Teilen über


Verwalten von Paketerfassungen für virtuelle Computer mit Azure Network Watcher über das Azure-Portal

Mit dem Tool zum Erfassen von Netzwerküberwachungspaketen können Sie Aufzeichnungssitzungen erstellen, um Netzwerkdatenverkehr zu und von einem virtuellen Azure-Computer (VM) aufzuzeichnen. Für die Erfassungssitzung werden Filter bereitgestellt, um sicherzustellen, dass nur der gewünschte Datenverkehr erfasst wird. Mithilfe der Paketerfassung können Sie Netzwerkanomalien sowohl reaktiv als auch proaktiv diagnostizieren. Seine Anwendungen erweitern sich über die Anomalieerkennung hinaus, um Netzwerkstatistiken zu sammeln, Einblicke in Netzwerkangriffe zu erhalten, Clientserverkommunikation zu debuggen und verschiedene andere Netzwerkprobleme zu bewältigen. Mit der Network Watcher-Paketerfassung können Sie Paketerfassungen remote initiieren und die Notwendigkeit der manuellen Ausführung auf einem bestimmten virtuellen Computer lösen.

In diesem Artikel erfahren Sie, wie Sie mithilfe des Azure-Portals remote konfigurieren, starten, beenden, herunterladen und löschen können. Informationen zum Verwalten von Paketerfassungen mithilfe von PowerShell oder Azure CLI finden Sie unter Verwalten von Paketerfassungen für virtuelle Computer mithilfe von PowerShell oder Verwalten von Paketerfassungen für virtuelle Computer mithilfe der Azure CLI.

Voraussetzungen

  • Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
  • Ein virtueller Computer mit der folgenden ausgehenden TCP-Verbindung:
    • zum Speicherkonto über Port 443
    • mit 169.254.169.254 über Port 80
    • mit 168.63.129.16 über Port 8037

Hinweis

  • Azure erstellt eine Network Watcher-Instanz in der Region des virtuellen Computers, wenn die Netzwerküberwachung für diese Region nicht aktiviert war. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren von Azure Network Watcher.
  • Für die Netzwerküberwachungspaketerfassung muss die VM-Erweiterung des Network Watcher-Agents auf dem virtuellen Zielcomputer installiert werden. Wann immer Sie die Network Watcher-Paketerfassung im Azure-Portal verwenden, wird der Agent automatisch für die Ziel-VM oder -Skalierungsgruppe installiert, falls er zuvor noch nicht installiert wurde. Informationen zum Aktualisieren eines bereits installierten Agents finden Sie unter Aktualisieren der Azure Network Watcher-Erweiterung auf die neueste Version. Informationen zum manuellen Installieren des Agents finden Sie unter Network Watcher Agent VM-Erweiterung für Linux oder Network Watcher Agent VM-Erweiterung für Windows.
  • Die letzten beiden IP-Adressen und Ports, die in den Voraussetzungen aufgeführt sind, sind in allen Netzwerküberwachungstools gemeinsam, die den Network Watcher-Agent verwenden und sich gelegentlich ändern können.

Wenn eine Netzwerksicherheitsgruppe der Netzwerkschnittstelle oder einem Subnetz, in dem sich die Netzwerkschnittstelle befindet, zugeordnet ist, stellen Sie sicher, dass Regeln definiert sind, um ausgehende Verbindungen über die oben genannten Ports zuzulassen. Stellen Sie ebenso die ausgehende Konnektivität über die vorherigen Ports sicher, wenn Sie Ihrem Netzwerk benutzerdefinierte Routen hinzufügen.

Starten einer Paketerfassung

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie Network Watcher aus den Suchergebnissen aus.

    Screenshot: Suchen von Network Watcher im Azure-Portal.

  3. Wählen Sie unter Netzwerkdiagnosetools die Option Paketerfassung aus. Alle vorhandenen Paketerfassungen werden unabhängig von ihrem Status aufgelistet.

    Screenshot: Network Watcher-Paketerfassung im Azure-Portal.

  4. Wählen Sie + Hinzufügen aus, um eine Paketerfassung zu erstellen. Geben Sie unter Paketerfassung hinzufügen Werte für die folgenden Einstellungen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Grundlegende Informationen
    Subscription Wählen Sie das Azure-Abonnement des virtuellen Computers aus.
    Resource group Wählen Sie die Ressourcengruppe des virtuellen Computers aus.
    Zieltyp Klicken Sie auf Virtuelle Computer.
    Zielinstanz Wählen Sie den virtuellen Computer aus.
    Paketerfassungsname Geben Sie einen Namen ein, oder übernehmen Sie den Standardnamen.
    Konfiguration der Paketerfassung
    Erfassungsort Wählen Sie Speicherkonto, Datei oder Beides aus.
    Speicherkonto Wählen Sie Ihr Standard-Speicherkonto1 aus.
    Diese Option ist verfügbar, wenn Sie Speicherkonto oder Beide als Aufnahmespeicherort ausgewählt haben.
    Lokaler Dateipfad Geben Sie einen gültigen lokalen Dateipfad ein, in dem die Erfassung auf dem virtuellen Zielcomputer gespeichert werden soll. Bei einem Linux-Computer muss der Pfad mit /var/captures beginnen.
    Diese Option ist verfügbar, wenn Sie Datei oder Beide als Aufnahmespeicherort ausgewählt haben.
    Maximale Anzahl von Bytes pro Paket Geben Sie die maximale Anzahl von Bytes ein, die pro Paket erfasst werden sollen. Wenn Sie keinen Wert oder 0 eingeben, werden alle Bytes erfasst.
    Maximale Anzahl von Bytes pro Sitzung Geben Sie die Gesamtzahl der erfassten Bytes ein. Wenn dieser Wert erreicht wird, wird die Paketerfassung beendet. Wenn Sie keinen Wert eingeben, wird bis zu 1 GB erfasst.
    Zeitlimit (Sekunden) Geben Sie das Zeitlimit der Paketerfassungssitzung in Sekunden ein. Wenn dieser Wert erreicht wird, wird die Paketerfassung beendet. Wenn Sie keinen Wert eingeben, werden bis zu 5 Stunden (18.000 Sekunden) erfasst.
    Filterung (optional)
    Filterkriterien hinzufügen Wählen Sie Filterkriterien hinzufügen aus, um einen neuen Filter hinzuzufügen. Sie können beliebig viele Filter definieren.
    Protokoll Filtert die Paketerfassung basierend auf dem ausgewählten Protokoll. Die verfügbaren Werte sind TCP, UDP und Alle.
    Lokale IP-Adresse2 Filtert die Paketerfassung für Pakete, deren lokale IP-Adresse mit diesem Wert übereinstimmt.
    Lokaler Port2 Filtert die Paketerfassung nach Paketen, deren lokaler Port mit diesem Wert übereinstimmt.
    Remote-IP-Adresse2 Filtert die Paketerfassung nach Paketen, deren Remote-IP-Adresse mit diesem Wert übereinstimmt.
    Remoteport2 Filtert die Paketerfassung nach Paketen, deren Remoteport mit diesem Wert übereinstimmt.

    1 Für Storage Premium-Konten wird das Speichern von Paketerfassungen derzeit nicht unterstützt.

    2 Port- und IP-Adresswerte können ein einzelner Wert, ein Bereich wie 80-1024 oder mehrere Werte wie 80, 443 sein.

  5. Wählen Sie Paketerfassung starten aus.

    Screenshot: Hinzufügen der Paketerfassung im Azure-Portal mit verfügbaren Optionen.

  6. Wenn das für die Paketerfassung festgelegte Zeitlimit erreicht ist, wird die Paketerfassung beendet und kann überprüft werden. Wenn Sie eine Paketerfassungssitzung manuell beenden möchten, bevor sie ihr Zeitlimit erreicht, wählen Sie die ... auf der rechten Seite der Paketerfassung aus, oder klicken Sie mit der rechten Maustaste darauf, und wählen Sie dann Beendenaus.

    Screenshot: Beenden einer Paketerfassung im Azure-Portal.

Herunterladen einer Paketerfassung

Nach Abschluss der Paketerfassungssitzung wird die resultierende Aufnahmedatei im Azure-Speicher, als lokale Datei auf dem virtuellen Zielcomputer oder an beiden Orten gespeichert. Das Speicherziel für die Paketerfassung wird während der Erstellung angegeben. Weitere Informationen finden Sie unter Starten einer Paketerfassung.

Führen Sie die folgenden Schritte aus, um eine Paketerfassungsdatei herunterzuladen, die in Azure Storage gespeichert ist:

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie oben im Portal im Suchfeld Network Watcher ein, und wählen Sie dann in den Suchergebnissen Network Watcher aus.

  3. Wählen Sie unter Netzwerkdiagnosetools die Option Paketerfassung aus.

  4. Wählen Sie auf der Seite Paketerfassung die Paketaufnahme aus, deren Sie Datei herunterladen möchten.

  5. Wählen Sie im Abschnitt Details den Link „Paketerfassungsdatei“ aus.

    Screenshot: Auswählen der Paketerfassungsdatei im Azure-Portal.

  6. Wählen Sie auf der Blobseite Herunterladen aus.

Hinweis

Sie können die Erfassungsdateien auch über das Azure-Portal oder den Storage-Explorer1 im folgenden Pfad aus dem Speicherkontocontainer herunterladen:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

1 Der Storage-Explorer ist eine eigenständige App, mit der Sie bequem auf Azure Storage-Daten zugreifen und diese verwenden können. Weitere Informationen finden Sie unter Erste Schritte mit dem Storage-Explorer.

Zum Herunterladen einer Paketerfassungsdatei, die auf dem virtuellen Computer (VM) gespeichert ist, stellen Sie eine Verbindung mit dem virtuellen Computer her, und laden Sie die Datei aus dem lokalen Pfad herunter, der während der Paketerfassung angegeben wird.

Löschen einer Paketerfassung

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie oben im Portal im Suchfeld Network Watcher ein, und wählen Sie dann in den Suchergebnissen Network Watcher aus.

  3. Wählen Sie unter Netzwerkdiagnosetools die Option Paketerfassung aus.

  4. Wählen Sie auf der Seite Paketerfassung rechts neben der Paketerfassung, die Sie löschen möchten, die Option ... aus, oder klicken Sie mit der rechten Maustaste darauf, und wählen Sie dann Löschen aus.

    Screenshot: Löschen einer Paketerfassung aus Network Watcher im Azure-Portal.

  5. Wählen Sie Ja aus.

Wichtig

Das Löschen einer Paketerfassung in Network Watcher löscht die Aufnahmedatei nicht aus dem Speicherkonto oder dem virtuellen Computer. Wenn Sie die Aufnahmedatei nicht mehr benötigen, müssen Sie sie manuell aus dem Speicherkonto löschen, um Speicherkosten zu vermeiden.