Virtuális gépek csomagrögzítéseinek kezelése az Azure Network Watcherrel a PowerShell használatával
A Network Watcher csomagrögzítési eszköze lehetővé teszi rögzítési munkamenetek létrehozását az Azure-beli virtuális gépek (virtuális gépek) felé és onnan érkező hálózati forgalom rögzítéséhez. A rögzítési munkamenethez szűrők biztosítják, hogy csak a kívánt forgalmat rögzítse. A csomagrögzítés segít a hálózati rendellenességek újraaktív és proaktív diagnosztizálásában. Alkalmazásai az anomáliadetektáláson túl kiterjednek a hálózati statisztikák gyűjtésére, a hálózati behatolások elemzésére, az ügyfél-kiszolgáló kommunikáció hibakeresésére és a különböző hálózati kihívások kezelésére. A Network Watcher csomagrögzítésével távolról kezdeményezhet csomagrögzítéseket, így egy adott virtuális gépen manuális végrehajtásra van szükség.
Ebből a cikkből megtudhatja, hogyan konfigurálhat, indíthat el, állíthat le, tölthet le és törölhet virtuálisgép-csomagrögzítést az Azure PowerShell használatával. A csomagrögzítések Azure Portalon vagy Azure CLI-vel történő kezeléséről az Azure Portal vagy az Azure CLI használatával a virtuális gépek csomagrögzítéseinek kezelése vagy a virtuális gépek csomagrögzítéseinek kezelése az Azure CLI használatával című témakörben olvashat.
Előfeltételek
Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
Azure Cloud Shell vagy Azure PowerShell.
A cikk lépései interaktív módon futtatják az Azure PowerShell-parancsmagokat az Azure Cloud Shellben. A Cloud Shell parancsainak futtatásához válassza a Kódblokk jobb felső sarkában található Open Cloud Shell lehetőséget. Válassza a Másolás lehetőséget a kód másolásához, majd illessze be a Cloud Shellbe a futtatáshoz. A Cloud Shellt az Azure Portalon is futtathatja.
Az Azure PowerShellt helyileg is telepítheti a parancsmagok futtatásához. Ehhez a cikkhez az Az PowerShell-modul szükséges. További információ: Az Azure PowerShell telepítése. A telepített verzió azonosításához futtassa a következőt:
Get-InstalledModule -Name Az
. Ha helyileg futtatja a PowerShellt, jelentkezzen be az Azure-ba az Csatlakozás-AzAccount parancsmaggal.A következő kimenő TCP-kapcsolattal rendelkező virtuális gép:
- a tárfiókba a 443-as porton keresztül
- a 169.254.169.254-hez a 80-s porton keresztül
- 168.63.129.16-ra a 8037-ös porton keresztül
Feljegyzés
- Az Azure létrehoz egy Network Watcher-példányt a virtuális gép régiójában, ha a Network Watcher nincs engedélyezve az adott régióban. További információ: Az Azure Network Watcher engedélyezése vagy letiltása.
- A Network Watcher csomagrögzítéséhez a Network Watcher-ügynök virtuálisgép-bővítményét telepíteni kell a cél virtuális gépre. További információ: Network Watcher-ügynök telepítése.
- Az előfeltételekben felsorolt utolsó két IP-cím és port gyakori az összes Network Watcher-eszközben, amely a Network Watcher-ügynököt használja, és időnként változhat.
Ha a hálózati adapterhez vagy alhálózathoz hálózati biztonsági csoport van társítva, győződjön meg arról, hogy léteznek olyan szabályok, amelyek engedélyezik a kimenő kapcsolatot az előző portokon. Hasonlóképpen biztosítson kimenő kapcsolatot az előző portokon, amikor felhasználó által megadott útvonalakat ad hozzá a hálózathoz.
A Network Watcher-ügynök telepítése
A csomagrögzítés használatához telepíteni kell a Network Watcher ügynök virtuálisgép-bővítményét a virtuális gépre.
A Get-AzVMExtension parancsmaggal ellenőrizze, hogy a bővítmény telepítve van-e a virtuális gépen:
# List the installed extensions on the virtual machine.
Get-AzVMExtension -VMName 'myVM' -ResourceGroupName 'myResourceGroup' | format-table Name, Publisher, ExtensionType, EnableAutomaticUpgrade
Ha a bővítmény telepítve van a virtuális gépen, akkor az előző parancs kimenetében látható:
Name Publisher ExtensionType EnableAutomaticUpgrade
---- --------- ------------- ----------------------
AzureNetworkWatcherExtension Microsoft.Azure.NetworkWatcher NetworkWatcherAgentLinux True
Ha a bővítmény nincs telepítve, telepítse a Set-AzVMExtension parancsmagot:
# Install Network Watcher agent on a Linux virtual machine.
Set-AzVMExtension -Publisher 'Microsoft.Azure.NetworkWatcher' -ExtensionType 'NetworkWatcherAgentLinux' -Name 'AzureNetworkWatcherExtension' -VMName 'myVM' -ResourceGroupName 'myResourceGroup' -TypeHandlerVersion '1.4' -EnableAutomaticUpgrade 1
# Install Network Watcher agent on a Windows virtual machine.
Set-AzVMExtension -Publisher 'Microsoft.Azure.NetworkWatcher' -ExtensionType 'NetworkWatcherAgentWindows' -Name 'AzureNetworkWatcherExtension' -VMName 'myVM' -ResourceGroupName 'myResourceGroup' -TypeHandlerVersion '1.4' -EnableAutomaticUpgrade 1
A bővítmény sikeres telepítése után a következő kimenet jelenik meg:
RequestId IsSuccessStatusCode StatusCode ReasonPhrase
--------- ------------------- ---------- ------------
True OK
Csomagrögzítés indítása
Rögzítési munkamenet indításához használja a New-AzNetworkWatcherPacketCapture parancsmagot:
# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -ResourceGroupName 'myResourceGroup' -Name 'myVM'
# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -ResourceGroupName 'myResourceGroup' -Name 'mystorageaccount'
# Start the Network Watcher capture session.
New-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1' -TargetVirtualMachineId $vm.Id -StorageAccountId $storageAccount.Id
A rögzítési munkamenet elindítása után a következő kimenet jelenik meg:
ProvisioningState Name BytesToCapturePerPacket TotalBytesPerSession TimeLimitInSeconds
----------------- ---- ----------------------- -------------------- ------------------
Succeeded myVM_1 0 1073741824 18000
Az alábbi táblázat a parancsmaggal New-AzNetworkWatcherPacketCapture
használható választható paramétereket ismerteti:
Paraméter | leírás |
---|---|
-Filter |
Szűrő(k) hozzáadása csak a kívánt forgalom rögzítéséhez. Például csak a TCP-forgalmat rögzítheti egy adott IP-címről egy adott portra. |
-TimeLimitInSeconds |
Adja meg a rögzítési munkamenet maximális időtartamát. Az alapértelmezett érték 18000 másodperc (5 óra). |
-BytesToCapturePerPacket |
Állítsa be az egyes csomagokhoz rögzítendő bájtok maximális számát. A rendszer minden bájtot rögzít, ha nincs használatban, vagy 0 értéket ad meg. |
-TotalBytesPerSession |
Adja meg a rögzített bájtok teljes számát. Az érték elérése után a csomagrögzítés leáll. Ha nincs használatban, legfeljebb 1 GB (1 073 741 824 bájt) rögzíthető. |
-LocalFilePath |
Adjon meg egy érvényes helyi fájl elérési útját, ha a rögzítést a cél virtuális gépen szeretné menteni (például C:\Capture\myVM_1.cap). Linux rendszerű gép használata esetén az elérési útnak a /var/captures paranccsal kell kezdődnie. |
Csomagrögzítés leállítása
A Stop-AzNetworkWatcherPacketCapture parancsmaggal manuálisan állíthat le egy futó csomagrögzítési munkamenetet.
# Manually stop a packet capture session.
Stop-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'
Feljegyzés
A parancsmag nem ad vissza választ, függetlenül attól, hogy egy éppen futó rögzítési munkameneten vagy egy már leállított munkameneten futott-e.
Csomagrögzítés lekérése
A Get-AzNetworkWatcherPacketCapture parancsmaggal lekérheti a csomagrögzítés állapotát (fut vagy befejeződött).
# Get information, properties, and status of a packet capture.
Get-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'
Az alábbi kimenet egy példa a parancsmag kimenetére Get-AzNetworkWatcherPacketCapture
. A következő példa a rögzítés befejezése után következik. A PacketCaptureStatus értéke Leállítva, a TimeExceeded stopReason értékével. Ez az érték azt mutatja, hogy a csomagrögzítés sikeres volt, és futott az ideje.
ProvisioningState Name Target BytesToCapturePerPacket TotalBytesPerSession TimeLimitInSeconds
----------------- ---- ------ ----------------------- -------------------- ------------------
Succeeded myVM_1 /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM 0 1073741824 18000
Feljegyzés
Ha további részleteket szeretne megtudni a kimenetben, adja hozzá | Format-List
a parancs végéhez.
Csomagrögzítés letöltése
A csomagrögzítési munkamenet befejezése után az eredményül kapott rögzítési fájl az Azure Storage-ba, a cél virtuális gépen lévő helyi fájlba vagy mindkettőbe lesz mentve. A csomagrögzítés tárolási célhelye a létrehozás során van megadva. További információ: Csomagrögzítés indítása.
Ha meg van adva tárfiók, a rendszer a rögzítési fájlokat a következő elérési úton menti a tárfiókba:
https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap
Az Azure Storage-ba mentett csomagrögzítő fájl letöltéséhez használja a Get-AzStorageBlobContent parancsmagot:
# Download the packet capture file from Azure storage container.
Get-AzStorageBlobContent -Container 'network-watcher-logs' -Blob 'subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' -Destination 'C:\Capture\myVM_1.cap'
Feljegyzés
A rögzítési fájlt az Azure Storage Explorerrel is letöltheti a tárfiók tárolójából. A Storage Explorer egy önálló alkalmazás, amely kényelmesen használható az Azure Storage-adatok eléréséhez és kezeléséhez. További információ: A Storage Explorer használatának első lépései.
Csomagrögzítés törlése
# Remove a packet capture resource.
Remove-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'
Fontos
A Network Watcher csomagrögzítésének törlése nem törli a rögzítési fájlt a tárfiókból vagy a virtuális gépről. Ha már nincs szüksége a rögzítési fájlra, manuálisan kell törölnie a tárfiókból, hogy elkerülje a tárolási költségek felmerülését.
Kapcsolódó tartalom
- Ha szeretné megtudni, hogyan automatizálhatja a csomagrögzítéseket virtuálisgép-riasztásokkal, olvassa el a riasztás által aktivált csomagrögzítés létrehozását ismertető cikket.
- A Network Watcher-csomagrögzítési fájlok Wireshark használatával történő elemzéséről a Network Watcher csomagrögzítési fájljainak vizsgálata és elemzése című témakörben olvashat.