Azure Portal을 사용하여 Azure Network Watcher로 가상 머신에 대한 패킷 캡처 관리
Network Watcher 패킷 캡처 도구를 사용하면 Azure VM(Virtual Machines)과의 네트워크 트래픽을 기록하는 캡처 세션을 만들 수 있습니다. 원하는 트래픽만 캡처할 수 있도록 캡처 세션에 대 한 필터가 제공됩니다. 패킷 캡처를 통해 사후 및 사전 대응적으로 네트워크 변칙을 진단할 수 있습니다. 이 애플리케이션은 이상 탐지를 넘어 네트워크 인사이트 수집, 네트워크 침입에 대한 인사이트 획득, 클라이언트-서버 통신 디버깅 및 기타 다양한 네트워킹 문제 해결을 포함하도록 확장됩니다. Network Watcher 패킷 캡처를 사용하면 원격으로 패킷 캡처를 시작할 수 있으므로 특정 가상 머신에서 수동으로 실행할 필요성이 줄어듭니다.
이 문서에서는 Azure Portal을 사용하여 가상 머신 패킷 캡처를 원격으로 구성, 시작, 중지, 다운로드 및 삭제하는 방법을 알아봅니다. PowerShell 또는 Azure CLI를 사용하여 패킷 캡처를 관리하는 방법을 알아보려면 PowerShell을 사용하여 가상 머신의 패킷 캡처 관리 또는 Azure CLI를 사용하여 가상 머신의 패킷 캡처 관리를 참조하세요.
필수 조건
- 활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.
- 다음과 같은 아웃바운드 TCP 연결이 있는 가상 머신:
- 포트 443을 통해 스토리지 계정으로
- 포트 80을 통해 169.254.169.254로
- 포트 8037을 통해 168.63.129.16으로
참고 항목
- 해당 지역에 대해 Network Watcher가 사용하도록 설정되지 않은 경우 Azure는 가상 머신 지역에 Network Watcher 인스턴스를 만듭니다. 자세한 내용은 Azure Network Watcher 사용 또는 사용 안 함을 참조하세요.
- Network Watcher 패킷 캡처를 위해서는 대상 가상 머신에 Network Watcher 에이전트 VM 확장을 설치해야 합니다. Azure Portal에서 Network Watcher 패킷 캡처를 사용할 때마다 에이전트는 이전에 설치되지 않은 경우 대상 VM 또는 확장 집합에 자동으로 설치됩니다. 이미 설치된 에이전트를 업데이트하려면 Azure Network Watcher 확장을 최신 버전으로 업데이트를 참조하세요. 에이전트를 수동으로 설치하려면 Linux용 Network Watcher 에이전트 가상 머신 확장 또는 Windows용 Network Watcher 에이전트 가상 머신 확장을 참조하세요.
- 필수 조건에 나열된 마지막 두 개의 IP 주소와 포트는 Network Watcher 에이전트를 사용하는 모든 Network Watcher 도구에 공통적으로 적용되며 경우에 따라 변경될 수 있습니다.
네트워크 보안 그룹이 네트워크 인터페이스에 연결되거나 네트워크 인터페이스가 포함된 서브넷에 연결되어 있으면 이전 포트를 통한 아웃바운드 연결을 허용하는 규칙이 있는지 확인합니다. 마찬가지로 네트워크에 사용자 정의 경로를 추가할 때 이전 포트를 통한 아웃바운드 연결을 확인합니다.
패킷 캡처 시작
Azure Portal에 로그인합니다.
포털 맨 위에 있는 검색 상자에 Network Watcher를 입력합니다. 검색 결과에서 Network Watcher를 선택합니다.
네트워크 진단 도구에서 패킷 캡처를 선택합니다. 기존 패킷 캡처는 상태에 관계없이 나열됩니다.
+ 추가를 선택하여 패킷 캡처를 만듭니다. 패킷 캡처 추가에서 다음 설정의 값을 입력하거나 선택합니다.
설정 값 기본 세부 정보 구독 가상 머신의 Azure 구독을 선택합니다. Resource group 가상 머신의 리소스 그룹을 선택합니다. 대상 형식 가상 머신을 선택합니다. 대상 인스턴스 가상 머신을 선택합니다. 패킷 캡처 이름 이름을 입력하거나 기본 이름을 사용합니다. 패킷 캡처 구성 캡처 위치 스토리지 계정, 파일 또는 둘 다를 선택합니다. 스토리지 계정 표준 스토리지 계정을 선택합니다1.
이 옵션은 캡처 위치로 스토리지 계정 또는 둘 다를 선택한 경우 사용할 수 있습니다.로컬 파일 경로 캡처를 대상 가상 머신에 저장할 유효한 로컬 파일 경로를 입력합니다. Linux 머신을 사용하는 경우 경로는 /var/captures로 시작해야 합니다.
이 옵션은 캡처 위치로 파일 또는 모두를 선택한 경우 사용할 수 있습니다.패킷당 최대 바이트 수 각 패킷당 캡처할 최대 바이트 수를 입력합니다. 비워 두거나 0을 입력하면 모든 바이트가 캡처됩니다. 세션당 최대 바이트 수 캡처된 총 바이트 수를 입력합니다. 값에 도달하면 패킷 캡처가 중지됩니다. 비워 두면 최대 1GB가 캡처됩니다. 시간 제한(초) 패킷 캡처 세션의 시간 제한(초)을 입력합니다. 값에 도달하면 패킷 캡처가 중지됩니다. 비워 두면 최대 5시간(18,000초)이 캡처됩니다. 필터링(선택 사항) 필터 조건 추가 필터 조건 추가를 선택하여 새 필터를 추가합니다. 필요한 만큼 필터를 정의할 수 있습니다. 프로토콜 선택한 프로토콜에 따라 패킷 캡처를 필터링합니다. 사용 가능한 값은 TCP, UDP 또는 모두입니다. 로컬 IP 주소2 로컬 IP 주소가 이 필터 값과 일치하는 패킷으로 패킷 캡처를 필터링합니다. 로컬 포트2 로컬 포트가 이 필터 값과 일치하는 패킷으로 패킷 캡처를 필터링합니다. 원격 IP 주소2 원격 IP 주소가 이 필터 값과 일치하는 패킷으로 패킷 캡처를 필터링합니다. 원격 포트2 원격 포트가 이 필터 값과 일치하는 패킷으로 패킷 캡처를 필터링합니다. 1 Premium Storage 계정에서는 현재 패킷 캡처 저장이 지원되지 않습니다.
2 포트 및 IP 주소 값은 단일 값, 80-1024와 같은 범위 또는 80, 443과 같은 여러 값일 수 있습니다.
패킷 캡처 시작을 선택합니다.
패킷 캡처에 설정된 시간 제한에 도달하면 패킷 캡처가 중지되고 검토할 수 있습니다. 시간 제한에 도달하기 전에 패킷 캡처 세션을 수동으로 중지하려면 패킷 캡처 오른쪽에 있는 ...을 선택하거나 마우스 오른쪽 단추를 클릭한 다음 중지를 선택합니다.
패킷 캡처 다운로드
패킷 캡처 세션을 마친 후 결과 캡처 파일은 Azure Storage, 대상 가상 머신의 로컬 파일 또는 둘 다에 저장됩니다. 패킷 캡처의 저장 대상은 만드는 동안 지정됩니다. 자세한 내용은 패킷 캡처 시작을 참조하세요.
Azure Storage에 저장된 패킷 캡처 파일을 다운로드하려면 다음 단계를 따릅니다.
Azure Portal에 로그인합니다.
포털 맨 위에 있는 검색 상자에 Network Watcher를 입력한 다음, 검색 결과에서 Network Watcher를 선택합니다.
네트워크 진단 도구에서 패킷 캡처를 선택합니다.
패킷 캡처 페이지에서 파일을 다운로드하려는 패킷 캡처를 선택합니다.
세부 정보 섹션에서 패킷 캡처 파일 링크를 선택합니다.
Blob 페이지에서 다운로드를 선택합니다.
참고 항목
다음 경로에서 Azure Portal 또는 Storage Explorer1를 사용하여 스토리지 계정 컨테이너에서 캡처 파일을 다운로드할 수도 있습니다.
https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap
1 Storage Explorer는 Azure Storage 데이터에 액세스하고 작업하는 데 편리하게 사용할 수 있는 독립형 앱입니다. 자세한 내용은 Storage Explorer 시작을 참조하세요.
VM(가상 머신)에 저장된 패킷 캡처 파일을 다운로드하려면 VM에 연결한 후 패킷 캡처 만들 때 지정한 로컬 경로에서 파일을 다운로드합니다.
패킷 캡처 삭제
Azure Portal에 로그인합니다.
포털 맨 위에 있는 검색 상자에 Network Watcher를 입력한 다음, 검색 결과에서 Network Watcher를 선택합니다.
네트워크 진단 도구에서 패킷 캡처를 선택합니다.
패킷 캡처 페이지에서 삭제하려는 패킷 캡처의 오른쪽에 있는 ...를 선택하거나 마우스 오른쪽 단추로 클릭한 다음, 삭제를 선택합니다.
예를 선택합니다.
Important
Network Watcher에서 패킷 캡처를 삭제해도 스토리지 계정이나 가상 머신에서 캡처 파일은 삭제되지 않습니다. 캡처 파일이 더 이상 필요하지 않은 경우 스토리지 비용이 발생하지 않도록 스토리지 계정에서 수동으로 삭제해야 합니다.
관련 콘텐츠
- 가상 머신 경고로 패킷 캡처를 자동화하는 방법을 알아보려면 경고로 트리거된 패킷 캡처 만들기를 참조하세요.
- Wireshark를 사용하여 Network Watcher 패킷 캡처 파일을 분석하는 방법을 알아보려면 Network Watcher 패킷 캡처 파일 검사 및 분석을 참조하세요.