Virtuális gépek csomagrögzítéseinek kezelése az Azure Network Watcherrel az Azure CLI használatával

A Network Watcher csomagrögzítési eszköze lehetővé teszi rögzítési munkamenetek létrehozását az Azure-beli virtuális gépek (virtuális gépek) felé és onnan érkező hálózati forgalom rögzítéséhez. A rögzítési munkamenethez szűrők biztosítják, hogy csak a kívánt forgalmat rögzítse. A csomagrögzítés segít a hálózati rendellenességek újraaktív és proaktív diagnosztizálásában. Alkalmazásai az anomáliadetektáláson túl kiterjednek a hálózati statisztikák gyűjtésére, a hálózati behatolások elemzésére, az ügyfél-kiszolgáló kommunikáció hibakeresésére és a különböző hálózati kihívások kezelésére. A Network Watcher csomagrögzítésével távolról kezdeményezhet csomagrögzítéseket, így egy adott virtuális gépen manuális végrehajtásra van szükség.

Ebből a cikkből megtudhatja, hogyan konfigurálhat, indíthat el, állíthat le, tölthet le és törölhet virtuálisgép-csomagrögzítést az Azure PowerShell használatával. Ha tudni szeretné, hogyan kezelheti a csomagrögzítéseket az Azure Portal vagy az Azure CLI használatával, olvassa el a virtuális gépek csomagrögzítéseinek kezelése az Azure Portalon vagy a virtuális gépek csomagrögzítéseinek kezelése a PowerShell használatával című témakört.

Előfeltételek

• Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.

• Azure Cloud Shell vagy Azure CLI.

  A cikk lépései interaktív módon futtatják az Azure CLI-parancsokat az Azure Cloud Shellben. A Cloud Shell parancsainak futtatásához válassza a Kódblokk jobb felső sarkában található Open Cloud Shell lehetőséget. Válassza a Másolás lehetőséget a kód másolásához, majd illessze be a Cloud Shellbe a futtatáshoz. A Cloud Shellt az Azure Portalon is futtathatja.

  A parancsok futtatásához helyileg is telepítheti az Azure CLI-t. Ha helyileg futtatja az Azure CLI-t, jelentkezzen be az Azure-ba az az login paranccsal.

• A következő kimenő TCP-kapcsolattal rendelkező virtuális gép:

  • a tárfiókba a 443-as porton keresztül
  • a 169.254.169.254-hez a 80-s porton keresztül
  • 168.63.129.16-ra a 8037-ös porton keresztül

Feljegyzés

• Az Azure létrehoz egy Network Watcher-példányt a virtuális gép régiójában, ha a Network Watcher nincs engedélyezve az adott régióban. További információ: Az Azure Network Watcher engedélyezése vagy letiltása.
• A Network Watcher csomagrögzítéséhez a Network Watcher-ügynök virtuálisgép-bővítményét telepíteni kell a cél virtuális gépre. További információ: Network Watcher-ügynök telepítése.
• Az előfeltételekben felsorolt utolsó két IP-cím és port gyakori az összes Network Watcher-eszközben, amely a Network Watcher-ügynököt használja, és időnként változhat.

Ha a hálózati adapterhez vagy alhálózathoz hálózati biztonsági csoport van társítva, győződjön meg arról, hogy léteznek olyan szabályok, amelyek engedélyezik a kimenő kapcsolatot az előző portokon. Hasonlóképpen biztosítson kimenő kapcsolatot az előző portokon, amikor felhasználó által megadott útvonalakat ad hozzá a hálózathoz.

A Network Watcher-ügynök telepítése

1. lépés

Futtassa a parancsot a az vm extension set csomagrögzítési ügynök telepítéséhez a vendég virtuális gépen.

Windows rendszerű virtuális gépek esetén:

az vm extension set --resource-group resourceGroupName --vm-name virtualMachineName --publisher Microsoft.Azure.NetworkWatcher --name NetworkWatcherAgentWindows --version 1.4

Linux rendszerű virtuális gépek esetén:

az vm extension set --resource-group resourceGroupName --vm-name virtualMachineName --publisher Microsoft.Azure.NetworkWatcher --name NetworkWatcherAgentLinux --version 1.4

2. lépés

Az ügynök telepítésének biztosításához futtassa a vm extension show parancsot, és adja át neki az erőforráscsoportot és a virtuális gép nevét. Ellenőrizze az eredményül kapott listát, hogy az ügynök telepítve van-e.

Windows rendszerű virtuális gépek esetén:

az vm extension show --resource-group resourceGroupName --vm-name virtualMachineName --name NetworkWatcherAgentWindows

Linux rendszerű virtuális gépek esetén:

az vm extension show --resource-group resourceGroupName --vm-name virtualMachineName --name AzureNetworkWatcherExtension

Az alábbi minta egy példa a futtatásból származó válaszra az vm extension show

{
  "autoUpgradeMinorVersion": true,
  "forceUpdateTag": null,
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{vmName}/extensions/NetworkWatcherAgentWindows",
  "instanceView": null,
  "location": "westcentralus",
  "name": "NetworkWatcherAgentWindows",
  "protectedSettings": null,
  "provisioningState": "Succeeded",
  "publisher": "Microsoft.Azure.NetworkWatcher",
  "resourceGroup": "{resourceGroupName}",
  "settings": null,
  "tags": null,
  "type": "Microsoft.Compute/virtualMachines/extensions",
  "typeHandlerVersion": "1.4",
  "virtualMachineExtensionType": "NetworkWatcherAgentWindows"
}

Csomagrögzítés indítása

Az előző lépések elvégzése után a csomagrögzítési ügynök telepítve lesz a virtuális gépen.

1. lépés

Tárfiók lekérése. Ez a tárfiók a csomagrögzítési fájl tárolására szolgál.

az storage account list

2. lépés

Ezen a ponton készen áll egy csomagrögzítés létrehozására. Először vizsgáljuk meg a konfigurálni kívánt paramétereket. A szűrők olyan paraméterek, amelyek a csomagrögzítés által tárolt adatok korlátozására használhatók. Az alábbi példa egy csomagrögzítést állít be több szűrővel. Az első három szűrő csak a helyi 10.0.0.3 IP-címről gyűjti a kimenő TCP-forgalmat a 20-80-443-ás célportok felé. Az utolsó szűrő csak az UDP-forgalmat gyűjti össze.

az network watcher packet-capture create --resource-group {resourceGroupName} --vm {vmName} --name packetCaptureName --storage-account {storageAccountName} --filters "[{\"protocol\":\"TCP\", \"remoteIPAddress\":\"1.1.1.1-255.255.255.255\",\"localIPAddress\":\"10.0.0.3\", \"remotePort\":\"20\"},{\"protocol\":\"TCP\", \"remoteIPAddress\":\"1.1.1.1-255.255.255.255\",\"localIPAddress\":\"10.0.0.3\", \"remotePort\":\"80\"},{\"protocol\":\"TCP\", \"remoteIPAddress\":\"1.1.1.1-255.255.255.255\",\"localIPAddress\":\"10.0.0.3\", \"remotePort\":\"443\"},{\"protocol\":\"UDP\"}]"

Az alábbi példa a parancs futtatásának várt kimenete az network watcher packet-capture create .

{
  "bytesToCapturePerPacket": 0,
  "etag": "W/\"b8cf3528-2e14-45cb-a7f3-5712ffb687ac\"",
  "filters": [
    {
      "localIpAddress": "10.0.0.3",
      "localPort": "",
      "protocol": "TCP",
      "remoteIpAddress": "1.1.1.1-255.255.255.255",
      "remotePort": "20"
    },
    {
      "localIpAddress": "10.0.0.3",
      "localPort": "",
      "protocol": "TCP",
      "remoteIpAddress": "1.1.1.1-255.255.255.255",
      "remotePort": "80"
    },
    {
      "localIpAddress": "10.0.0.3",
      "localPort": "",
      "protocol": "TCP",
      "remoteIpAddress": "1.1.1.1-255.255.255.255",
      "remotePort": "443"
    },
    {
      "localIpAddress": "",
      "localPort": "",
      "protocol": "UDP",
      "remoteIpAddress": "",
      "remotePort": ""
    }
  ],
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_westcentralus/pa
cketCaptures/packetCaptureName",
  "name": "packetCaptureName",
  "provisioningState": "Succeeded",
  "resourceGroup": "NetworkWatcherRG",
  "storageLocation": {
    "filePath": null,
    "storageId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/gwteststorage123abc",
    "storagePath": "https://gwteststorage123abc.blob.core.windows.net/network-watcher-logs/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/{resourceGroupName}/p
roviders/microsoft.compute/virtualmachines/{vmName}/2017/05/25/packetcapture_16_22_34_630.cap"
  },
  "target": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{vmName}",
  "timeLimitInSeconds": 18000,
  "totalBytesPerSession": 1073741824
}

Csomagrögzítés lekérése

A parancs futtatásával az network watcher packet-capture show-status lekéri egy éppen futó vagy befejezett csomagrögzítés állapotát.

az network watcher packet-capture show-status --name packetCaptureName --location {networkWatcherLocation}

Az alábbi példa a parancs kimenete az network watcher packet-capture show-status . A következő példa az, amikor a rögzítés le van állítva, a TimeExceeded stopReasonjával.

{
  "additionalProperties": {
    "status": "Succeeded"
  },
  "captureStartTime": "2016-12-06T17:20:01.5671279Z",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_westcentralus/packetCaptures/packetCaptureName",
  "name": "packetCaptureName",
  "packetCaptureError": [],
  "packetCaptureStatus": "Stopped",
  "stopReason": "TimeExceeded"
}

Csomagrögzítés leállítása

A parancs futtatásával az network watcher packet-capture stop a rögzítési munkamenet leáll.

az network watcher packet-capture stop --name packetCaptureName --location westcentralus

Feljegyzés

A parancs nem ad vissza választ, ha egy éppen futó rögzítési munkameneten vagy egy már leállított munkameneten fut.

Csomagrögzítés törlése

az network watcher packet-capture delete --name packetCaptureName --location westcentralus

Feljegyzés

A csomagrögzítés törlése nem törli a fájlt a tárfiókban.

Csomagrögzítés letöltése

A csomagrögzítési munkamenet befejezése után a rögzítési fájl feltölthető a blobtárolóba vagy a virtuális gép helyi fájljához. A csomagrögzítés tárolási helye a munkamenet létrehozásakor van meghatározva. A tárfiókba mentett rögzítési fájlok elérésének kényelmes eszköze a Microsoft Azure Storage Explorer, amely innen tölthető le: https://storageexplorer.com/

Ha meg van adva tárfiók, a csomagrögzítési fájlokat a rendszer a következő helyen menti egy tárfiókba:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{VMName}/{year}/{month}/{day}/packetCapture_{creationTime}.cap

Kapcsolódó tartalom

• Ha szeretné megtudni, hogyan automatizálhatja a csomagrögzítéseket virtuálisgép-riasztásokkal, olvassa el a riasztás által aktivált csomagrögzítés létrehozását ismertető cikket.
• Annak megállapításához, hogy egy adott forgalom engedélyezve van-e egy virtuális gépen, vagy kifelé, tekintse meg a virtuális gépek hálózati forgalmának szűrésével kapcsolatos probléma diagnosztizálását.