مخطط تحليلات نسبة استخدام الشبكة وتجميع البيانات

تُعد تحليلات الحركة بمثابة حلول قائمة على التطبيقات السحابية توفر الرؤية لنشاط المستخدم والتطبيق في الشبكة السحابية تحلل تحليلات نسبة استخدام الشبكة سجلات تدفق Azure Network Watcher لتوفير رؤى حول تدفق نسبة استخدام الشبكة في سحابة Azure. باستخدام تحليلات نسبة استخدام الشبكة، يمكنك:

• تصور نشاط الشبكة عبر اشتراكات Azure خاصتك وتحديد النقاط الفعالة.
• حدد تهديدات الأمان، وقم بتأمين شبكتك، بمعلومات مثل المنافذ المفتوحة والتطبيقات التي تحاول الوصول إلى الإنترنت والأجهزة الظاهرية (VMs) المتصلة بالشبكات المارقة.
• فهم أنماط تدفق حركة المرور عبر مناطق Azure والإنترنت لتحسين توزيع شبكتك من أجل الأداء والسعة.
• تحديد التكوينات الخاطئة للشبكة التي تؤدي إلى فشل الاتصالات في شبكتك.
• تعرف على استخدام الشبكة بالبايت أو حزمة بيانات أو التدفقات.

تجميع البيانات

سجلات تدفق الشبكة الظاهرية

• يتم التقاط جميع سجلات التدفق بين FlowIntervalStartTime و FlowIntervalEndTime على فترات زمنية مدتها دقيقة واحدة ككائنات ثنائية كبيرة الحجم في حساب تخزين.
• الفاصل الزمني الافتراضي للمعالجة لتحليلات نسبة استخدام الشبكة هو 60 دقيقة، ما يعني أنه كل ساعة، تختار تحليلات نسبة استخدام الشبكة الكائنات الثنائية كبيرة الحجم من حساب التخزين للتجميع. ومع ذلك، إذا تم تحديد فاصل زمني للمعالجة مدته 10 دقائق، فستختار تحليلات نسبة استخدام الشبكة بدلا من ذلك الكائنات الثنائية كبيرة الحجم من حساب التخزين كل 10 دقائق.
• يتم تجميع التدفقات التي لها نفس Source IPو Destination IPDestination portNSG nameNSG ruleFlow Directionو في Transport layer protocol (TCP or UDP) تدفق واحد بواسطة تحليلات نسبة استخدام الشبكة (ملاحظة: يتم استبعاد منفذ المصدر للتجميع).
• تم تزيين هذا السجل الفردي (التفاصيل في القسم أدناه) واستيعابه في سجلات Azure Monitor بواسطة تحليلات نسبة استخدام الشبكة. قد تستغرق هذه العملية ما يصل إلى ساعة واحدة.
• FlowStartTime يشير الحقل إلى التكرار الأول لمثل هذا التدفق المجمع (نفس الأربع مجموعات) في الفاصل الزمني لمعالجة سجل التدفق بين FlowIntervalStartTime و FlowIntervalEndTime.
• بالنسبة إلى أي مورد في تحليلات نسبة استخدام الشبكة، فإن التدفقات المشار إليها في مدخل Microsoft Azure هي إجمالي التدفقات التي تتم رؤيتها، ولكن في سجلات Azure Monitor، يرى المستخدم السجل الوحيد المخفض فقط. لمشاهدة كافة التدفقات، استخدم blob_id الحقل الذي يمكن الرجوع إليه من التخزين. يطابق إجمالي عدد التدفق لهذا السجل التدفقات الفردية التي تظهر في الكائن الثنائي كبير الحجم.

سجلات تدفق مجموعة أمان الشبكة

• يتم التقاط جميع سجلات التدفق في مجموعة أمان الشبكة بين FlowIntervalStartTime_t و FlowIntervalEndTime_t على فترات زمنية مدتها دقيقة واحدة كنقاط في حساب تخزين.
• الفاصل الزمني الافتراضي للمعالجة لتحليلات نسبة استخدام الشبكة هو 60 دقيقة، ما يعني أنه كل ساعة، تختار تحليلات نسبة استخدام الشبكة الكائنات الثنائية كبيرة الحجم من حساب التخزين للتجميع. ومع ذلك، إذا تم تحديد فاصل زمني للمعالجة مدته 10 دقائق، فستختار تحليلات نسبة استخدام الشبكة بدلا من ذلك الكائنات الثنائية كبيرة الحجم من حساب التخزين كل 10 دقائق.
• يتم تجميع التدفقات التي لها نفس Source IPو Destination IPDestination portNSG nameNSG ruleFlow Directionو في Transport layer protocol (TCP or UDP) تدفق واحد بواسطة تحليلات نسبة استخدام الشبكة (ملاحظة: يتم استبعاد منفذ المصدر للتجميع).
• تم تزيين هذا السجل الفردي (التفاصيل في القسم أدناه) واستيعابه في سجلات Azure Monitor بواسطة تحليلات نسبة استخدام الشبكة. قد تستغرق هذه العملية ما يصل إلى ساعة واحدة.
• FlowStartTime_t يشير الحقل إلى التكرار الأول لمثل هذا التدفق المجمع (نفس الأربع مجموعات) في الفاصل الزمني لمعالجة سجل التدفق بين FlowIntervalStartTime_t و FlowIntervalEndTime_t.
• بالنسبة إلى أي مورد في تحليلات نسبة استخدام الشبكة، فإن التدفقات المشار إليها في مدخل Microsoft Azure هي إجمالي التدفقات التي تراها مجموعة أمان الشبكة، ولكن في سجلات Azure Monitor، يرى المستخدم السجل الفردي المنخفض فقط. لمشاهدة كافة التدفقات، استخدم blob_id الحقل الذي يمكن الرجوع إليه من التخزين. يطابق إجمالي عدد التدفق لهذا السجل التدفقات الفردية التي تظهر في الكائن الثنائي كبير الحجم.

مخطط تحليلات نسبة استخدام الشبكة

تم إنشاء تحليلات نسبة استخدام الشبكة أعلى سجلات Azure Monitor، بحيث يمكنك تشغيل استعلامات مخصصة على البيانات التي تم تزيينها بواسطة تحليلات نسبة استخدام الشبكة وتعيين التنبيهات.

سجلات تدفق الشبكة الظاهرية

يسرد الجدول التالي الحقول في المخطط وما تدل عليه لسجلات تدفق الشبكة الظاهرية. لمزيد من المعلومات، راجع NTANetAnalytics.

الحقل	التنسيق	التعليقات
اسم الجدول	NTANetAnalytics	جدول لبيانات تحليلات نسبة استخدام الشبكة.
النوع الفرعي	سجل التدفق	النوع الفرعي لسجلات التدفق. استخدم FlowLog فقط، وتكون القيم الأخرى للنوعالفرعي للاستخدام الداخلي.
FASchemaالإصدار	3	إصدار المخطط. لا يعكس إصدار سجل تدفق الشبكة الظاهرية.
معالجة الوقت	التاريخ والوقت بالتوقيت العالمي المتفق عليه	الوقت الذي عالجت فيه تحليلات نسبة استخدام الشبكة سجلات التدفق الأولية من حساب التخزين.
FlowIntervalStartTime	التاريخ والوقت بالتوقيت العالمي المتفق عليه	وقت بدء الفاصل الزمني لمعالجة سجل التدفق (الوقت الذي يتم قياس الفاصل الزمني للتدفق منه).
FlowIntervalEndTime	التاريخ والوقت بالتوقيت العالمي المتفق عليه	وقت إنهاء الفاصل الزمني لمعالجة سجل التدفق.
وقت بدء التدفق	التاريخ والوقت بالتوقيت العالمي المتفق عليه	التكرار الأول للتدفق (الذي يتم تجميعه) في الفاصل الزمني لمعالجة سجل التدفق بين FlowIntervalStartTime و FlowIntervalEndTime. يتم تجميع هذا التدفق استنادا إلى منطق التجميع.
FlowEndTime	التاريخ والوقت بالتوقيت العالمي المتفق عليه	آخر تكرار للتدفق (الذي يتم تجميعه) في الفاصل الزمني لمعالجة سجل التدفق بين FlowIntervalStartTime و FlowIntervalEndTime.
نوع التدفق	- إنترانت - شبكة إنترفي - S2S - P2S - Azure Public - خارجي عام - تدفق ضار - خاص غير معروف - غير معروف	راجع الملاحظات للتعريفات.
SrcIp	عنوان IP المصدر	فارغ في تدفقات AzurePublic و ExternalPublic.
DestIp	عنوان IP الوجهة	فارغ في تدفقات AzurePublic و ExternalPublic.
معرف TargetResourceId	ResourceGroupName/ResourceName	معرف المورد الذي يتم فيه تمكين تسجيل التدفق وتحليلات نسبة استخدام الشبكة.
نوع TargetResourceType	الشبكة الظاهرية/الشبكة الفرعية/واجهة الشبكة	نوع المورد الذي يتم فيه تمكين تسجيل التدفق وتحليلات نسبة استخدام الشبكة (الشبكة الظاهرية أو الشبكة الفرعية أو NIC أو مجموعة أمان الشبكة).
FlowLogResourceId	ResourceGroupName/NetworkWatcherName/FlowLogName	معرف المورد لسجل التدفق.
ديستبورت	منفذ الوجهة	المنفذ الذي يتم فيه إرسال نسبة استخدام الشبكة.
بروتوكول L4	- تي - يو	بروتوكول النقل. T = TCP U = UDP
بروتوكول L7	اسم البروتوكول	مشتق من منفذ الوجهة.
اتجاه التدفق	- I = الواردة - O = الصادر	اتجاه التدفق: داخل المورد الهدف أو خارجه لكل سجل تدفق.
حالة التدفق	- A = مسموح به - D = مرفوض	حالة التدفق: مسموح بها أو مرفوضة بواسطة المورد الهدف لكل سجل تدفق.
قائمة قائمة القوائم	<معرف> الاشتراك/<resourcegroup_Name>/<NSG_Name>	مجموعة أمان الشبكة المقترنة بالتدفق.
AclRule	NSG_Rule_Name	قاعدة مجموعة أمان الشبكة التي سمحت بالتدفق أو رفضته.
عنوان MAC	عنوان وحدة تحكم وصول الوسائط	عنوان MAC ل NIC الذي تم التقاط التدفق فيه.
اشتراك Src	مُعرّف الاشتراك	معرف الاشتراك للشبكة الظاهرية / واجهة الشبكة / الجهاز الظاهري الذي ينتمي إليه IP المصدر في التدفق.
اشتراك DestSubscription	مُعرّف الاشتراك	معرف الاشتراك للشبكة الظاهرية / واجهة الشبكة / الجهاز الظاهري الذي ينتمي إليه عنوان IP الوجهة في التدفق.
منطقة الشرب	منطقة Azure	منطقة Azure للشبكة الظاهرية / واجهة الشبكة / الجهاز الظاهري الذي ينتمي إليه IP المصدر في التدفق.
منطقة الإزالة	منطقة Azure	منطقة Azure للشبكة الظاهرية التي ينتمي إليها IP الوجهة في التدفق.
س.ر.	<resourcegroup_Name>/<NetworkInterfaceName>	NIC المقترنة ب IP المصدر في التدفق.
ديستنيك	<resourcegroup_Name>/<NetworkInterfaceName>	NIC المقترنة ب IP الوجهة في التدفق.
إس آر سي في إم	<resourcegroup_Name>/<VirtualMachineName>	الجهاز الظاهري المقترن ب IP المصدر في التدفق.
DestVm	<resourcegroup_Name>/<VirtualMachineName>	الجهاز الظاهري المقترن ب IP الوجهة في التدفق.
شبكة SrcSubnet	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	الشبكة الفرعية المقترنة ب IP المصدر في التدفق.
DestSubnet	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	الشبكة الفرعية المقترنة ب IP الوجهة في التدفق.
SrcApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	بوابة التطبيق المقترنة ب IP المصدر في التدفق.
DestApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	بوابة التطبيق المقترنة ب IP الوجهة في التدفق.
SrcExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	معرف دائرة ExpressRoute - عند إرسال التدفق من الموقع عبر ExpressRoute.
DestExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	معرف دائرة ExpressRoute - عند تلقي التدفق من السحابة بواسطة ExpressRoute.
ExpressRouteCircuitPeeringType	- AzurePrivatePeering - AzurePublicPeering - مايكروسوفت بيريينغ	نوع نظير ExpressRoute المضمن في التدفق.
SrcLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	موازن التحميل المقترن ب IP المصدر في التدفق.
DestLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	موازن التحميل المقترن ب IP الوجهة في التدفق.
SrcLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	بوابة الشبكة المحلية المقترنة ب IP المصدر في التدفق.
DestLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	بوابة الشبكة المحلية المقترنة ب IP الوجهة في التدفق.
نوع الاتصال	- VNetPeering - بوابة VPN - ExpressRoute	نوع الاتصال.
اسم الاتصال	<SubscriptionID>/<ResourceGroupName>/<ConnectionName>	اسم الاتصال. بالنسبة لنوع التدفق P2S، يتم تنسيقه على <أنه GatewayName>_<VPNClientIP>
توصيل الشبكات الظاهرية	قائمة مفصولة بمسافات لأسماء الشبكات الظاهرية.	في تخطيط الشبكة المحورية، يتم ملء الشبكات الظاهرية للمركز هنا.
البلد	رمز البلد المكون من حرفين (ISO 3166-1 alpha-2)	مُعبأ بنوع تدفق ExternalPublic. تشترك جميع عناوين IP في حقل PublicIPs في نفس رمز البلد.
AzureRegion	مواقع منطقة Azure	مُعبأ بنوع تدفق AzurePublic. تشترك جميع عناوين IP في حقل PublicIPs في منطقة Azure.
المسموح به في التدفقات	-	عدد التدفقات الواردة المسموح بها، والتي تمثل عدد التدفقات التي تشترك في نفس الأربع مجموعات الواردة إلى واجهة الشبكة التي تم التقاط التدفق فيها.
رفض InFlows	-	عدد التدفقات الواردة المرفوضة. (الواردة إلى واجهة الشبكة التي تم التقاط التدفق فيها).
AllowedOutFlows	-	عدد التدفقات الصادرة المسموح بها (الصادرة إلى واجهة الشبكة التي تم التقاط التدفق فيها).
تم رفض التدفقات	-	عدد التدفقات الصادرة التي تم رفضها (الصادرة إلى واجهة الشبكة التي تم التقاط التدفق فيها).
الحزمةDestToSrc	-	يمثل الحزم المرسلة من الوجهة إلى مصدر التدفق.
حزم البياناتمستوكود البيانات	-	يمثل الحزم المرسلة من المصدر إلى وجهة التدفق .
بايتسDestToSrc	-	يمثل وحدات البايت المرسلة من الوجهة إلى مصدر التدفق.
بايتSrcToDest	-	يمثل وحدات البايت المرسلة من المصدر إلى وجهة التدفق.
التدفقات المكتملة	-	إجمالي عدد التدفقات المكتملة (مملوءة بقيمة غير صفرية عندما يحصل التدفق على حدث مكتمل).
SrcPublicIP	<SOURCE_PUBLIC_IP> |<FLOW_STARTED_COUNT> |<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS> |<INBOUND_PACKETS> |<OUTBOUND_BYTES> |<INBOUND_BYTES>	الإدخالات مفصولة بشرائط.
DestPublicIP	<DESTINATION_PUBLIC_IP> |<FLOW_STARTED_COUNT> |<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS> |<INBOUND_PACKETS> |<OUTBOUND_BYTES> |<INBOUND_BYTES>	الإدخالات مفصولة بشرائط.
تشفير التدفق	-المشفره -مشفره - أجهزة غير مدعومة - البرامج غير جاهزة - إسقاط بسبب عدم وجود تشفير - الاكتشاف غير مدعوم - الوجهة على نفس المضيف - العودة إلى عدم التشفير.	مستوى التشفير من التدفقات.
PrivateEndpointResourceId	<ResourceGroup/privateEndpointResource>	معرف المورد لمورد نقطة النهاية الخاصة. يتم ملؤها عند تدفق حركة المرور من أو إلى مورد نقطة نهاية خاصة.
PrivateLinkResourceId	<ResourceGroup/ResourceType/privateLinkResource>	معرف المورد لخدمة الارتباط الخاص. يتم ملؤها عند تدفق حركة المرور من أو إلى مورد نقطة نهاية خاصة.
PrivateLinkResourceName	نص عادي	اسم المورد لخدمة الارتباط الخاص. يتم ملؤها عند تدفق حركة المرور من أو إلى مورد نقطة نهاية خاصة.
IsFlowCapturedAtUDRHop	-صحيح - خطأ	إذا تم التقاط التدفق عند قفزة UDR، تكون القيمة True.

إشعار

يحل NTANetAnalytics في سجلات تدفق الشبكة الظاهرية محل AzureNetworkAnalytics_CL المستخدمة في سجلات تدفق مجموعة أمان الشبكة.

سجلات تدفق مجموعة أمان الشبكة

يسرد الجدول التالي الحقول في المخطط وما تدل عليه لسجلات تدفق مجموعة أمان الشبكة.

الحقل	التنسيق	التعليقات
اسم الجدول	AzureNetworkAnalytics_CL	جدول لبيانات تحليلات نسبة استخدام الشبكة.
SubType_s	سجل التدفق	النوع الفرعي لسجلات التدفق. استخدم FlowLog فقط، والقيم الأخرى SubType_s للاستخدام الداخلي.
FASchemaVersion_s	2	إصدار المخطط. لا يعكس إصدار سجل تدفق مجموعة أمان الشبكة.
TimeProcessed_t	التاريخ والوقت بالتوقيت العالمي المتفق عليه	الوقت الذي عالجت فيه تحليلات نسبة استخدام الشبكة سجلات التدفق الأولية من حساب التخزين.
FlowIntervalStartTime_t	التاريخ والوقت بالتوقيت العالمي المتفق عليه	وقت بدء الفاصل الزمني لمعالجة سجل التدفق (الوقت الذي يتم قياس الفاصل الزمني للتدفق منه).
FlowIntervalEndTime_t	التاريخ والوقت بالتوقيت العالمي المتفق عليه	وقت إنهاء الفاصل الزمني لمعالجة سجل التدفق.
FlowStartTime_t	التاريخ والوقت بالتوقيت العالمي المتفق عليه	التكرار الأول للتدفق (الذي يتم تجميعه) في الفاصل الزمني لمعالجة سجل التدفق بين FlowIntervalStartTime_t و FlowIntervalEndTime_t. يتم تجميع هذا التدفق استنادا إلى منطق التجميع.
FlowEndTime_t	التاريخ والوقت بالتوقيت العالمي المتفق عليه	آخر تكرار للتدفق (الذي يتم تجميعه) في الفاصل الزمني لمعالجة سجل التدفق بين FlowIntervalStartTime_t و FlowIntervalEndTime_t. من حيث سجل التدفق v2، يحتوي هذا الحقل على الوقت الذي بدأ فيه التدفق الأخير بنفس المجموعة الأربع (تم وضع علامة B في سجل التدفق الخام).
FlowType_s	- إنترانت - شبكة إنترفي - S2S - P2S - Azure Public - خارجي عام - تدفق ضار - خاص غير معروف - غير معروف	راجع الملاحظات للتعريفات.
SrcIP_s	عنوان IP المصدر	فارغ في تدفقات AzurePublic و ExternalPublic.
DestIP_s	عنوان IP الوجهة	فارغ في تدفقات AzurePublic و ExternalPublic.
VMIP_s	IP من جهاز ظاهري	يستخدم للتدفقات AzurePublic و ExternalPublic.
DestPort_d	منفذ الوجهة	المنفذ الذي يتم فيه إرسال نسبة استخدام الشبكة.
L4Protocol_s	- تي - يو	بروتوكول النقل. T = TCP U = UDP.
L7Protocol_s	اسم البروتوكول	مشتق من منفذ الوجهة.
FlowDirection_s	- I = الواردة - O = الصادر	اتجاه التدفق: داخل أو خارج مجموعة أمان الشبكة لكل سجل تدفق.
FlowStatus_s	- A = مسموح به - D = مرفوض	حالة التدفق سواء كانت مسموحة أو مرفوضة من قبل مجموعة أمان الشبكة لكل سجل تدفق.
NSGList_s	<معرف> الاشتراك/<resourcegroup_Name>/<NSG_Name>	مجموعة أمان الشبكة المقترنة بالتدفق.
NSGRules_s	<قيمة الفهرس 0>|<>NSG_Rule_Name|<اتجاه> التدفق|<حالة> التدفق|<FlowCount ProcessedByRule>	قاعدة مجموعة أمان الشبكة التي سمحت بهذا التدفق أو رفضته.
NSGRule_s	NSG_Rule_Name	قاعدة مجموعة أمان الشبكة التي سمحت بهذا التدفق أو رفضته.
NSGRuleType_s	- معرف من قبل المستخدم -افتراضي	نوع قاعدة مجموعة أمان الشبكة المستخدمة من قبل التدفق.
MACAddress_s	عنوان وحدة تحكم وصول الوسائط	عنوان MAC ل NIC الذي تم التقاط التدفق فيه.
Subscription_g	يتم ملء اشتراك شبكة Azure الظاهرية / واجهة الشبكة / الجهاز الظاهري في هذا الحقل	ينطبق فقط على أنواع تدفق FlowType = S2S وP2S وAzurePublic و ExternalPublic و MaliciousFlow و UnknownPrivate (أنواع التدفق حيث يكون جانب واحد فقط هو Azure).
Subscription1_g	مُعرّف الاشتراك	معرف الاشتراك للشبكة الظاهرية / واجهة الشبكة / الجهاز الظاهري الذي ينتمي إليه IP المصدر في التدفق.
Subscription2_g	مُعرّف الاشتراك	معرف الاشتراك للشبكة الظاهرية/ واجهة الشبكة / الجهاز الظاهري الذي ينتمي إليه عنوان IP الوجهة في التدفق.
Region_s	منطقة Azure للشبكة الظاهرية / واجهة الشبكة / الجهاز الظاهري الذي ينتمي إليه IP في التدفق.	ينطبق فقط على أنواع تدفق FlowType = S2S وP2S وAzurePublic و ExternalPublic و MaliciousFlow و UnknownPrivate (أنواع التدفق حيث يكون جانب واحد فقط هو Azure).
Region1_s	منطقة Azure	منطقة Azure للشبكة الظاهرية / واجهة الشبكة / الجهاز الظاهري الذي ينتمي إليه IP المصدر في التدفق.
Region2_s	منطقة Azure	منطقة Azure للشبكة الظاهرية التي ينتمي إليها IP الوجهة في التدفق.
NIC_s	<resourcegroup_Name>/<NetworkInterfaceName>	NIC المقترن بالجهاز الظاهري الذي يرسل حركة المرور أو يستقبلها.
NIC1_s	<resourcegroup_Name>/<NetworkInterfaceName>	NIC المقترنة ب IP المصدر في التدفق.
NIC2_s	<resourcegroup_Name>/<NetworkInterfaceName>	NIC المقترنة ب IP الوجهة في التدفق.
VM_s	<resourcegroup_Name>/<NetworkInterfaceName>	الجهاز الظاهري المقترن بواجهة الشبكة NIC_s.
VM1_s	<resourcegroup_Name>/<VirtualMachineName>	الجهاز الظاهري المقترن ب IP المصدر في التدفق.
VM2_s	<resourcegroup_Name>/<VirtualMachineName>	الجهاز الظاهري المقترن ب IP الوجهة في التدفق.
Subnet_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	الشبكة الفرعية المقترنة NIC_s.
Subnet1_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	الشبكة الفرعية المقترنة ب IP المصدر في التدفق.
Subnet2_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	الشبكة الفرعية المقترنة ب IP الوجهة في التدفق.
ApplicationGateway1_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	بوابة التطبيق المقترنة ب IP المصدر في التدفق.
ApplicationGateway2_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	بوابة التطبيق المقترنة ب IP الوجهة في التدفق.
ExpressRouteCircuit1_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	معرف دائرة ExpressRoute - عند إرسال التدفق من الموقع عبر ExpressRoute.
ExpressRouteCircuit2_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	معرف دائرة ExpressRoute - عند تلقي التدفق من السحابة بواسطة ExpressRoute.
ExpressRouteCircuitPeeringType_s	- AzurePrivatePeering - AzurePublicPeering - مايكروسوفت بيريينغ	نوع نظير ExpressRoute المضمن في التدفق.
LoadBalancer1_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	موازن التحميل المقترن ب IP المصدر في التدفق.
LoadBalancer2_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	موازن التحميل المقترن ب IP الوجهة في التدفق.
LocalNetworkGateway1_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	بوابة الشبكة المحلية المقترنة ب IP المصدر في التدفق.
LocalNetworkGateway2_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	بوابة الشبكة المحلية المقترنة ب IP الوجهة في التدفق.
ConnectionType_s	- VNetPeering - بوابة VPN - ExpressRoute	نوع الاتصال.
ConnectionName_s	<SubscriptionID>/<ResourceGroupName>/<ConnectionName>	اسم الاتصال. بالنسبة لنوع التدفق P2S، يتم تنسيقه كبوابة <name>_<VPN Client IP>.
ConnectingVNets_s	قائمة بأسماء الشبكات الظاهرية مفصولة بمسافات	في حالة تخطيط الشبكة المحورية، يتم ملء الشبكات الظاهرية للمركز هنا.
Country_s	رمز البلد المّكون من حرفين (ISO 3166-1 alpha-2)	مُعبأ بنوع تدفق ExternalPublic. تشترك جميع عناوين IP في حقل PublicIPs_s في نفس رمز البلد.
AzureRegion_s	مواقع منطقة Azure	مُعبأ بنوع تدفق AzurePublic. تشترك جميع عناوين IP في حقل PublicIPs_s في منطقة Azure.
AllowedInFlows_d		عدد التدفقات الواردة المسموح بها، والتي تمثل عدد التدفقات التي تشترك في نفس الأربع مجموعات الواردة إلى واجهة الشبكة التي تم التقاط التدفق فيها.
DeniedInFlows_d		عدد التدفقات الواردة المرفوضة. (الواردة إلى واجهة الشبكة التي تم التقاط التدفق فيها).
AllowedOutFlows_d		عدد التدفقات الصادرة المسموح بها (الصادرة إلى واجهة الشبكة التي تم التقاط التدفق فيها).
DeniedOutFlows_d		عدد التدفقات الصادرة التي تم رفضها (الصادرة إلى واجهة الشبكة التي تم التقاط التدفق فيها).
FlowCount_d	‏‏مهمل. إجمالي التدفقات التي تطابق نفس الأربع مجموعات. في حالة أنواع التدفق ExternalPublic وAzurePublic، يتضمن العدد التدفقات من عناوين PublicIP المختلفة أيضا.
InboundPackets_d	يمثل الحزم المُرسلة من الوجهة إلى مصدر التدفق	يتم ملؤه فقط للإصدار 2 من مخطط سجل تدفق مجموعة أمان الشبكة.
OutboundPackets_d	يمثل الحزم المُرسلة من المصدر إلى مصدر التدفق	يتم ملؤه فقط للإصدار 2 من مخطط سجل تدفق مجموعة أمان الشبكة.
InboundBytes_d	يمثل وحدات البايت المرسلة من الوجهة إلى مصدر التدفق	يتم ملؤه فقط للإصدار 2 من مخطط سجل تدفق مجموعة أمان الشبكة.
OutboundBytes_d	يمثل وحدات البايت المرسلة من المصدر إلى وجهة التدفق	يتم ملؤه فقط للإصدار 2 من مخطط سجل تدفق مجموعة أمان الشبكة.
CompletedFlows_d		يتم ملؤها بقيمة غير صفرية فقط للإصدار 2 من مخطط سجل تدفق مجموعة أمان الشبكة.
PublicIPs_s	<PUBLIC_IP> |<FLOW_STARTED_COUNT> |<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS> |<INBOUND_PACKETS> |<OUTBOUND_BYTES> |<INBOUND_BYTES>	الإدخالات مفصولة بشرائط.
SrcPublicIPs_s	<SOURCE_PUBLIC_IP> |<FLOW_STARTED_COUNT> |<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS> |<INBOUND_PACKETS> |<OUTBOUND_BYTES> |<INBOUND_BYTES>	الإدخالات مفصولة بشرائط.
DestPublicIPs_s	<DESTINATION_PUBLIC_IP> |<FLOW_STARTED_COUNT> |<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS> |<INBOUND_PACKETS> |<OUTBOUND_BYTES> |<INBOUND_BYTES>	الإدخالات مفصولة بشرائط.
IsFlowCapturedAtUDRHop_b	-صحيح - خطأ	إذا تم التقاط التدفق عند قفزة UDR، تكون القيمة True.

هام

تم تحديث مخطط تحليلات نسبة استخدام الشبكة في 22 أغسطس 2019. يوفر المخطط الجديد عناوين IP المصدر والوجهة بشكل منفصل، ما يزيل الحاجة إلى تحليل FlowDirection الحقل بحيث تكون الاستعلامات أبسط. يحتوي المخطط المحدث على التغييرات التالية:

• FASchemaVersion_s تم التحديث من 1 إلى 2.
• الحقول المهملة: VMIP_s، Subscription_g، Region_s، NSGRules_s، Subnet_s، VM_s، ، NIC_s، ، PublicIPs_sFlowCount_d
• الحقول الجديدة: SrcPublicIPs_s، ، DestPublicIPs_sNSGRule_s

مخطط تفاصيل IP العامة

توفر تحليلات نسبة استخدام الشبكة بيانات WHOIS والموقع الجغرافي لجميع عناوين IP العامة في بيئتك. بالنسبة لعنوان IP الضار، توفر تحليلات نسبة استخدام الشبكة مجال DNS ونوع التهديد وأوصاف مؤشر الترابط كما هو محدد بواسطة حلول التحليل الذكي للأمان من Microsoft. يتم نشر تفاصيل IP إلى مساحة عمل Log Analytics حتى تتمكن من إنشاء استعلامات مخصصة ووضع تنبيهات عليها. يمكنك أيضا الوصول إلى الاستعلامات مسبقة الملء من لوحة معلومات تحليلات نسبة استخدام الشبكة.

سجلات تدفق الشبكة الظاهرية

يوضح الجدول التالي تفاصيل مخطط IP العام. لمزيد من المعلومات، راجع NTAIpDetails.

الحقل	التنسيق	التعليقات
اسم الجدول	NTAIpالتفاصيل	الجدول الذي يحتوي على بيانات تفاصيل IP لتحليلات نسبة استخدام الشبكة.
النوع الفرعي	سجل التدفق	النوع الفرعي لسجلات التدفق. استخدم FlowLog فقط. القيم الأخرى للنوع الفرعي مخصصة للعمل الداخلي للمنتج.
FASchemaالإصدار	3	إصدار المخطط. لا يعكس إصدار سجل تدفق الشبكة الظاهرية.
FlowIntervalStartTime	التاريخ والوقت بالتوقيت العالمي المتفق عليه	وقت بدء الفاصل الزمني لمعالجة سجل التدفق (الوقت الذي يتم قياس الفاصل الزمني للتدفق منه).
FlowIntervalEndTime	التاريخ والوقت بالتوقيت العالمي المتفق عليه	وقت انتهاء الفاصل الزمني لمعالجة سجل التدفق.
نوع التدفق	- Azure Public - خارجي عام - تدفق ضار	راجع الملاحظات للتعريفات.
الملكية الفكرية	عنوان IP عام	IP العام الذي يتم توفير معلوماته في السجل.
علامات تعريف IP العامة	معلومات حول IP	بالنسبة إلى AzurePublic IP: تمتلك خدمة Azure IP أو عنوان IP العام الظاهري من Microsoft ل IP 168.63.129.16. ExternalPublic/Malicious IP: معلومات WHOIS ل IP.
نوع التهديد	التهديد الذي يشكله IP ضار	بالنسبة إلى عناوين IP الضارة فقط. أحد التهديدات من قائمة القيم المسموح بها حاليا. للحصول على مزيد من المعلومات، راجع الملاحظات.
DNSDomain	مجال نظام أسماء المجالات (DNS)	بالنسبة إلى عناوين IP الضارة فقط. اسم المجال المقترن ب IP هذا.
وصف التهديد	وصف التهديد	بالنسبة إلى عناوين IP الضارة فقط. وصف التهديد الذي يشكله IP الضار.
مكان	موقع IP	بالنسبة ل Azure Public IP: منطقة Azure للشبكة الظاهرية / واجهة الشبكة / الجهاز الظاهري الذي ينتمي إليه IP أو Global ل IP 168.63.129.16. بالنسبة إلى IP العام الخارجي وIP الضار: رمز البلد المكون من حرفين (ISO 3166-1 alpha-2) حيث يوجد IP.
عنوان URL	عنوان URL المطابق لعنون IP الضار	بالنسبة إلى عناوين IP الضارة فقط.
منفذ	المنفذ المقابل ل IP الضار	بالنسبة إلى عناوين IP الضارة فقط.

إشعار

• تحل NTAIPDetails في سجلات تدفق الشبكة الظاهرية محل AzureNetworkAnalyticsIPDetails_CL المستخدمة في سجلات تدفق مجموعة أمان الشبكة.

• يمكن لتحليلات نسبة استخدام الشبكة تسجيل أي FQDN ضار مرتبط ب IP للتدفقات الضارة. للتصفية، استخدم حقول المنفذ وعنوان URL والمجال حسب الحاجة.

سجلات تدفق مجموعة أمان الشبكة

يوضح الجدول التالي تفاصيل مخطط IP العام.

الحقل	التنسيق	التعليقات
اسم الجدول	AzureNetworkAnalyticsIPDetails_CL	الجدول الذي يحتوي على بيانات تفاصيل IP لتحليلات نسبة استخدام الشبكة.
SubType_s	سجل التدفق	النوع الفرعي لسجلات التدفق. استخدم "FlowLog" فقط، والقيم الأخرى SubType_s هي للعمل الداخلي للمنتج.
FASchemaVersion_s	2	إصدار المخطط. لا يعكس إصدار سجل تدفق مجموعة أمان الشبكة.
FlowIntervalStartTime_t	التاريخ والوقت بالتوقيت العالمي المتفق عليه	وقت بدء الفاصل الزمني لمعالجة سجل التدفق (الوقت الذي يتم قياس الفاصل الزمني للتدفق منه).
FlowIntervalEndTime_t	التاريخ والوقت بالتوقيت العالمي المتفق عليه	وقت انتهاء الفاصل الزمني لمعالجة سجل التدفق.
FlowType_s	- Azure Public - خارجي عام - تدفق ضار	راجع الملاحظات للتعريفات.
الملكية الفكرية	عنوان IP عام	IP العام الذي يتم توفير معلوماته في السجل.
مكان	موقع IP	- بالنسبة ل Azure Public IP: منطقة Azure للشبكة الظاهرية/واجهة الشبكة/الجهاز الظاهري الذي ينتمي إليه IP OR Global ل IP 168.63.129.16. - بالنسبة إلى IP العام الخارجي وIP الضار: رمز البلد المكون من حرفين حيث يوجد IP (ISO 3166-1 alpha-2).
علامات تعريف IP العامة	معلومات حول IP	- بالنسبة ل AzurePublic IP: تمتلك خدمة Azure IP أو عنوان IP العام الظاهري من Microsoft ل 168.63.129.16. - ExternalPublic/Malicious IP: معلومات WHOIS ل IP.
نوع التهديد	التهديد الذي يشكله IP ضار	بالنسبة إلى عناوين IP الضارة فقط: أحد التهديدات من قائمة القيم المسموح بها حاليا (راجع أنواع التهديدات).
وصف التهديد	وصف التهديد	بالنسبة إلى عناوين IP الضارة فقط. وصف التهديد الذي يشكله IP الضار.
DNSDomain	مجال نظام أسماء المجالات (DNS)	بالنسبة إلى عناوين IP الضارة فقط. اسم المجال المقترن ب IP الضار.
عنوان URL	عنوان URL المطابق لعنون IP الضار	بالنسبة إلى عناوين IP الضارة فقط.
منفذ	المنفذ المقابل ل IP الضار	بالنسبة إلى عناوين IP الضارة فقط.

أنواع التهديد

يسرد الجدول التالي القيم المسموح بها حاليا للحقل ThreatType في مخطط تفاصيل IP لتحليلات نسبة استخدام الشبكة.

قيمة	‏‏الوصف
الروبوتات	مؤشر يفصل عقدة/عضو botnet.
جـ2	مؤشر يفصل عقدة Command & Control الخاصة بشبكة الروبوت.
التعدين الكريبتو	نسبة استخدام الشبكة التي تنطوي على عنوان الشبكة هذا / URL هي مؤشر على إساءة استخدام CyrptoMining / الموارد.
دارك نت	مؤشر عقدة/شبكة Darknet.
دي دي أو إس	المؤشرات المتعلقة بحملة DDoS النشطة أو القادمة.
الخبيث Url	عنوان URL الذي يخدم البرامج الضارة.
البرامج الضارة	مؤشر يصف ملفًا أو ملفات ضارة.
التصيد الاحتيالي	مؤشرات تتعلق بحملة التصيد الاحتيالي.
وكيل	مؤشر خدمة الوكيل.
بوا	‏‏تطبيق قد يكون غير مرغوب فيه.
قائمة المشاهدة	مستودع عام يتم وضع المؤشرات فيه عندما لا يمكن تحديد ما هو التهديد بالضبط أو يتطلب تفسيرا يدويا. WatchList يجب عدم استخدام الشركاء الذين يرسلون البيانات إلى النظام عادة.

ملاحظات

• في حالة AzurePublic التدفقات والتدفقات ExternalPublic ، يتم ملء عنوان IP الخاص بجهاز Azure الظاهري المملوك للعميل في VMIP_s الحقل، بينما يتم ملء عناوين IP العامة في PublicIPs_s الحقل. بالنسبة لهذين النوعين من التدفق، يجب استخدام VMIP_s و PublicIPs_s بدلا من SrcIP_s و DestIP_s . بالنسبة لعناوين IP AzurePublic و ExternalPublic، نقوم بتجميع المزيد، بحيث يكون عدد السجلات التي تم استيعابها في مساحة عمل Log Analytics ضئيلا. (سيتم إهمال هذا الحقل. استخدم SrcIP_s DestIP_s اعتمادا على ما إذا كان الجهاز الظاهري هو المصدر أو الوجهة في التدفق).
• يتم إلحاق بعض أسماء الحقول ب _s أو _d، والتي لا تشير إلى المصدر والوجهة ولكنها تشير إلى سلسلة أنواع البيانات والالأرقام العشرية على التوالي.
• استنادا إلى عناوين IP المتضمنة في التدفق، نقوم بتصنيف التدفقات إلى أنواع التدفق التالية:
  • IntraVNet: يوجد كلا عنواني IP في التدفق في نفس شبكة Azure الظاهرية.
  • InterVNet: توجد عناوين IP في التدفق في شبكتين ظاهريتين مختلفتين من Azure.
  • S2S (موقع إلى موقع): ينتمي أحد عناوين IP إلى شبكة Azure الظاهرية، بينما ينتمي عنوان IP الآخر إلى شبكة العملاء (الموقع) المتصلة بالشبكة الظاهرية من خلال بوابة VPN أو ExpressRoute.
  • P2S (نقطة إلى موقع): ينتمي أحد عناوين IP إلى شبكة Azure الظاهرية، بينما ينتمي عنوان IP الآخر إلى شبكة العملاء (الموقع) المتصلة بشبكة Azure الظاهرية من خلال بوابة VPN.
  • AzurePublic: ينتمي أحد عناوين IP إلى شبكة Azure الظاهرية، بينما عنوان IP الآخر هو عنوان IP عام ل Azure مملوك من قبل Microsoft. عناوين IP العامة المملوكة للعميل ليست جزءا من هذا النوع من التدفق. على سبيل المثال، سيتم تصنيف أي جهاز ظاهري مملوك للعميل يرسل نسبة استخدام الشبكة إلى خدمة Azure (نقطة نهاية التخزين) ضمن هذا النوع من التدفق.
  • ExternalPublicينتمي أحد عناوين IP إلى شبكة Azure الظاهرية، بينما يكون عنوان IP الآخر عنوان IP عاما غير مملوك لشركة Microsoft أو جزء من اشتراك مملوك للعميل مرئي لتحليلات نسبة استخدام الشبكة ولا يتم الإبلاغ عنه على أنه ضار في موجزات ASC التي تستهلكها تحليلات نسبة استخدام الشبكة للفاصل الزمني للمعالجة بين FlowIntervalStartTime_t و FlowIntervalEndTime_t.:
  • MaliciousFlowينتمي أحد عناوين IP إلى شبكة Azure الظاهرية، بينما يكون عنوان IP الآخر عنوان IP عاما غير مملوك لشركة Microsoft أو جزء من اشتراك مملوك للعميل مرئي لتحليلات نسبة استخدام الشبكة ويتم الإبلاغ عنه على أنه ضار في موجزات ASC التي تستهلكها تحليلات نسبة استخدام الشبكة لفاصل المعالجة بين FlowIntervalStartTime_t و FlowIntervalEndTime_t.:
  • UnknownPrivate: ينتمي أحد عناوين IP إلى شبكة Azure الظاهرية، بينما ينتمي عنوان IP الآخر إلى نطاق IP الخاص المحدد في RFC 1918 ولا يمكن تعيينه بواسطة تحليلات نسبة استخدام الشبكة إلى موقع مملوك للعميل أو شبكة Azure الظاهرية.
  • Unknown: غير قادر على تعيين أي من عناوين IP في التدفق مع مخطط العميل في Azure والأماكن المحلية (الموقع).

إشعار

يكون الاشتراك مرئيا لتحليلات نسبة استخدام الشبكة في مساحة عمل Log Analytics إذا كان يحتوي على سجل تدفق تم تكوينه إلى مساحة العمل هذه.

المحتوى ذو الصلة

• نظرة عامة على تحليلات حركة المرور
• استخدام طلبات البحث في تحليلات حركة المرور
• سيناريوهات استخدام تحليلات حركة المرور