通过

使用门户通过 Azure 网络观察程序管理虚拟机规模集中的数据包捕获

  • 项目

通过网络观察者的数据包捕获功能,您可以创建捕获会话以跟踪虚拟机规模集实例的进出流量。 为捕获会话提供了筛选器,以确保只捕获所需的流量。 数据包捕获有助于主动和主动诊断网络异常。 其他用途包括收集网络统计信息、获取有关网络入侵的信息、调试客户端服务器通信等。 能够远程触发数据包捕获,从而减轻在所需虚拟机规模集实例/(s)上手动运行数据包捕获的负担,从而节省宝贵的时间。

本文介绍如何启动、停止、下载和删除数据包捕获。

开始之前

数据包捕获需要以下出站 TCP 连接:

  • 通过端口 443 到所选存储帐户
  • 到端口 80 的 169.254.169.254
  • 到 168.63.129.16 的端口 8037

注意

上述两种情况中提到的端口在所有涉及网络观察程序扩展且偶尔可能会更改的网络观察程序功能中很常见。

如果网络安全组关联到网络接口或网络接口所属的子网,请确保存在允许以前的端口的规则。 同样,将用户定义的流量路由添加到网络可能会阻止连接到上述 IP 和端口。 确保可以联系到他们。

启动数据包捕获

  1. 在浏览器中,导航到 Azure 门户 并选择 所有服务,然后在 网络部分中选择 网络观察程序

  2. 网络诊断工具下选择 数据包捕获。 无论现有数据包捕获的状态如何,都会列出。

  3. 选择 ,添加 来创建数据包捕获。 可以为以下属性选择值:

    • 订阅:您要创建数据包捕获的虚拟机规模集所处的订阅。

    • 资源组:虚拟机规模集的资源组。

    • 目标类型:从下拉列表中选择虚拟机规模集。

    • 目标实例:要运行捕获的特定实例。 如果要在所有实例上运行捕获,可以选择“全部选择”。

    • 数据包捕获名称:名称会自动填充,用户可以根据需要进行更改。

    • 存储帐户或文件:选择 存储帐户文件或两者。 建议的选项是选择存储帐户选项。 如果选择 文件,则会将捕获写入虚拟机实例中的路径。

    • 存储帐户:如果选择了 存储帐户,请选择现有存储帐户。 仅当选择 存储时,此选项才可用。

    • 本地文件路径:将保存数据包捕获的虚拟机上的本地路径(仅在选择 文件 时才有效)。 路径必须是有效的路径。 如果使用 Linux 虚拟机规模集,路径必须以 /var/captures开头。

      注意

      用于存储数据包捕获的高级存储帐户目前不受支持。

    • 每个数据包的最大字节数:捕获的每个数据包中的字节数。 如果留空,则捕获所有字节。

    • 每个会话的最大字节数:捕获的字节总数。 默认情况下,值为 1.07 GB

    • 时间限制(秒):数据包捕获停止前的时间限制。 默认值为 18,000 秒(5 小时)。

    • 筛选(可选)。 选择“+ 添加筛选器

      • 协议:用于筛选数据包捕获的协议。 可用值为 TCP、UDP 和 Any。
      • 本地 IP 地址:用于过滤数据包捕获,以确保本地 IP 地址与此值匹配。
      • 本地端口:筛选本地端口与此值匹配的数据包捕获。
      • 远程 IP 地址:筛选数据包捕获,以匹配远程 IP 地址与此值的数据包。
      • 远程端口:用于筛选远程端口与此值匹配的数据包的捕获。

      注意

      端口和 IP 地址值可以是单个值、值范围,也可以是端口的 80-1024 等范围。 可以根据需要定义任意数量的筛选器。

  4. 选择“确定”

数据包捕获设置的时间限制过期后,数据包捕获将停止,并可以查看。 还可以手动停止数据包捕获会话。

注意

门户会自动:

  • 如果该区域还没有网络观察程序,则创建与所选虚拟机规模集所在的区域相同的区域中的网络观察程序。
  • AzureNetworkWatcherExtension Linux 或 Windows 添加到虚拟机规模集(如果尚未安装)。

删除数据包捕获

  1. 在数据包捕获视图中,选择数据包捕获右侧 ...,或右键单击现有数据包捕获,然后选择 删除
  2. 系统会要求你确认要删除数据包捕获。 选择 “是”

注意

删除数据包捕获不会删除存储帐户或虚拟机规模集实例/(s)中的捕获文件。

停止数据包捕获

在数据包捕获视图中,选择数据包捕获右侧的 ...,或右键单击现有数据包捕获,然后选择 停止

下载数据包抓取文件

数据包捕获会话完成后,捕获文件将上传到 Blob 存储或虚拟机规模集实例上的本地文件。 数据包捕获的存储位置是在创建数据包捕获期间定义的。 访问保存到存储帐户的捕获文件的便捷工具是 Microsoft Azure 存储资源管理器,您可以 下载

如果指定了存储帐户,数据包捕获文件将保存到以下位置的存储帐户:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{VMName}/{year}/{month}/{day}/packetCapture_{creationTime}.cap

如果在创建捕获时选择了 文件,则可以从虚拟机规模集实例上配置的路径查看或下载文件。

后续步骤