運用 Azure 入口網站以使用 Azure 網路監看員管理虛擬機器的封包擷取

網路監看員封包擷取工具可讓您建立擷取工作階段，記錄進出 Azure 虛擬機器 (VM) 的網路流量。 系統會為擷取工作階段提供篩選器，以確保您只會擷取到您想要的流量。 封包擷取有助於以被動和主動方式診斷網路異常。 其應用範圍不局限於異常偵測，還包括收集網路統計資料、取得網路入侵的見解、偵錯用戶端與伺服器的通訊，以及解決各種其他的網路挑戰。 網路監看員封包擷取可讓您從遠端起始封包擷取，減少在特定虛擬機器上手動執行的需求。

在本文中，您會了解如何運用 Azure PowerShell 以從遠端設定、啟動、停止、下載和刪除虛擬機器的封包擷取。 若要了解如何使用 PowerShell 或 Azure CLI 管理封包擷取，請參閱使用 Azure 入口網站管理虛擬機器的封包擷取或使用 PowerShell 管理虛擬機器的封包擷取。

必要條件

• 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
• 具備下列輸出 TCP 連線的虛擬機器：
  • 透過連接埠 443 輸出至儲存體帳戶
  • 至連接埠 80 上的 169.254.169.254
  • 至連接埠 8037 上的 168.63.129.16

注意

• 如果區域未啟用網路監看員，Azure 會在該虛擬機器區域中建立網路監看員執行個體。 如需詳細資訊，請參閱啟用或停用 Azure 網路監看員。
• 網路監看員封包擷取必須在目標虛擬機器上安裝網路監看員代理程式 VM 擴充功能。 每當您在 Azure 入口網站中使用網路監看員封包擷取時，如果尚未安裝代理程式，就會在目標虛擬機器或擴展集上自動安裝。 若要更新已安裝的代理程式，請參閱將 Azure 網路監看員擴充功能更新為最新版本 (部分機器翻譯)。 若要手動安裝代理程式，請參閱Linux 版網路監看員代理程式虛擬機器擴充功能或 Windows 版網路監看員代理程式虛擬機器擴充功能。
• 必要條件中列出的最後兩個 IP 位址和連接埠常見於使用網路監看員代理程式的所有網路監看員工具，偶爾可能會有變更。

如果網路安全性群組與該網路介面相關聯，或是與該網路介面所在的子網路相關聯，請確定有規則允許透過前述連接埠的輸出連線。 同樣地，將使用者定義的路由新增至您的網路時，請確定有透過前述連接埠的輸出連線。

啟動封包擷取

1. 登入 Azure 入口網站。

2. 在入口網站頂端的搜尋方塊中，輸入網路監看員。 從搜尋結果中，選取 [網路監看員]。

   

3. 在 [網路診斷工具] 下，選取 [封包擷取]。 系統會列出所有現有的封包擷取，不論其狀態為何。

   

4. 選取 [+ 新增] 以建立封包擷取。 在在 [新增封包擷取] 中，輸入或選取下列設定的值：

   設定	值
   基本詳細資料
   訂用帳戶	選取虛擬機器的 Azure 訂用帳戶。
   資源群組	選取虛擬機器的資源群組。
   目標類型	選取 [虛擬機器]。
   目標執行個體	選取虛擬機器。
   封包擷取名稱	輸入名稱或保留預設名稱。
   封包擷取設定
   擷取位置	選取 [儲存體帳戶]、[檔案] 或 [兩者]。
   儲存體帳戶	選取您的標準儲存體帳戶1。 如果您選取 [儲存體帳戶] 或 [兩者] 來作為擷取位置，則可以使用此選項。
   本機檔案路徑	輸入您想要在目標虛擬機器中儲存擷取的有效本機檔案路徑。 如果您使用 Linux 機器，路徑必須以 /var/captures 開頭。 如果您選取 [檔案] 或 [兩者] 來作為擷取位置，則可以使用此選項。
   每個封包的位元組數上限	輸入每個封包要擷取的最大位元組數。 如果保留空白或輸入 0，則會擷取所有位元組。
   每個工作階段的位元組數上限	輸入要擷取的位元組總數。 到達該值之後，封包擷取就會停止。 如果保留空白，最多會擷取 1 GB。
   時間限制 (秒)	輸入封包擷取工作階段的時間限制 (以秒為單位)。 到達該值之後，封包擷取就會停止。 如果保留空白，最多會擷取 5 小時 (18,000 秒)。
   篩選 (選用)
   新增篩選準則	選取 [新增篩選準則] 以新增新的篩選。 您可以視需要定義不限數量的篩選。
   通訊協定	根據選取的通訊協定來篩選封包擷取。 可用的值為 TCP、UDP 或 Any。
   本機 IP 位址2	針對本機 IP 位址符合此值的封包來篩選封包擷取。
   本機連接埠2	針對本機連接埠符合此值的封包來篩選封包擷取。
   遠端 IP 位址2	針對遠端 IP 位址符合此值的封包來篩選封包擷取。
   遠端連接埠2	針對遠端連接埠符合此值的封包來篩選封包擷取。

   ¹ 儲存封包擷取目前不支援進階儲存體帳戶。

   ² 連接埠和 IP 位址的值可以是單一值、範圍 (如 80-1024) ，或多個值 (如 80、443)。

5. 選取 [啟動封包擷取]。

   

6. 一旦達到封包擷取上設定的時間限制之後，封包擷取就會停止且可供檢閱。 若要在封包擷取工作階段達到其時間限制之前手動將其停止，請選取封包擷取右側的 [...]，或以滑鼠右鍵按一下工作階段，然後選取 [停止]。

   

下載封包擷取

結束封包擷取工作階段之後，產生的擷取檔案會儲存至 Azure 儲存體、目標虛擬機上的本機檔案或兩者皆有。 封包擷取的儲存體目的地會在封包建立期間指定。 如需詳細資訊，請參閱啟動封包擷取。

若要下載儲存至 Azure 儲存體的封包擷取檔案，請遵循下列步驟：

1. 登入 Azure 入口網站。

2. 在入口網站頂端的搜尋方塊中輸入「網路監看員」，然後從搜尋結果中選取 [網路監看員]。

3. 在 [網路診斷工具] 下，選取 [封包擷取]。

4. 在 [封包擷取] 頁面中，選取您想要下載其檔案的封包擷取。

5. 在 [詳細資料] 區段中，選取封包擷取檔案連結。

   

6. 在 [Blob] 頁面中，選取 [下載]。

注意

您也可以使用 Azure 入口網站從儲存體帳戶容器或來下載擷取檔案，或使用位於如下路徑的儲存體總管¹來下載擷取檔案：

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

¹ 儲存體總管是使用便利的獨立應用程式，可讓您存取和使用 Azure 儲存體資料。 如需詳細資訊，請參閱開始使用儲存體總管

若要下載儲存至虛擬機器 (VM) 的封包擷取檔案，請連線到 VM，並從封包擷取建立期間指定的本機路徑下載檔案。

刪除封包擷取

1. 登入 Azure 入口網站。

2. 在入口網站頂端的搜尋方塊中輸入「網路監看員」，然後從搜尋結果中選取 [網路監看員]。

3. 在 [網路診斷工具] 下，選取 [封包擷取]。

4. 在 [封包擷取] 頁面中，選取位於您要將其刪除之封包擷取右側的 [...]，或以滑鼠右鍵按一下它，然後選取 [刪除]。

   

5. 選取 [是]。

重要

在網路監看員中刪除封包擷取時，不會刪除儲存體帳戶中或虛擬機器上的擷取檔案。 如果您不再需要擷取檔案，您必須從儲存體帳戶手動將其刪除，以避免產生儲存體成本。

相關內容

• 若要了解如何透過虛擬機器警示將封包擷取自動化，請檢視建立由警示觸發的封包擷取。
• 若要了解如何使用 Wireshark 分析網路監看員封包擷取檔案，請參閱檢查和分析網路監看員封包擷取檔案。