Gérer les captures de paquets pour les machines virtuelles avec Azure Network Watcher à l’aide du portail Azure

L’outil de capture de paquets Network Watcher vous permet de créer des sessions de capture pour enregistrer le trafic réseau vers et à partir d’une machine virtuelle Azure. Les filtres sont fournis pour la session de capture afin de vous garantir que vous capturez uniquement le trafic souhaité. La capture de paquets permet de diagnostiquer les anomalies du réseau de manières proactive et réactive. Ses applications vont au-delà de la détection d’anomalie pour inclure la collecte de statistiques réseau, l’acquisition d’insights sur les intrusions réseau, le débogage de la communication client-serveur, et la résolution de divers autres défis réseau. La capture de paquets Network Watcher vous permet de lancer des captures de paquets à distance, réduisant ainsi la nécessité d’une exécution manuelle sur une machine virtuelle spécifique.

Dans cet article, vous allez découvrir comment configurer, démarrer, arrêter, télécharger et supprimer à distance une capture de paquets de machine virtuelle à l’aide du portail Azure. Pour savoir comment gérer des captures de paquets à l’aide de PowerShell ou d’Azure CLI, consultez Gérer la capture de paquets pour machines virtuelles avec PowerShell ou Gérer la capture de paquets pour machines virtuelles à l’aide d’Azure CLI.

Prérequis

  • Compte Azure avec un abonnement actif. Créez un compte gratuitement.
  • Une machine virtuelle avec la connectivité TCP sortante suivante :
    • vers le compte de stockage sur le port 443
    • vers 169.254.169.254 sur le port 80
    • vers 168.63.129.16 sur le port 8037

Remarque

Si un groupe de sécurité réseau est associé à l’interface réseau ou à un sous-réseau dans lequel figure l’interface réseau, assurez-vous qu’il existe des règles autorisant la connectivité de sortie sur les ports précédents. De même, assurez une connectivité sortante sur les ports précédents lors de l’ajout d’itinéraires définis par l’utilisateur à votre réseau.

Démarrer une capture de paquets

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.

    Capture d’écran montrant comment rechercher Network Watcher dans le portail Azure.

  3. Sélectionnez Capture de paquets sous Outils de diagnostic réseau. Les captures de paquets existantes sont répertoriées, indépendamment de leur état.

    Capture d’écran illustrant la capture de paquets par Network Watcher dans le Portail Azure.

  4. Sélectionnez +Ajouter pour créer une capture de paquets. Dans Ajouter une capture de paquets, entrez ou sélectionnez des valeurs pour les paramètres suivants :

    Paramètre Valeur
    Détails de base
    Abonnement Sélectionnez l’abonnement Azure de la machine virtuelle.
    Resource group Sélectionnez le groupe de ressources de la machine virtuelle.
    Type cible Sélectionnez Machine virtuelle.
    Instance de cible Sélectionnez la machine virtuelle.
    Nom de la capture de paquets Entrez un nom ou conservez le nom par défaut.
    Configuration de la capture de paquets
    Emplacement de capture Sélectionnez Compte de stockage, Fichier, ou les deux.
    Compte de stockage Sélectionnez votre compte de stockage Standard 1.
    Cette option est disponible si vous avez sélectionné Compte de stockage ou Les deux comme emplacement de capture.
    Chemin de fichier local Entrez un chemin de fichier local valide dans lequel vous souhaitez enregistrer la capture dans la machine virtuelle cible. Si vous utilisez une machine Linux, le chemin doit commencer par /var/captures.
    Cette option est disponible si vous avez sélectionné Fichier ou Les deux comme emplacement de capture.
    Nombre maximal d’octets par paquet Entrez le nombre maximal d’octets à capturer pour chaque paquet. Tous les octets sont capturés s’ils sont laissés vides ou si 0 est entré.
    Nombre maximal d’octets par session Entrez le nombre total d’octets capturés. Une fois la valeur atteinte, la capture de paquets s’arrête. Jusqu’à 1 Go est capturé s’il reste vide.
    Délai imparti (secondes) Entrez la limite de temps de la session de capture de paquets en secondes. Une fois la valeur atteinte, la capture de paquets s’arrête. Jusqu’à 5 heures (18 000 secondes) sont capturées si elles sont laissées vides.
    Filtrage (facultatif)
    Ajouter des critères de filtre Sélectionnez Ajouter des critères de filtre pour ajouter un nouveau filtre. Vous pouvez définir autant de filtres que nécessaire.
    Protocol Filtre la capture de paquets en fonction du protocole sélectionné. Les valeurs disponibles sont TCP, UDPou Tout.
    Adresse IP locale 2 filtre la capture de paquets en la limitant à ceux dont l’adresse IP locale correspond à cette valeur.
    Port local 2 filtre la capture de paquets en la limitant à ceux dont le port local correspond à cette valeur.
    Adresse IP distante 2 filtre la capture de paquets en la limitant à ceux dont l’adresse IP distante correspond à cette valeur.
    Port distant 2 filtre la capture de paquets en la limitant à ceux dont le port distant correspond à cette valeur.

    1 Les comptes de stockage Premium ne sont actuellement pas pris en charge pour le stockage des captures de paquets.

    2 Les valeurs d’adresse IP et de port peuvent être une valeur unique, une plage de valeurs telle que 80-1024, ou des valeurs multiples telles que 80, 443.

  5. Sélectionnez Démarrer la capture de paquets.

    Capture d’écran illustrant les options disponibles dans Ajouter une capture de paquets sur le Portail Azure.

  6. Une fois que la limite de temps fixée sur la capture de paquets est atteinte, la capture de paquets s’arrête et peut être revue. Pour arrêter manuellement une session de capture de paquets avant qu’elle n’atteigne sa limite de temps, sélectionnez ... sur le côté droit de la capture de paquets, ou cliquez dessus avec le bouton droit, puis sélectionnez Arrêter.

    Capture d’écran illustrant comment arrêter une capture de paquets dans le Portail Azure.

Télécharger une capture de paquets

Une fois votre session de capture de paquets terminée, le fichier de capture résultant est enregistré dans le stockage Azure, un fichier local sur la machine virtuelle cible, ou les deux. La destination de stockage de la capture de paquets est spécifiée lors de sa création. Pour plus d’informations, consultez Démarrer une capture de paquets.

Pour télécharger un fichier de capture de paquets enregistré dans Stockage Azure, effectuez ces étapes :

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche située en haut du portail, entrez Network Watcher, puis sélectionnez Network Watcher dans les résultats de la recherche.

  3. Sélectionnez Capture de paquets sous Outils de diagnostic réseau.

  4. Dans la page Capture de paquets, sélectionnez la capture de paquets dont vous souhaitez télécharger le fichier.

  5. Dans la section Détails, sélectionnez le lien du fichier de capture de paquets.

    Capture d’écran illustrant la sélection du fichier de capture de paquets dans le Portail Azure.

  6. Dans la page d’objets blob, sélectionnez Télécharger.

Remarque

Vous pouvez également télécharger les fichiers de capture à partir du conteneur de compte de stockage à l’aide du Portail Azure ou de l’Explorateur Stockage 1 au chemin d’accès suivant :

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

1 L’Explorateur Stockage est une application autonome qui vous permet d’accéder aux données Stockage Azure et de les utiliser. Pour plus d’informations, consultez Prise en main de l’Explorateur Stockage.

Pour télécharger un fichier de capture de paquets enregistré sur la machine virtuelle, connectez-vous à la machine virtuelle et téléchargez le fichier à partir du chemin d’accès local spécifié lors de la création de la capture de paquets.

Supprimer une capture de paquets

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche située en haut du portail, entrez Network Watcher, puis sélectionnez Network Watcher dans les résultats de la recherche.

  3. Sélectionnez Capture de paquets sous Outils de diagnostic réseau.

  4. Dans la page Capture de paquets , sélectionnez ... sur le côté droit de la capture de paquets que vous souhaitez supprimer, ou cliquez dessus avec le bouton droit, puis sélectionnez Supprimer.

    Capture d’écran illustrant la suppression d’une capture de paquets à partir de Network Watcher dans le Portail Azure.

  5. Sélectionnez Oui.

Important

La suppression d’une capture de paquets dans Network Watcher ne supprime pas le fichier de capture du compte de stockage ou de la machine virtuelle. Si vous n’avez plus besoin du fichier de capture, vous devez le supprimer manuellement du compte de stockage pour éviter d’encourir des coûts de stockage.