Freigeben über

Azure ExpressRoute Traffic Collector

  • Artikel

ExpressRoute Traffic Collector ermöglicht das Sampling von Netzwerkflows, die über Ihre ExpressRoute-Leitungen gesendet werden. Datenflussprotokolle werden an einen Log Analytics-Arbeitsbereich gesendet, in dem Sie eigene Protokollabfragen zur weiteren Analyse erstellen können. Sie können die Daten auch in ein beliebiges Visualisierungstool oder SIEM (Security Information and Event Management) Ihrer Wahl exportieren. Die Datenflussprotokolle können sowohl für privates Peering als auch für Microsoft-Peering mit ExpressRoute Traffic Collector aktiviert werden.

DiagramM DES ExpressRoute Traffic Collector in einer Azure-Umgebung.

Anwendungsfälle

Datenflussprotokolle können Ihnen helfen, verschiedene Einblicke in den Datenverkehr zu erhalten. Einige häufige Anwendungsfälle sind:

Netzwerküberwachung

  • Überwachen des Datenverkehrs von privatem Azure-Peering und Microsoft-Peering
  • Einsicht in Netzwerkdurchsatz und -leistung in Quasi-Echtzeit
  • Ausführen von Netzwerkdiagnose
  • Kapazitätsprognose

Überwachen der Netzwerknutzung und Kostenoptimierung

  • Analysieren von Datenverkehrstrends durch Filtern von Datenflussstichproben nach IP, Port oder Anwendungen
  • Top-Talker für eine Quell-IP, Ziel-IP oder Anwendungen
  • Optimieren von Netzwerkdatenverkehrskosten durch Analyse von Verkehrstrends

Forensische Netzwerkanalyse

  • Identifizieren von kompromittierten IPs durch Analysieren aller zugeordneten Netzwerkflüsse
  • Exportieren von Datenflussprotokollen in ein SIEM-Tools (Security Information and Event Management) zum Überwachen und Korrelieren von Ereignissen sowie zum Generieren von Sicherheitswarnungen

Datenflussprotokollsammlung und Sampling

Datenflussprotokolle werden in einem Intervall von 1 Minute gesammelt. Alle für einen bestimmten Datenfluss gesammelten Pakete werden aggregiert und zur weiteren Analyse in einen Log Analytics-Arbeitsbereich importiert. Während der Datenflusssammlung wird nicht jedes Paket in seinem eigenen Flussdatensatz erfasst. ExpressRoute Traffic Collector verwendet eine Samplingrate von 1:4096, was bedeutet, dass 1 von 4096 Paketen erfasst wird. Daher werden mit dieser Samplingrate kurze Datenflüsse (bei Bytes insgesamt) möglicherweise nicht erfasst. Diese Samplinggröße wirkt sich nicht auf die Analyse des Netzwerkdatenverkehrs aus, wenn Datenstichproben über einen längeren Zeitraum aggregiert werden. Die Datenflusssammlungszeit und die Samplingrate sind festgelegt und können nicht geändert werden.

ExpressRoute-Leitungen unterstützt

ExpressRoute Traffic Collector unterstützt sowohl vom Anbieter verwaltete Schaltkreise als auch ExpressRoute Direct-Schaltkreise. Derzeit unterstützt ExpressRoute Traffic Collector nur Schaltkreise ab einer Bandbreite von 1 Gb/s.

Datenflussschema

Spalte Type BESCHREIBUNG
ATCRegion Zeichenfolge Bereitstellungsregion des ExpressRoute Traffic Collector (ATC).
ATCResourceId Zeichenfolge Azure-Ressourcen-ID des ExpressRoute Traffic Collector (ATC).
BgpNextHop string Nächster Hop des Border Gateway Protocol (BGP) wie in der Routingtabelle definiert.
DestinationIp Zeichenfolge Ziel-IP-Adresse
DestinationPort INT TCO-Zielport
Dot1qCustomerVlanId INT Dot1q Customer VlanId.
Dot1qVlanId INT Dot1q VlanId.
DstAsn INT ASN-Nummer (Destination Autonomous System)
DstMask INT Maske des Zielsubnetzes.
DstSubnet Zeichenfolge Ziel-VNet der Ziel-IP-Adresse
ExRCircuitDirectPortId string Azure-Ressourcen-ID des Direktanschlusses von Express Route Circuit.
ExRCircuitId string Azure-Ressourcen-ID von Express Route Circuit.
ExRCircuitServiceKey string Dienstschlüssel von Express Route Circuit.
FlowRecordTime datetime Zeitstempel (UTC), wenn Express Route Circuit diesen Flussdatensatz ausgegeben hat.
Flowsequence long Flusssequenz dieses Datenflusses.
IcmpType INT Protokolltyp wie im IP-Header angegeben.
IpClassOfService INT IP-Dienstklasse wie im IP-Header angegeben.
IpProtocolIdentifier INT Protokolltyp wie im IP-Header angegeben.
IpVerCode INT IP-Version gemäß der Definition im IP-Header.
MaxTtl INT Maximale Lebenszeit (time to live, TTL) gemäß der Definition im IP-Header.
MinTtl INT Minimale Lebenszeit (time to live, TTL) gemäß der Definition im IP-Header.
NextHop string Nächster Hop gemäß Weiterleitungstabelle.
NumberOfBytes long Gesamtbytezahl der in diesem Fluss erfassten Pakete.
NumberOfPackets long Gesamtzahl der in diesem Fluss erfassten Pakete.
Vorgangsname Zeichenfolge Der spezifische Vorgang des ExpressRoute Traffic Collector, der diesen Datenflussdatensatz ausgegeben hat.
PeeringType string ExpressRoute-Leitungspeering
Protocol INT Protokolltyp wie im IP-Header angegeben.
_ResourceId Zeichenfolge Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist.
SchemaVersion string Version des Flussdatensatzschemas.
SourceIp string Quell-IP-Adresse.
SourcePort INT TCP-Quellport.
SourceSystem Zeichenfolge
SrcAsn INT Quell-ASN-Nummer (Autonomous System Number).
SrcMask INT Maske des Quellsubnetzs.
SrcSubnet Zeichenfolge Quell-VNet der Quell-IP-Adresse
_SubscriptionId Zeichenfolge Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist.
TcpFlag INT TCP-Flag wie im TCP-Header definiert.
TenantId Zeichenfolge
TimeGenerated datetime Zeitstempel (UTC), wann der ExpressRoute Traffic Collector diesen Flussdatensatz ausgegeben hat.
type Zeichenfolge Der Name der Tabelle.

Regionale Verfügbarkeit

ExpressRoute Traffic Collector wird in den folgenden Regionen unterstützt:

Hinweis: Wenn Ihre gewünschte Region noch nicht unterstützt wird, können Sie Traffic Collector für ExpressRoute in einer anderen Region in derselben geopolitischen Region wie Ihre ExpressRoute-Verbindung bereitstellen.

Region Name der Region
Nordamerika
  • Kanada, Osten
  • Kanada, Mitte
  • USA (Mitte)
  • USA, Mitte (EUAP)
  • USA Nord Mitte
  • USA Süd Mitte
  • USA, Westen-Mitte
  • East US
  • USA (Ost) 2
  • USA (Westen)
  • USA, Westen 2
  • USA, Westen 3
Südamerika
  • Brazilien, Süden
  • Brazilien, Südosten
Europa
  • Europa, Westen
  • Nordeuropa
  • UK, Süden
  • UK, Westen
  • Frankreich, Mitte
  • Frankreich, Süden
  • Deutschland, Norden
  • Deutschland, Westen-Mitte
  • Schweden, Mitte
  • Schweden, Süden
  • Schweiz, Norden
  • Schweiz, Westen
  • Norwegen, Osten
  • Norwegen, Westen
  • Italien, Norden
  • Polen, Mitte
Asia
  • Asien, Osten
  • Asien, Südosten
  • Indien, Mitte
  • Indien (Süden)
  • Japan, Westen
  • Korea, Süden
  • Vereinigte Arabische Emirate, Norden
  • VAE, Mitte
Afrika
  • Südafrika, Norden
  • Südafrika, Westen
Pacific
  • Australien, Mitte
  • Australien, Mitte 2
  • Australien (Osten)
  • Australien, Südosten

Preisberechnung

Zone Collectorinstanz-Uptime Verarbeitete Daten pro GB
Zone 1 0,60 USD/Stunde 0,10 USD/GB
Zone 2 0,80 USD/Stunde 0,20 USD/GB
Zone 3 0,80 USD/Stunde 0,20 USD/GB

Nächste Schritte