Administración de capturas de paquetes en máquinas virtuales con Azure Network Watcher mediante Azure Portal

La herramienta de captura de paquetes de Network Watcher permite crear sesiones de captura para registrar el tráfico de red hacia y desde máquinas virtuales (VM) de Azure. La sesión de captura cuenta con filtros para asegurarse de capturar solo el tráfico que se desea. La captura de paquetes ayuda a diagnosticar anomalías de red, tanto de forma reactiva como proactiva. Sus aplicaciones se extienden más allá de la detección de anomalías para incluir la recopilación de estadísticas de red, la adquisición de información sobre intrusiones de red, la depuración de la comunicación entre cliente y servidor, así como la solución de otros desafíos de red. La captura de paquetes de Network Watcher permite iniciar capturas de paquetes de forma remota, lo que reduce la necesidad de ejecución manual en máquinas virtuales específicas.

En este artículo, aprenderá a configurar, iniciar, detener, descargar y eliminar de forma remota una captura de paquetes de máquina virtual con Azure Portal. Para obtener información sobre cómo administrar capturas de paquetes mediante PowerShell o la CLI de Azure, consulte Administración de capturas de paquetes para máquinas virtuales mediante PowerShell o Administración de capturas de paquetes para máquinas virtuales mediante la CLI de Azure.

Requisitos previos

• Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
• Una máquina virtual con la conectividad TCP de salida siguiente:
  • a la cuenta de almacenamiento en el puerto 443
  • a 169.254.169.254 a través del puerto 80
  • a 168.63.129.16 a través del puerto 8037

Nota:

• Azure crea una instancia de Network Watcher en la región de la máquina virtual si Network Watcher no se habilitó para esa región. Para obtener más información, consulte Habilitar o deshabilitar Azure Network Watcher.
• La captura de paquetes de Network Watcher requiere que se instale la extensión de la máquina virtual del agente de Network Watcher en la máquina virtual de destino. Siempre que use la captura de paquetes de Network Watcher en Azure Portal, el agente se instalará automáticamente en la máquina virtual de destino o en el conjunto de escalado si no se instaló anteriormente. Para actualizar un agente que ya esté instalado, consulte Actualizar la extensión de Azure Network Watcher a la versión más reciente. Para instalar manualmente el agente, consulte Extensión de máquina virtual del agente de Network Watcher para Linux o Extensión de máquina virtual del agente de Network Watcher para Windows.
• Las dos últimas direcciones IP y puertos enumerados en los Requisitos previos son comunes en todas las herramientas de Network Watcher que usan el agente de Network Watcher y podrían cambiar ocasionalmente.

Si un grupo de seguridad de red está asociado a la interfaz de red o a una subred en la que se encuentra la interfaz de red, asegúrese de que existen reglas que permiten la conectividad de salida a través de los puertos anteriores. Del mismo modo, garantice la conectividad de salida a través de los puertos anteriores al agregar a la red rutas definidas por el usuario.

Inicio de una captura de paquetes

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Network Watcher. En los resultados de la búsqueda, seleccione Network Watcher.

   

3. Seleccione Captura de paquetes en Herramientas de diagnóstico de red. Se muestran las capturas de paquetes existentes, independientemente de su estado.

   

4. Seleccione + Agregar para crear una captura de paquetes. En Agregar captura de paquetes, escriba o seleccione valores para las configuraciones siguientes:

   Configuración	Value
   Detalles básicos
   Suscripción	Seleccione la suscripción de Azure de la máquina virtual.
   Resource group	Seleccione el grupo de recursos de la máquina virtual.
   Tipo de destino	Seleccione Máquina virtual.
   Instancia de destino	Seleccione la máquina virtual.
   Nombre de la captura de paquetes	Escriba un nombre o deje el nombre predeterminado.
   Configuración de captura de paquetes
   Ubicación de captura	Seleccione Cuenta de almacenamiento, Archivo o Ambos.
   Cuenta de almacenamiento	Seleccione la cuenta de almacenamiento estándar1. Esta opción está disponible si seleccionó Cuenta de almacenamiento o Ambos como ubicación de captura.
   Ruta de acceso de archivo local	Escriba una ruta de acceso de archivo local válida en la que desea que se guarde la captura en la máquina virtual de destino. Si usa una máquina Linux, la ruta de acceso debe comenzar con /var/captures. Esta opción está disponible si seleccionó Archivo o Ambos como ubicación de captura.
   Número máximo de bytes por paquete	Escriba el número máximo de bytes que se capturarán por cada paquete. Si deja el valor en blanco o escribe 0, se capturarán todos los bytes.
   Número máximo de bytes por sesión	Escriba el número total de bytes que se capturan. Una vez que se alcanza el valor, la captura de paquetes se detiene. Si deja el valor en blanco, se captura hasta 1 GB.
   Límite de tiempo (segundos)	Escriba el límite de tiempo de la sesión de captura de paquetes en segundos. Una vez que se alcanza el valor, la captura de paquetes se detiene. Si se deja el valor en blanco, se captura hasta 5 horas (18 000 segundos).
   Filtrado (opcional)
   Agregar criterios de filtro	Seleccione Agregar criterios de filtro para agregar un filtro nuevo. Puede definir tantos filtros como desee.
   Protocolo	Filtra la captura de paquetes en función del protocolo seleccionado. Los valores disponibles son TCP, UDP o Cualquiera.
   Dirección IP local2	filtra la captura de paquetes para los paquetes en los que la dirección IP local coincide con este valor.
   Puerto local2	filtra la captura de paquetes para los paquetes en los que el puerto local coincide con este valor.
   Dirección IP remota2	filtra la captura de paquetes para los paquetes en los que la dirección IP remota coincide con este valor.
   Puerto remoto2	filtra la captura de paquetes para los paquetes en los que el puerto remoto coincide con este valor.

   ¹ Actualmente, las cuentas de almacenamiento Premium no se admiten para almacenar capturas de paquetes.

   ² Los valores de dirección IP y puerto pueden ser un solo valor, un rango como 80-1024 o varios valores como 80, 443.

5. Seleccione Iniciar captura de paquetes.

   

6. Una vez que se complete el límite de tiempo establecido en la captura de paquetes, esta se detiene y se puede revisar. Para detener manualmente una sesión de captura de paquetes antes de que alcance su límite de tiempo, seleccione … en el lado derecho de la captura de paquetes o haga clic con el botón derecho en ella y, a continuación, seleccione Detener.

   

Descarga de una captura de paquetes

Una vez finalizada la sesión de captura de paquetes, el archivo de captura resultante se guardará en Azure Storage, un archivo local en la máquina virtual de destino o en ambos. El destino de almacenamiento de la captura de paquetes se especifica durante su creación. Para obtener más información, consulte Iniciar capturas de paquetes.

Para descargar un archivo de captura de paquetes guardado en Azure Storage, siga estos pasos:

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda que se encuentra en la parte superior del portal, escriba Network Watcher y seleccione Network Watcher en los resultados de la búsqueda.

3. Seleccione Captura de paquetes en Herramientas de diagnóstico de red.

4. En la página Captura de paquetes, seleccione la captura de paquetes de la que desee descargar el archivo.

5. En la sección Detalles, seleccione el vínculo del archivo de captura de paquetes.

   

6. En la página del blob, seleccione Descargar.

Nota:

También es posible descargar los archivos de captura desde el contenedor de la cuenta de almacenamiento mediante Azure Portal o el Explorador de Storage¹ en la siguiente ruta de acceso:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

¹ Explorador de Storage es una aplicación independiente que se puede usar convenientemente para acceder a los datos de Azure Storage y trabajar con ellos. Para obtener más información, consulte Introducción a Explorador de Storage.

Para descargar un archivo de captura de paquetes guardado en la máquina virtual (VM), conéctese a esta y descárguelo de la ruta de acceso local especificada durante la creación de la captura de paquetes.

Eliminación de una captura de paquetes

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda que se encuentra en la parte superior del portal, escriba Network Watcher y seleccione Network Watcher en los resultados de la búsqueda.

3. Seleccione Captura de paquetes en Herramientas de diagnóstico de red.

4. En la página Captura de paquetes, seleccione … en el lado derecho de la captura de paquetes que desea eliminar, o bien haga clic con el botón derecho en ella y, a continuación, seleccione Eliminar.

   

5. Seleccione Sí.

Importante

La eliminación de una captura de paquetes en Network Watcher no elimina el archivo de captura de la cuenta de almacenamiento o la máquina virtual. Si el archivo de captura ya no fuese necesario, deberá eliminarlo manualmente de la cuenta de almacenamiento para evitar ocasionar costes de almacenamiento.

Contenido relacionado

• Para obtener más información sobre cómo automatizar capturas de paquetes con las alertas de máquina virtual, consulte cómo crear una captura de paquetes desencadenada por alertas.
• Para aprender a analizar un archivo de captura de paquetes de Network Watcher mediante Wireshark, consulte Inspección y análisis de archivos de captura de paquetes de Network Watcher.