다음을 통해 공유


Azure Portal을 사용하여 Azure Network Watcher로 가상 머신에 대한 패킷 캡처 관리

Network Watcher 패킷 캡처 도구를 사용하면 Azure VM(Virtual Machines)과의 네트워크 트래픽을 기록하는 캡처 세션을 만들 수 있습니다. 원하는 트래픽만 캡처할 수 있도록 캡처 세션에 대 한 필터가 제공됩니다. 패킷 캡처를 통해 사후 및 사전 대응적으로 네트워크 변칙을 진단할 수 있습니다. 이 애플리케이션은 이상 탐지를 넘어 네트워크 인사이트 수집, 네트워크 침입에 대한 인사이트 획득, 클라이언트-서버 통신 디버깅 및 기타 다양한 네트워킹 문제 해결을 포함하도록 확장됩니다. Network Watcher 패킷 캡처를 사용하면 원격으로 패킷 캡처를 시작할 수 있으므로 특정 가상 머신에서 수동으로 실행할 필요성이 줄어듭니다.

이 문서에서는 Azure Portal을 사용하여 가상 머신 패킷 캡처를 원격으로 구성, 시작, 중지, 다운로드 및 삭제하는 방법을 알아봅니다. PowerShell 또는 Azure CLI를 사용하여 패킷 캡처를 관리하는 방법을 알아보려면 PowerShell을 사용하여 가상 머신의 패킷 캡처 관리 또는 Azure CLI를 사용하여 가상 머신의 패킷 캡처 관리를 참조하세요.

필수 조건

  • 활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.
  • 다음과 같은 아웃바운드 TCP 연결이 있는 가상 머신:
    • 포트 443을 통해 스토리지 계정으로
    • 포트 80을 통해 169.254.169.254로
    • 포트 8037을 통해 168.63.129.16으로

참고 항목

네트워크 보안 그룹이 네트워크 인터페이스에 연결되거나 네트워크 인터페이스가 포함된 서브넷에 연결되어 있으면 이전 포트를 통한 아웃바운드 연결을 허용하는 규칙이 있는지 확인합니다. 마찬가지로 네트워크에 사용자 정의 경로를 추가할 때 이전 포트를 통한 아웃바운드 연결을 확인합니다.

패킷 캡처 시작

  1. Azure Portal에 로그인합니다.

  2. 포털 맨 위에 있는 검색 상자에 Network Watcher를 입력합니다. 검색 결과에서 Network Watcher를 선택합니다.

    Azure Portal에서 Network Watcher를 검색하는 방법을 보여 주는 스크린샷.

  3. 네트워크 진단 도구에서 패킷 캡처를 선택합니다. 기존 패킷 캡처는 상태에 관계없이 나열됩니다.

    스크린샷은 Azure Portal에서 Network Watcher 패킷 캡처를 보여줍니다.

  4. + 추가를 선택하여 패킷 캡처를 만듭니다. 패킷 캡처 추가에서 다음 설정의 값을 입력하거나 선택합니다.

    설정
    기본 세부 정보
    구독 가상 머신의 Azure 구독을 선택합니다.
    Resource group 가상 머신의 리소스 그룹을 선택합니다.
    대상 형식 가상 머신을 선택합니다.
    대상 인스턴스 가상 머신을 선택합니다.
    패킷 캡처 이름 이름을 입력하거나 기본 이름을 사용합니다.
    패킷 캡처 구성
    캡처 위치 스토리지 계정, 파일 또는 둘 다를 선택합니다.
    스토리지 계정 표준 스토리지 계정을 선택합니다1.
    이 옵션은 캡처 위치로 스토리지 계정 또는 둘 다를 선택한 경우 사용할 수 있습니다.
    로컬 파일 경로 캡처를 대상 가상 머신에 저장할 유효한 로컬 파일 경로를 입력합니다. Linux 머신을 사용하는 경우 경로는 /var/captures로 시작해야 합니다.
    이 옵션은 캡처 위치로 파일 또는 모두를 선택한 경우 사용할 수 있습니다.
    패킷당 최대 바이트 수 각 패킷당 캡처할 최대 바이트 수를 입력합니다. 비워 두거나 0을 입력하면 모든 바이트가 캡처됩니다.
    세션당 최대 바이트 수 캡처된 총 바이트 수를 입력합니다. 값에 도달하면 패킷 캡처가 중지됩니다. 비워 두면 최대 1GB가 캡처됩니다.
    시간 제한(초) 패킷 캡처 세션의 시간 제한(초)을 입력합니다. 값에 도달하면 패킷 캡처가 중지됩니다. 비워 두면 최대 5시간(18,000초)이 캡처됩니다.
    필터링(선택 사항)
    필터 조건 추가 필터 조건 추가를 선택하여 새 필터를 추가합니다. 필요한 만큼 필터를 정의할 수 있습니다.
    프로토콜 선택한 프로토콜에 따라 패킷 캡처를 필터링합니다. 사용 가능한 값은 TCP, UDP 또는 모두입니다.
    로컬 IP 주소2 로컬 IP 주소가 이 필터 값과 일치하는 패킷으로 패킷 캡처를 필터링합니다.
    로컬 포트2 로컬 포트가 이 필터 값과 일치하는 패킷으로 패킷 캡처를 필터링합니다.
    원격 IP 주소2 원격 IP 주소가 이 필터 값과 일치하는 패킷으로 패킷 캡처를 필터링합니다.
    원격 포트2 원격 포트가 이 필터 값과 일치하는 패킷으로 패킷 캡처를 필터링합니다.

    1 Premium Storage 계정에서는 현재 패킷 캡처 저장이 지원되지 않습니다.

    2 포트 및 IP 주소 값은 단일 값, 80-1024와 같은 범위 또는 80, 443과 같은 여러 값일 수 있습니다.

  5. 패킷 캡처 시작을 선택합니다.

    사용 가능한 옵션을 보여 주는 Azure Portal의 패킷 추가 캡처 스크린샷

  6. 패킷 캡처에 설정된 시간 제한에 도달하면 패킷 캡처가 중지되고 검토할 수 있습니다. 시간 제한에 도달하기 전에 패킷 캡처 세션을 수동으로 중지하려면 패킷 캡처 오른쪽에 있는 ...을 선택하거나 마우스 오른쪽 단추를 클릭한 다음 중지를 선택합니다.

    Azure Portal에서 패킷 캡처를 중지하는 방법을 보여 주는 스크린샷

패킷 캡처 다운로드

패킷 캡처 세션을 마친 후 결과 캡처 파일은 Azure Storage, 대상 가상 머신의 로컬 파일 또는 둘 다에 저장됩니다. 패킷 캡처의 저장 대상은 만드는 동안 지정됩니다. 자세한 내용은 패킷 캡처 시작을 참조하세요.

Azure Storage에 저장된 패킷 캡처 파일을 다운로드하려면 다음 단계를 따릅니다.

  1. Azure Portal에 로그인합니다.

  2. 포털 맨 위에 있는 검색 상자에 Network Watcher를 입력한 다음, 검색 결과에서 Network Watcher를 선택합니다.

  3. 네트워크 진단 도구에서 패킷 캡처를 선택합니다.

  4. 패킷 캡처 페이지에서 파일을 다운로드하려는 패킷 캡처를 선택합니다.

  5. 세부 정보 섹션에서 패킷 캡처 파일 링크를 선택합니다.

    Azure Portal에서 패킷 캡처 파일을 선택하는 방법을 보여 주는 스크린샷

  6. Blob 페이지에서 다운로드를 선택합니다.

참고 항목

다음 경로에서 Azure Portal 또는 Storage Explorer1를 사용하여 스토리지 계정 컨테이너에서 캡처 파일을 다운로드할 수도 있습니다.

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

1 Storage Explorer는 Azure Storage 데이터에 액세스하고 작업하는 데 편리하게 사용할 수 있는 독립형 앱입니다. 자세한 내용은 Storage Explorer 시작을 참조하세요.

VM(가상 머신)에 저장된 패킷 캡처 파일을 다운로드하려면 VM에 연결한 후 패킷 캡처 만들 때 지정한 로컬 경로에서 파일을 다운로드합니다.

패킷 캡처 삭제

  1. Azure Portal에 로그인합니다.

  2. 포털 맨 위에 있는 검색 상자에 Network Watcher를 입력한 다음, 검색 결과에서 Network Watcher를 선택합니다.

  3. 네트워크 진단 도구에서 패킷 캡처를 선택합니다.

  4. 패킷 캡처 페이지에서 삭제하려는 패킷 캡처의 오른쪽에 있는 ...를 선택하거나 마우스 오른쪽 단추로 클릭한 다음, 삭제를 선택합니다.

    Azure Portal의 Network Watcher에서 패킷 캡처를 삭제하는 방법을 보여 주는 스크린샷

  5. 를 선택합니다.

Important

Network Watcher에서 패킷 캡처를 삭제해도 스토리지 계정이나 가상 머신에서 캡처 파일은 삭제되지 않습니다. 캡처 파일이 더 이상 필요하지 않은 경우 스토리지 비용이 발생하지 않도록 스토리지 계정에서 수동으로 삭제해야 합니다.