Shell eller Azure PowerShell.

  Stegen i den här artikeln kör Azure PowerShell-cmdletarna interaktivt i Azure Cloud Shell. Om du vill köra kommandona i Cloud Shell väljer du Öppna Cloud Shell i det övre högra hörnet i ett kodblock. Välj Kopiera för att kopiera koden och klistra sedan in den i Cloud Shell för att köra den. Du kan också köra Cloud Shell inifrån Azure Portal.

  Du kan också installera Azure PowerShell lokalt för att köra cmdletarna. Den här artikeln kräver Az PowerShell-modulen. Mer information finns i Installera Azure PowerShell. Om du kör PowerShell lokalt loggar du in på Azure med hjälp av cmdleten Connect-AzAccount .

Azure CLI

• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.

• En virtuell dator (VM) med utgående TCP-anslutning till: 169.254.169.254 via port 80 och 168.63.129.16 via port 8037. Vm-tillägget för Network Watcher-agenten använder dessa IP-adresser för att kommunicera med Azure-plattformen.

• Network Watcher Agent VM-tillägget installerat på den virtuella måldatorn. Mer information finns i Hantera VM-tillägget Network Watcher Agent för Windows eller Hantera VM-tillägget Network Watcher Agent för Linux.

• Ett Azure Storage-konto med utgående TCP-anslutning till den virtuella datorn via port 443. Om du inte har något lagringskonto kan du läsa Skapa ett lagringskonto med Hjälp av Azure CLI. Lagringskontot måste vara tillgängligt från undernätet för den virtuella måldatorn eller skalningsuppsättningen. Mer information finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk.

• Azure Cloud Shell eller Azure CLI.

  Stegen i den här artikeln kör Azure CLI-kommandona interaktivt i Azure Cloud Shell. Om du vill köra kommandona i Cloud Shell väljer du Öppna Cloud Shell i det övre högra hörnet i ett kodblock. Välj Kopiera för att kopiera koden och klistra in den i Cloud Shell för att köra den. Du kan också köra Cloud Shell inifrån Azure Portal.

  Du kan också installera Azure CLI lokalt för att köra kommandona. Om du kör Azure CLI lokalt loggar du in på Azure med kommandot az login .

Kommentar

Azure skapar en Network Watcher-instans i den virtuella datorns region om Network Watcher inte har aktiverats för den regionen. Mer information finns i Aktivera eller inaktivera Azure Network Watcher.

Om en nätverkssäkerhetsgrupp är associerad med nätverksgränssnittet eller undernätet som nätverksgränssnittet finns i kontrollerar du att det finns regler för att tillåta utgående anslutning via de tidigare portarna. På samma sätt säkerställer du utgående anslutning via de tidigare portarna när du lägger till användardefinierade vägar i nätverket.

Starta en paketinsamling

Portal

Använd följande steg för att starta en avbildningssession:

1. I sökrutan överst i portalen anger du Network Watcher. Välj Network Watcher i sökresultatet.

   

2. Välj Paketinsamling under Verktyg för nätverksdiagnostik och välj sedan + Lägg till för att skapa en paketinsamling.

   

3. I Lägg till paketinsamling anger eller väljer du värden för följande inställningar:

   Inställning	Värde
   Grundläggande information
   Prenumeration	Välj den virtuella datorns Azure-prenumeration.
   Resursgrupp	Välj resursgruppen för den virtuella datorn.
   Måltyp	Välj Vm-dator eller VM-skalningsuppsättning.
   Skalningsuppsättning för virtuella måldatorer	Välj vm-skalningsuppsättningen. Det här alternativet är tillgängligt om du väljer Vm-skalningsuppsättning som måltyp.
   Målinstans	Välj den virtuella datorn eller skalningsuppsättningsinstansen.
   Namn på paketinsamling	Ange ett namn eller lämna standardnamnet.
   Konfiguration av paketinsamling
   Inspelningsplats	Välj Lagringskonto (standardalternativ), Fil eller Båda.
   Lagringskonto	Välj standardlagringskonto 1. Det här alternativet är tillgängligt om du väljer Lagringskonto eller Båda som avbildningsplats. Lagringskontot måste finnas i samma region som målinstansen.
   Sökväg till lokal fil	Ange en giltig lokal filsökväg där du vill att avbildningen ska sparas på den virtuella måldatorn. Om du använder en Linux-dator kan sökvägen börja med /var/captures. Om du använder en Windows-dator kan sökvägen börja med C:\Captures. Det här alternativet är tillgängligt om du väljer Arkiv eller Båda som avbildningsplats.
   Maximalt antal byte per paket	Ange det maximala antalet byte som ska samlas in per paket. Alla byte samlas in om de lämnas tomma eller 0 anges.
   Maximalt antal byte per session	Ange det totala antalet byte som samlas in. När värdet har nåtts stoppas paketinsamlingen. Upp till 1 GB samlas in om det lämnas tomt.
   Tidsgräns (sekunder)	Ange tidsgränsen för paketinsamlingssessionen i sekunder. När värdet har nåtts stoppas paketinsamlingen. Upp till 5 timmar (18 000 sekunder) registreras om det lämnas tomt.
   Filtrering (valfritt)
   Lägg till filtervillkor	Välj Lägg till filtervillkor för att lägga till ett nytt filter. Du kan definiera så många filter som du behöver.
   Protokoll	Filtrerar paketinsamlingen baserat på det valda protokollet. Tillgängliga värden är TCP, UDP eller Any.
   Lokal IP-adress2	Filtrerar paketinsamlingen för paket där den lokala IP-adressen matchar det här värdet.
   Lokal port2	Filtrerar paketinsamlingen för paket där den lokala porten matchar det här värdet.
   Fjärr-IP-adress2	Filtrerar paketinsamlingen för paket där fjärr-IP-adressen matchar det här värdet.
   Fjärrport2	Filtrerar paketinsamlingen för paket där fjärrporten matchar det här värdet.

   ¹ Premium-lagringskonton stöds för närvarande inte för lagring av paketinsamlingar.

   ² Port- och IP-adressvärden kan vara ett enda värde, ett intervall som 80–1024 eller flera värden som 80, 443.

4. Välj Starta paketinsamling.

   

5. Paketinsamlingen stoppas när tidsgränsen eller filstorleken (maximalt antal byte per session) har uppnåtts.

PowerShell

Om du vill starta en avbildningssession använder du cmdleten New-AzNetworkWatcherPacketCapture :

# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -ResourceGroupName 'myResourceGroup' -Name 'myVM'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -ResourceGroupName 'myResourceGroup' -Name 'mystorageaccount'

# Start the Network Watcher capture session.
New-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1' -TargetVirtualMachineId $vm.Id  -StorageAccountId $storageAccount.Id 

När avbildningssessionen har startats visas följande utdata:

ProvisioningState Name   BytesToCapturePerPacket TotalBytesPerSession TimeLimitInSeconds
----------------- ----   ----------------------- -------------------- ------------------
Succeeded         myVM_1 0                       1073741824           18000

I följande tabell beskrivs de valfria parametrar som du kan använda med cmdleten New-AzNetworkWatcherPacketCapture :

Parameter	description
-Filter	Lägg till filter för att endast samla in den trafik du vill ha. Du kan till exempel bara avbilda TCP-trafik från en specifik IP-adress till en specifik port.
-TimeLimitInSeconds	Ange den maximala varaktigheten för avbildningssessionen. Standardvärdet är 18 000 sekunder (5 timmar).
-BytesToCapturePerPacket	Ange det maximala antalet byte som ska samlas in per paket. Alla byte samlas in om de inte används eller 0 anges.
-TotalBytesPerSession	Ange det totala antalet byte som samlas in. När värdet har nåtts stoppas paketinsamlingen. Upp till 1 GB (1 073 741 824 byte) samlas in om de inte används.
-LocalFilePath	Ange en giltig lokal filsökväg om du vill att avbildningen ska sparas på den virtuella måldatorn (till exempel C:\Capture\myVM_1.cap). Om du använder en Linux-dator måste sökvägen börja med /var/captures.

Paketinsamlingen stoppas när tidsgränsen eller filstorleken (maximalt antal byte per session) har uppnåtts.

Azure CLI

Om du vill starta en avbildningssession använder du kommandot az network watcher packet-capture create :

# Start the Network Watcher capture session.
az network watcher packet-capture create --name 'myVM_1' --resource-group 'myResourceGroup' --vm 'myVM' --storage-account 'mystorageaccount'

# Start the Network Watcher capture session (storage account is in different resource group from the VM).
az network watcher packet-capture create --name 'myVM_1' --resource-group 'myResourceGroup' --vm 'myVM' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup2/providers/Microsoft.Storage/storageAccounts/mystorageaccount'

När avbildningssessionen har startats visas följande utdata:

{
  "bytesToCapturePerPacket": 0,
  "etag": "W/\"aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb\"",
  "filters": [],
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_eastus/packetCaptures/myVM_1",
  "name": "myVM_1",
  "provisioningState": "Succeeded",
  "resourceGroup": "NetworkWatcherRG",
  "scope": {
    "exclude": [],
    "include": []
  },
  "storageLocation": {
    "storageId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount",
    "storagePath": "https://mystorageaccount.blob.core.windows.net/network-watcher-logs/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2025/01/31/packetcapture_16_39_41_077.cap"
  },
  "target": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM",
  "targetType": "AzureVM",
  "timeLimitInSeconds": 18000,
  "totalBytesPerSession": 1073741824
}

I följande tabell beskrivs de valfria parametrar som du kan använda med kommandot az network watcher packet-capture create :

Parameter	description
--filters	Lägg till filter för att endast samla in den trafik du vill ha. Du kan till exempel bara avbilda TCP-trafik från en specifik IP-adress till en specifik port.
--time-limit	Ange den maximala varaktigheten för avbildningssessionen. Standardvärdet är 18 000 sekunder (5 timmar).
--capture-size	Ange det maximala antalet byte som ska samlas in per paket. Alla byte samlas in om de inte används eller 0 anges.
--capture-limit	Ange det totala antalet byte som samlas in. När värdet har nåtts stoppas paketinsamlingen. Upp till 1 GB (1 073 741 824 byte) samlas in om de inte används.
--file-path	Ange en giltig lokal filsökväg om du vill att avbildningen ska sparas på den virtuella måldatorn (till exempel C:\Capture\myVM_1.cap). Om du använder en Linux-dator måste sökvägen börja med /var/captures.

Paketinsamlingen stoppas när tidsgränsen eller filstorleken (maximalt antal byte per session) har uppnåtts.

Stoppa en paketinsamling

Portal

Om du vill stoppa en paketinsamlingssession manuellt innan den når sin tids- eller filstorleksgräns väljer du ellipsen ... till höger om paketinsamlingen eller högerklickar på den och väljer sedan Stoppa.

PowerShell

Om du vill stoppa en paketinsamlingssession manuellt innan den når sin tids- eller filstorleksgräns använder du cmdleten Stop-AzNetworkWatcherPacketCapture .

# Manually stop a packet capture session.
Stop-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'

Kommentar

Cmdleten returnerar inte något svar oavsett om det kördes på en avbildningssession som körs eller en session som redan har stoppats.

Azure CLI

Om du vill stoppa en paketinsamlingssession manuellt innan den når sin tids- eller filstorleksgräns använder du kommandot az network watcher packet-capture stop .

# Manually stop a packet capture session.
az network watcher packet-capture stop --location 'eastus' --name 'myVM_1'

Kommentar

Kommandot returnerar inte något svar oavsett om det kördes på en avbildningssession som körs eller en session som redan har stoppats.

Visa paketinsamlingsstatus

Portal

Gå till sidan Paketinsamling i Network Watcher om du vill visa en lista över befintliga paketinsamlingar oavsett status.

PowerShell

Använd cmdleten Get-AzNetworkWatcherPacketCapture för att hämta statusen för en paketinsamling (körs eller slutförs).

# Get information, properties, and status of a packet capture.
Get-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'

Följande utdata är ett exempel på utdata från cmdleten Get-AzNetworkWatcherPacketCapture . Följande exempel är när avbildningen har slutförts. Värdet PacketCaptureStatus är Stoppad med en StopReason för TimeExceeded. Det här värdet visar att paketinsamlingen lyckades och körde dess tid.

ProvisioningState Name   Target                                                                                                                              BytesToCapturePerPacket TotalBytesPerSession TimeLimitInSeconds
----------------- ----   ------                                                                                                                              ----------------------- -------------------- ------------------
Succeeded         myVM_1 /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM 0                       1073741824           18000

Kommentar

Om du vill få mer information i utdata lägger du till | Format-List i slutet av kommandot.

Azure CLI

Använd kommandot az network watcher packet-capture show-status för att hämta statusen för en paketinsamling (körs eller slutförs).

# Get information, properties, and status of a packet capture.
az network watcher packet-capture show-status --location 'eastus' --name 'myVM_1'

Följande exempel är utdata från az network watcher packet-capture show-status kommandot. Du kan se att värdet packetCaptureStatus är Stoppat med värdet StopReason för TimeExceeded:

{
  "additionalProperties": {
    "status": "Succeeded"
  },
  "captureStartTime": "2016-12-06T17:20:01.5671279Z",
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_eastus/packetCaptures/myVM_1",
  "name": "packetCaptureName",
  "packetCaptureError": [],
  "packetCaptureStatus": "Stopped",
  "stopReason": "TimeExceeded"
}

Ladda ned en paketinsamling

Portal

När du har avslutat paketinsamlingssessionen sparas den resulterande avbildningsfilen i Azure Storage, en lokal fil på den virtuella måldatorn eller båda. Lagringsmålet för paketinsamlingen anges när det skapas. Mer information finns i Avsnittet Starta en paketinsamling .

Följ dessa steg för att ladda ned en paketinsamlingsfil som sparats i Azure Storage:

1. På sidan Paketinsamling väljer du den paketinsamling som du vill ladda ned filen.

2. I avsnittet Information väljer du länken för paketinsamlingsfilen.

   

3. På blobsidan väljer du Ladda ned.

Kommentar

Du kan också ladda ned avbildningsfiler från lagringskontocontainern med hjälp av Azure Portal eller Storage Explorer¹ på följande sökväg:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

¹ Storage Explorer är en fristående app som du enkelt kan använda för att komma åt och arbeta med Azure Storage-data. Mer information finns i Kom igång med Storage Explorer.

Om du vill ladda ned en paketinsamlingsfil som sparats på den virtuella datorn ansluter du till den virtuella datorn och laddar ned filen från den lokala sökväg som angavs när paketinsamlingen skapades.

PowerShell

När du har avslutat paketinsamlingssessionen sparas den resulterande avbildningsfilen i Azure Storage, en lokal fil på den virtuella måldatorn eller båda. Lagringsmålet för paketinsamlingen anges när det skapas. Mer information finns i Avsnittet Starta en paketinsamling .

Om ett lagringskonto anges sparas avbildningsfiler till lagringskontot på följande sökväg:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

Om du vill ladda ned en paketinsamling från Azure Storage till den lokala disken använder du cmdleten Get-AzStorageBlobContent :

# Download the packet capture file from Azure storage container.
Get-AzStorageBlobContent -Container 'network-watcher-logs' -Blob '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' -Destination 'C:\Capture\myVM_1.cap'

Kommentar

Du kan också ladda ned avbildningsfilen från lagringskontocontainern med hjälp av Azure Storage Explorer. Storage Explorer är en fristående app som du enkelt kan använda för att komma åt och arbeta med Azure Storage-data. Mer information finns i Kom igång med Storage Explorer.

Azure CLI

När du har avslutat paketinsamlingssessionen sparas den resulterande avbildningsfilen i Azure Storage, en lokal fil på den virtuella måldatorn eller båda. Lagringsmålet för paketinsamlingen anges när det skapas. Mer information finns i Avsnittet Starta en paketinsamling .

Om ett lagringskonto anges sparas avbildningsfiler till lagringskontot på följande sökväg:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

Om du vill ladda ned en paketinsamling från Azure Storage till den lokala disken använder du kommandot az storage blob download :

# Download the packet capture file from Azure storage container.
az storage blob download --container-name 'network-watcher-logs' --blob-url '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' --file 'C:\Capture\myVM_1.cap'

Kommentar

Du kan också ladda ned avbildningsfilen från lagringskontocontainern med hjälp av Azure Storage Explorer. Storage Explorer är en fristående app som du enkelt kan använda för att komma åt och arbeta med Azure Storage-data. Mer information finns i Kom igång med Storage Explorer.

Ta bort en paketinsamling

Portal

1. På sidan Paketinsamling väljer du ... till höger om paketinsamlingen som du vill ta bort, eller högerklickar på den och väljer sedan Ta bort.

   

2. Välj Ja.

PowerShell

Använd Remove-AzNetworkWatcherPacketCapture för att ta bort en paketinsamlingsresurs.

# Delete a packet capture resource.
Remove-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'

Azure CLI

Använd az network watcher packet-capture delete för att ta bort en paketinsamlingsresurs.

# Delete a packet capture resource.
az network watcher packet-capture delete --location 'eastus' --name 'myVM_1'

Viktigt!

Om du tar bort paketinsamlingsresursen i Network Watcher tas inte avbildningsfilen bort från lagringskontot eller den virtuella datorn. Om du inte längre behöver avbildningsfilen måste du ta bort den manuellt från lagringskontot eller den virtuella datorn.

Relaterat innehåll

• Information om hur du automatiserar paketinsamlingar med aviseringar för virtuella datorer finns i Skapa en avisering som utlöses av paketinsamling.

• Information om hur du analyserar en Network Watcher-paketinsamlingsfil med wireshark finns i Granska och analysera insamlingsfiler för Network Watcher-paket.