数据包捕获

已完成

使用 Azure 网络观察程序数据包捕获，可以创建数据包捕获会话以跟踪进出虚拟机 (VM) 或规模集的流量。 数据包捕获有助于以主动和被动方式诊断网络异常。 其他用途包括收集网络统计信息，获得网络入侵信息，调试客户端与服务器之间的通信，等等。

数据包捕获是通过网络观察程序远程启动的扩展。 此功可减轻在所需虚拟机或虚拟机规模集实例上手动运行数据包捕获的负担，从而可节省宝贵的时间。 可通过门户、PowerShell、Azure CLI 或 REST API 来触发数据包捕获。 数据包捕获触发方式的一个示例是通过虚拟机警报。 为捕获会话提供了筛选器以确保捕获要监视的流量。 筛选器基于 5 元组（协议、本地 IP 地址、远程 IP 地址、本地端口和远程端口）信息。 捕获的数据可以存储在本地磁盘或存储 blob 中。 数据包捕获需要虚拟机扩展。

若要实现数据包捕获，请执行以下步骤：

1. 在 Azure 门户顶部的搜索框中，输入“网络观察程序”并在搜索结果中选择“网络观察程序”。
2. 在“网络诊断工具”下选择“数据包捕获”。 将列出任何现有的数据包捕获，无论其状态如何。
3. 选择“+添加”以创建数据包捕获。 在“添加数据包捕获”中，在“基本详细信息”页中输入或选择以下设置的值：
   • 订阅。 选择虚拟机的 Azure 订阅。
   • 资源组 。 选择虚拟机的资源组。
   • 目标类型。 选择“虚拟机”。
   • 目标实例。 选择虚拟机。
   • 数据包捕获名称。 输入名称或保留默认名称。
4. 在“数据包捕获配置”页中输入或选择以下设置的值：
   • 捕获位置。 选择“存储帐户”、“文件”或“两者”。
   • 存储帐户： 选择“标准”存储帐户。 如果选择了“存储帐户”或“两者”，则此选项可用。
   • 本地文件路径。 输入要在目标虚拟机中保存捕获的有效本地文件路径。 如果你使用的是 Linux 计算机，则路径必须以 /var/captures 开头。
   • 每个数据包的最大字节数。 输入每个数据包要捕获的最大字节数。 如果留空或输入 0，则会捕获所有字节。
   • 每个会话的最大字节数。 输入捕获的字节总数。 一旦达到此值，数据包捕获便停止。 如果留空，最多捕获 1 GB。
   • 时间限制(秒)。 输入数据包捕获会话的时间限制（以秒为单位）。 一旦达到此值，数据包捕获便停止。 如果留空，则最多捕获 5 小时（18，000 秒）。
5. 可以选择配置以下筛选设置。
   • 协议。 根据所选协议筛选数据包捕获。 可用值为 TCP、UDP 或 Any。
   • 本地 IP 地址。 在数据包捕获中筛选其中的本地 IP 地址与此值匹配的数据包。
   • 本地端口。 在数据包捕获中筛选其中的本地端口与此值匹配的数据包。
   • 远程 IP 地址。 将数据包捕获筛选为远程 IP 地址与此值匹配的数据包。
   • 远程端口。 在数据包捕获中筛选其中的远程端口与此值匹配的数据包。
6. 选择“启动数据包捕获”。 一旦达到数据包捕获设置的时间限制，数据包捕获将停止并且用户可以查看。