بدء تسجيلات الحزمة وإيقافها وتنزيلها وحذفها باستخدام Azure Network Watcher

• حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.

• جهاز ظاهري (VM) أو مقياس جهاز ظاهري تم تعيينه مع اتصال TCP الصادر إلى: 169.254.169.254 عبر المنفذ 80 وفوق 168.63.129.16 المنفذ 8037. يستخدم ملحق الجهاز الظاهري لعامل Network Watcher عناوين IP هذه للتواصل مع النظام الأساسي ل Azure.

• ملحق الجهاز الظاهري لعامل Network Watcher مثبت على الجهاز الظاهري الهدف. كلما كنت تستخدم التقاط حزمة Network Watcher في مدخل Microsoft Azure، يتم تثبيت العامل تلقائيا على الجهاز الظاهري الهدف أو مجموعة المقياس إذا لم يكن مثبتا مسبقا. لتحديث عامل مثبت بالفعل، راجع تحديث ملحق Azure Network Watcher إلى أحدث إصدار.

• حساب تخزين Azure مع اتصال TCP الصادر للجهاز الظاهري به عبر المنفذ 443. إذا لم يكن لديك حساب تخزين، فشاهد إنشاء حساب تخزين باستخدام مدخل Microsoft Azure. يجب أن يكون حساب التخزين قابلا للوصول من الشبكة الفرعية للجهاز الظاهري المستهدف أو مجموعة المقياس. لمزيد من المعلومات، انظر تكوين جدار حماية التخزين والشبكات الظاهرية في Azure

• سجل الدخول إلى مدخل Microsoft Azure باستخدام حساب Azure الخاص بك.

• حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.

• جهاز ظاهري (VM) مع اتصال TCP صادر إلى: 169.254.169.254 عبر المنفذ 80 وفوق 168.63.129.16 المنفذ 8037. يستخدم ملحق الجهاز الظاهري لعامل Network Watcher عناوين IP هذه للتواصل مع النظام الأساسي ل Azure.

• ملحق الجهاز الظاهري لعامل Network Watcher مثبت على الجهاز الظاهري الهدف. لمزيد من المعلومات، راجع إدارة ملحق الجهاز الظاهري لعامل مراقب الشبكة لنظام التشغيل Windows أو إدارة ملحق الجهاز الظاهري لعامل Network Watcher لنظام Linux.

• حساب تخزين Azure مع اتصال TCP الصادر للجهاز الظاهري به عبر المنفذ 443. إذا لم يكن لديك حساب تخزين، فشاهد إنشاء حساب تخزين باستخدام PowerShell. يجب أن يكون حساب التخزين قابلا للوصول من الشبكة الفرعية للجهاز الظاهري المستهدف أو مجموعة المقياس. لمزيد من المعلومات، انظر تكوين جدار حماية التخزين والشبكات الظاهرية في Azure

• Azure Cloud Shell أو Azure PowerShell.

  تعمل الخطوات الواردة في هذه المقالة على تشغيل أوامر Cmdlets Azure PowerShell بشكل تفاعلي في Azure Cloud Shell. لتشغيل الأوامر في Cloud Shell، حدد Open Cloud Shell في الزاوية العلوية اليسرى من كتلة التعليمات البرمجية. حدد نسخ لنسخ التعليمات البرمجية ثم لصقها في Cloud Shell لتشغيلها. يمكنك أيضا تشغيل Cloud Shell من داخل مدخل Microsoft Azure.

  يمكنك أيضا تثبيت Azure PowerShell محليا لتشغيل cmdlets. تتطلب هذه المقالة الوحدة النمطية Az PowerShell. لمزيد من المعلومات، راجع كيفية تثبيت Azure PowerShell. إذا قمت بتشغيل PowerShell محليا، فقم بتسجيل الدخول إلى Azure باستخدام Connect-AzAccount cmdlet.

• حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.

• جهاز ظاهري (VM) مع اتصال TCP صادر إلى: 169.254.169.254 عبر المنفذ 80 وفوق 168.63.129.16 المنفذ 8037. يستخدم ملحق الجهاز الظاهري لعامل Network Watcher عناوين IP هذه للتواصل مع النظام الأساسي ل Azure.

• ملحق الجهاز الظاهري لعامل Network Watcher مثبت على الجهاز الظاهري الهدف. لمزيد من المعلومات، راجع إدارة ملحق الجهاز الظاهري لعامل مراقب الشبكة لنظام التشغيل Windows أو إدارة ملحق الجهاز الظاهري لعامل Network Watcher لنظام Linux.

• حساب تخزين Azure مع اتصال TCP الصادر للجهاز الظاهري به عبر المنفذ 443. إذا لم يكن لديك حساب تخزين، فشاهد إنشاء حساب تخزين باستخدام Azure CLI. يجب أن يكون حساب التخزين قابلا للوصول من الشبكة الفرعية للجهاز الظاهري المستهدف أو مجموعة المقياس. لمزيد من المعلومات، انظر تكوين جدار حماية التخزين والشبكات الظاهرية في Azure

• Azure Cloud ShellأوAzure CLI.

  تعمل الخطوات الواردة في هذه المقالة على تشغيل أوامر Azure CLI بشكل تفاعلي في Azure Cloud Shell. لتشغيل الأوامر في Cloud Shell، حدد Open Cloud Shell في الزاوية العلوية اليسرى من كتلة التعليمات البرمجية. حدد نسخ لنسخ التعليمات البرمجية، ولصقها في Cloud Shell لتشغيلها. يمكنك أيضا تشغيل Cloud Shell من داخل مدخل Microsoft Azure.

  يمكنك أيضا تثبيت Azure CLI محليا لتشغيل الأوامر. إذا قمت بتشغيل Azure CLI محليا، فقم بتسجيل الدخول إلى Azure باستخدام الأمر az login .

لبدء جلسة التقاط، استخدم الخطوات التالية:

1. في مربع البحث أعلى المدخل، أدخل "Network Watcher". حدد Network Watcher من نتائج البحث.

   

2. حدد التقاط الحزمة ضمن أدوات تشخيص الشبكة، ثم حدد + إضافة لإنشاء التقاط حزمة بيانات.

   

3. في Add packet capture، أدخل أو حدد قيما للإعدادات التالية:

   الإعداد	القيمة‬
   التفاصيل الأساسية
   الاشتراك	حدد اشتراك Azure للجهاز الظاهري.
   مجموعة الموارد	حدد مجموعة الموارد للجهاز الظاهري.
   نوع الهدف	حدد Virtual machine أو Virtual machine scale set.
   مجموعة مقياس الجهاز الظاهري الهدف	حدد مجموعة مقياس الجهاز الظاهري. يتوفر هذا الخيار إذا حددت مجموعة مقياس الجهاز الظاهري كنوع الهدف.
   مثيل الهدف	حدد الجهاز الظاهري أو مثيل مجموعة التحجيم.
   اسم التقاط الحزمة	أدخل اسما أو اترك الاسم الافتراضي.
   تكوين التقاط الحزمة
   موقع الالتقاط	حدد Storage account (الخيار الافتراضي) أو File أو Both.
   حساب التخزين	حدد حسابالتخزين القياسي 1. يتوفر هذا الخيار إذا حددت Storage account أو Both كموقع التقاط. يجب أن يكون حساب التخزين في نفس المنطقة مثل المثيل الهدف.
   مسار الملف المحلي	أدخل مسار ملف محلي صالحا حيث تريد حفظ الالتقاط في الجهاز الظاهري الهدف. إذا كنت تستخدم جهاز Linux، يمكن أن يبدأ المسار ب /var/captures. إذا كنت تستخدم جهاز Windows، يمكن أن يبدأ المسار ب C:\Captures. يتوفر هذا الخيار إذا قمت بتحديد ملف أو كلاهما كموقع التقاط.
   الحد الأقصى لوحدات البايت لكل حزمة	أدخل الحد الأقصى لعدد وحدات البايت التي سيتم التقاطها لكل حزمة. يتم التقاط جميع وحدات البايت إذا تركت فارغة أو تم إدخال 0.
   الحد الأقصى لوحدات البايت لكل جلسة عمل	أدخل العدد الإجمالي لوحدات البايت التي تم التقاطها. بمجرد الوصول إلى القيمة، يتوقف التقاط الحزمة. يتم التقاط ما يصل إلى 1 غيغابايت إذا ترك فارغا.
   الحد الزمني (بالثواني)	أدخل الحد الزمني لجلسة التقاط الحزمة بالثوان. بمجرد الوصول إلى القيمة، يتوقف التقاط الحزمة. يتم التقاط ما يصل إلى 5 ساعات (18000 ثانية) إذا ترك فارغا.
   التصفية (اختياري)
   إضافة معايير التصفية	حدد Add filter criteria لإضافة عامل تصفية جديد. يمكنك تحديد العديد من المرشحات حسب حاجتك.
   البروتوكول	تصفية التقاط الحزمة استنادا إلى البروتوكول المحدد. القيم المتوفرة هي TCP أو UDP أو أي.
   عنوانIP المحلي 2	تصفية التقاط الحزمة للحزم حيث يطابق عنوان IP المحلي هذه القيمة.
   المنفذالمحلي 2	تصفية التقاط الحزمة للحزم حيث يطابق المنفذ المحلي هذه القيمة.
   عنوانIP البعيد 2	تصفية التقاط الحزمة للحزم حيث يتطابق عنوان IP البعيد مع هذه القيمة.
   المنفذالبعيد 2	تصفية التقاط الحزمة للحزم حيث يطابق المنفذ البعيد هذه القيمة.

   ¹ حسابات التخزين المتميزة غير مدعومة حاليا لتخزين التقاطات الحزمة.

   ² يمكن أن تكون قيم المنفذ وعنوان IP قيمة واحدة أو نطاق مثل 80-1024 أو قيم متعددة مثل 80 و443.

4. حدد Start packet capture.

   

5. يتوقف التقاط الحزمة بمجرد الوصول إلى الحد الزمني أو حجم الملف (الحد الأقصى لوحدات البايت لكل جلسة عمل).

لبدء جلسة التقاط، استخدم New-AzNetworkWatcherPacketCapture cmdlet:

# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -ResourceGroupName 'myResourceGroup' -Name 'myVM'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -ResourceGroupName 'myResourceGroup' -Name 'mystorageaccount'

# Start the Network Watcher capture session.
New-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1' -TargetVirtualMachineId $vm.Id  -StorageAccountId $storageAccount.Id 

بمجرد بدء جلسة الالتقاط، سترى الإخراج التالي:

ProvisioningState Name   BytesToCapturePerPacket TotalBytesPerSession TimeLimitInSeconds
----------------- ----   ----------------------- -------------------- ------------------
Succeeded         myVM_1 0                       1073741824           18000

يصف الجدول التالي المعلمات الاختيارية التي يمكنك استخدامها مع New-AzNetworkWatcherPacketCapture cmdlet:

يتوقف التقاط الحزمة بمجرد الوصول إلى الحد الزمني أو حجم الملف (الحد الأقصى لوحدات البايت لكل جلسة عمل).

لبدء جلسة التقاط، استخدم الأمر az network watcher packet-capture create :

# Start the Network Watcher capture session.
az network watcher packet-capture create --name 'myVM_1' --resource-group 'myResourceGroup' --vm 'myVM' --storage-account 'mystorageaccount'

# Start the Network Watcher capture session (storage account is in different resource group from the VM).
az network watcher packet-capture create --name 'myVM_1' --resource-group 'myResourceGroup' --vm 'myVM' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup2/providers/Microsoft.Storage/storageAccounts/mystorageaccount'

بمجرد بدء جلسة الالتقاط، سترى الإخراج التالي:

{
  "bytesToCapturePerPacket": 0,
  "etag": "W/\"aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb\"",
  "filters": [],
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_eastus/packetCaptures/myVM_1",
  "name": "myVM_1",
  "provisioningState": "Succeeded",
  "resourceGroup": "NetworkWatcherRG",
  "scope": {
    "exclude": [],
    "include": []
  },
  "storageLocation": {
    "storageId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount",
    "storagePath": "https://mystorageaccount.blob.core.windows.net/network-watcher-logs/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2025/01/31/packetcapture_16_39_41_077.cap"
  },
  "target": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM",
  "targetType": "AzureVM",
  "timeLimitInSeconds": 18000,
  "totalBytesPerSession": 1073741824
}

يصف الجدول التالي المعلمات الاختيارية التي يمكنك استخدامها مع الأمر az network watcher packet-capture create :

يتوقف التقاط الحزمة بمجرد الوصول إلى الحد الزمني أو حجم الملف (الحد الأقصى لوحدات البايت لكل جلسة عمل).

لإيقاف جلسة التقاط حزمة بيانات يدويا قبل أن تصل إلى حدود الوقت أو حجم الملف، حدد علامة الحذف ... على الجانب الأيمن من التقاط الحزمة، أو انقر بزر الماوس الأيمن فوقها، ثم حدد إيقاف.

لإيقاف جلسة التقاط حزمة بيانات يدويا قبل أن تصل إلى حدود الوقت أو حجم الملف، استخدم الأمر Cmdlet Stop-AzNetworkWatcherPacketCapture .

# Manually stop a packet capture session.
Stop-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'

لإيقاف جلسة التقاط حزمة بيانات يدويا قبل أن تصل إلى حدود الوقت أو حجم الملف، استخدم الأمر az network watcher packet-capture stop .

# Manually stop a packet capture session.
az network watcher packet-capture stop --location 'eastus' --name 'myVM_1'

انتقل إلى صفحة التقاط الحزمة من Network Watcher لسرد التقاطات الحزم الموجودة بغض النظر عن حالتها.

استخدم Get-AzNetworkWatcherPacketCapture cmdlet لاسترداد حالة التقاط حزمة بيانات (قيد التشغيل أو مكتملة).

# Get information, properties, and status of a packet capture.
Get-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'

الإخراج التالي هو مثال على الإخراج من Get-AzNetworkWatcherPacketCapture cmdlet. المثال التالي بعد اكتمال تسجيل الحزمة. يتم إيقاف قيمة PacketCaptureStatus مع StopReason من TimeExceeded. تظهر هذه القيمة أن تسجيل الحزمة كان ناجحًا واستغرق وقته.

ProvisioningState Name   Target                                                                                                                              BytesToCapturePerPacket TotalBytesPerSession TimeLimitInSeconds
----------------- ----   ------                                                                                                                              ----------------------- -------------------- ------------------
Succeeded         myVM_1 /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM 0                       1073741824           18000

استخدم الأمر az network watcher package-capture show-status لاسترداد حالة التقاط الحزمة (قيد التشغيل أو مكتمل).

# Get information, properties, and status of a packet capture.
az network watcher packet-capture show-status --location 'eastus' --name 'myVM_1'

المثال التالي هو الإخراج من الأمر az network watcher packet-capture show-status. يمكنك أن ترى أن قيمة packageCaptureStatus متوقفة، مع قيمة StopReason من TimeExceeded:

{
  "additionalProperties": {
    "status": "Succeeded"
  },
  "captureStartTime": "2016-12-06T17:20:01.5671279Z",
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkWatcherRG/providers/Microsoft.Network/networkWatchers/NetworkWatcher_eastus/packetCaptures/myVM_1",
  "name": "packetCaptureName",
  "packetCaptureError": [],
  "packetCaptureStatus": "Stopped",
  "stopReason": "TimeExceeded"
}

لتنزيل ملف التقاط حزمة البيانات المحفوظ في تخزين Azure، اتبع الخطوات التالية:

1. في صفحة التقاط الحزمة، حدد التقاط الحزمة التي تريد تنزيل ملفها.

2. في قسم التفاصيل ، حدد ارتباط ملف التقاط الحزمة.

   

3. في صفحة blob، حدد Download.

يمكنك أيضا تنزيل ملفات الالتقاط عن طريق الانتقال مباشرة إلى حاوية حساب التخزين في المسار التالي:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

إذا تم تحديد حساب تخزين، يتم حفظ ملفات الالتقاط إلى حساب التخزين في المسار التالي:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

لتنزيل التقاط حزمة بيانات من تخزين Azure إلى القرص المحلي، استخدم Get-AzStorageBlobContent cmdlet:

# Download the packet capture file from Azure storage container.
Get-AzStorageBlobContent -Container 'network-watcher-logs' -Blob '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' -Destination 'C:\Capture\myVM_1.cap'

إذا تم تحديد حساب تخزين، يتم حفظ ملفات الالتقاط إلى حساب التخزين في المسار التالي:

https://{storageAccountName}.blob.core.windows.net/network-watcher-logs/subscriptions/{subscriptionId}/resourcegroups/{storageAccountResourceGroup}/providers/microsoft.compute/virtualmachines/{virtualMachineName}/{year}/{month}/{day}/packetcapture_{UTCcreationTime}.cap

لتنزيل التقاط حزمة بيانات من تخزين Azure إلى القرص المحلي، استخدم الأمر az storage blob download :

# Download the packet capture file from Azure storage container.
az storage blob download --container-name 'network-watcher-logs' --blob-url '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myresourcegroup/providers/microsoft.compute/virtualmachines/myvm/2024/01/25/packetcapture_22_44_54_342.cap' --file 'C:\Capture\myVM_1.cap'

1. في صفحة التقاط الحزمة، حدد ... على الجانب الأيمن من التقاط الحزمة التي تريد حذفها، أو انقر بزر الماوس الأيمن فوقها، ثم حدد حذف.

   

2. حدد نعم.

استخدم Remove-AzNetworkWatcherPacketCapture لحذف مورد التقاط الحزمة.

# Delete a packet capture resource.
Remove-AzNetworkWatcherPacketCapture -Location 'eastus' -PacketCaptureName 'myVM_1'

استخدم az network watcher packet-capture delete لحذف مورد التقاط حزمة البيانات.

# Delete a packet capture resource.
az network watcher packet-capture delete --location 'eastus' --name 'myVM_1'