Schema- und Datenaggregation in Azure Network Watcher-Datenverkehrsanalysen

Die Datenverkehrsanalyse (Englisch: Traffic Analytics) ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet. Traffic Analytics analysiert Datenflussprotokolle von Network Watcher, um Erkenntnisse zum Datenfluss in Ihrer Azure-Cloud bereitzustellen. Mit der Datenverkehrsanalyse können Sie folgende Aktionen durchführen:

• Visualisieren der Netzwerkaktivität für Ihre Azure-Abonnements und Identifizieren von Hotspots
• Erkennen von Sicherheitsrisiken für das Netzwerk und Schützen Ihres Netzwerks mithilfe von Informationen zu offenen Ports, Anwendungen, die versuchen, Zugriff auf das Internet zu erhalten, und VMs (virtuellen Computern), die Verbindungen mit betrügerischen Netzwerken herstellen
• Verstehen von Mustern im Datenverkehr über Azure-Regionen und das Internet zur Optimierung Ihrer Netzwerkbereitstellung im Hinblick auf Leistung und Kapazität
• Ermitteln von Fehlkonfigurationen im Netzwerk, die zu fehlerhaften Verbindungen in Ihrem Netzwerk führen
• Kennen der Netzwerkauslastung in Byte, Paketen oder Flows

Daten-Aggregation

NSG-Flussprotokolle

• Alle Datenflussprotokolle in einer Netzwerksicherheitsgruppe zwischen FlowIntervalStartTime_t und FlowIntervalEndTime_t werden in Intervallen von einer Minute als Blobs in einem Speicherkonto erfasst.
• Das Standardverarbeitungsintervall von Traffic Analytics beträgt 60 Minuten. Das bedeutet, dass Traffic Analytics stündlich Blobs aus dem Speicherkonto für die Aggregation auswählt. Wenn jedoch ein Verarbeitungsintervall von 10 Minuten ausgewählt wird, ruft Traffic Analytics stattdessen alle 10 Minuten Blobs aus dem Speicherkonto ab.
• Flows, die identische Werte für Source IP, Destination IP, Destination port, NSG name, NSG rule, Flow Direction und Transport layer protocol (TCP or UDP) aufweisen, werden bei der Datenverkehrsanalyse in einem einzigen Flow zusammengefasst. (Hinweis: Der Quellport wird bei der Aggregation ausgeschlossen.)
• Dieser einzelne Datensatz wird ergänzt (Details dazu im folgenden Abschnitt) und von der Datenverkehrsanalyse in Azure Monitor-Protokollen erfasst. Dieser Vorgang kann bis zu 1 Stunde dauern.
• Das Feld FlowStartTime_t gibt das erste Vorkommen eines solchen aggregierten Flows (gleiches 4-Tupel) im Verarbeitungsintervall des Datenflussprotokolls zwischen FlowIntervalStartTime_t und FlowIntervalEndTime_t an.
• Bei allen Ressourcen in der Datenverkehrsanalyse handelt es sich bei den im Azure-Portal angezeigten Flows um alle Flows, die von Mitgliedern der Netzwerksicherheitsgruppe gesehen werden. In Azure Monitor-Protokollen sehen Benutzer*innen jedoch nur den einzelnen, zusammengefassten Datensatz. Um alle Flows anzuzeigen, verwenden Sie das Feld blob_id, auf das aus dem Speicher verwiesen werden kann. Die Gesamtanzahl von Flows für diesen Datensatz entspricht den einzelnen Flows im Blob.

VNet-Datenflussprotokolle (Vorschau)

• Alle Datenflussprotokolle zwischen FlowIntervalStartTime und FlowIntervalEndTime werden in Intervallen von einer Minute als Blobs in einem Speicherkonto erfasst.
• Das Standardverarbeitungsintervall von Traffic Analytics beträgt 60 Minuten. Das bedeutet, dass Traffic Analytics stündlich Blobs aus dem Speicherkonto für die Aggregation auswählt. Wenn jedoch ein Verarbeitungsintervall von 10 Minuten ausgewählt wird, ruft Traffic Analytics stattdessen alle 10 Minuten Blobs aus dem Speicherkonto ab.
• Flows, die identische Werte für Source IP, Destination IP, Destination port, NSG name, NSG rule, Flow Direction und Transport layer protocol (TCP or UDP) aufweisen, werden bei der Datenverkehrsanalyse in einem einzigen Flow zusammengefasst. (Hinweis: Der Quellport wird bei der Aggregation ausgeschlossen.)
• Dieser einzelne Datensatz wird ergänzt (Details dazu im folgenden Abschnitt) und von der Datenverkehrsanalyse in Azure Monitor-Protokollen erfasst. Dieser Vorgang kann bis zu 1 Stunde dauern.
• Das Feld FlowStartTime gibt das erste Vorkommen eines solchen aggregierten Flows (gleiches 4-Tupel) im Verarbeitungsintervall des Datenflussprotokolls zwischen FlowIntervalStartTime und FlowIntervalEndTime an.
• Bei allen Ressourcen in der Datenverkehrsanalyse handelt es sich bei den im Azure-Portal angezeigten Flows um alle erkannten Flows. In Azure Monitor-Protokollen sehen Benutzer*innen jedoch nur den einzelnen, zusammengefassten Datensatz. Um alle Flows anzuzeigen, verwenden Sie das Feld blob_id, auf das aus dem Speicher verwiesen werden kann. Die Gesamtanzahl von Flows für diesen Datensatz entspricht den einzelnen Flows im Blob.

Mit der folgenden Abfrage können Sie alle Subnetze untersuchen, die in den letzten 30 Tagen mit öffentlichen IP-Adressen außerhalb von Azure interagiert haben.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet1_s, Subnet2_s  

Sie können die folgende Abfrage verwenden, um den Blobpfad für die Flows der oben genannten Abfrage aufzurufen:

let TableWithBlobId =
(AzureNetworkAnalytics_CL
   | where SubType_s == "Topology" and ResourceType == "NetworkSecurityGroup" and DiscoveryRegion_s == Region_s and IsFlowEnabled_b
   | extend binTime = bin(TimeProcessed_t, 6h),
            nsgId = strcat(Subscription_g, "/", Name_s),
            saNameSplit = split(FlowLogStorageAccount_s, "/")
   | extend saName = iif(arraylength(saNameSplit) == 3, saNameSplit[2], '')
   | distinct nsgId, saName, binTime)
| join kind = rightouter (
   AzureNetworkAnalytics_CL
   | where SubType_s == "FlowLog"  
   | extend binTime = bin(FlowEndTime_t, 6h)
) on binTime, $left.nsgId == $right.NSGList_s  
| extend blobTime = format_datetime(todatetime(FlowIntervalStartTime_t), "yyyy MM dd hh")
| extend nsgComponents = split(toupper(NSGList_s), "/"), dateTimeComponents = split(blobTime, " ")
| extend BlobPath = strcat("https://", saName,
                        "@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/", nsgComponents[0],
                        "/RESOURCEGROUPS/", nsgComponents[1],
                        "/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/", nsgComponents[2],
                        "/y=", dateTimeComponents[0], "/m=", dateTimeComponents[1], "/d=", dateTimeComponents[2], "/h=", dateTimeComponents[3],
                        "/m=00/macAddress=", replace(@"-", "", MACAddress_s),
                        "/PT1H.json")
| project-away nsgId, saName, binTime, blobTime, nsgComponents, dateTimeComponents;

TableWithBlobId
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s , BlobPath

Die obige Abfrage generiert eine URL, mit der Sie direkt auf das Blob zugreifen können. Dies ist die URL mit Platzhaltern:

https://{storageAccountName}@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroup}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Schema für die Datenverkehrsanalyse

Die Datenverkehrsanalyse basiert auf Azure Monitor-Protokollen, sodass Sie benutzerdefinierte Abfragen für Daten ausführen können, die von der Datenverkehrsanalyse ergänzt wurden, und Warnungen festlegen können.

NSG-Flussprotokolle

In der folgenden Tabelle werden die Felder im Schema und ihre Bedeutung für NSG-Workflows aufgeführt.

Feld	Format	Kommentare
TableName	AzureNetworkAnalytics_CL	Tabelle für Traffic Analytics-Daten.
SubType_s	FlowLog	Untertyp für die Flowprotokolle. Verwenden Sie nur FlowLog, die anderen Werte für SubType_s sind für die interne Nutzung bestimmt.
FASchemaVersion_s	2	Schemaversion. Spiegelt nicht die Version des NSG-Datenflussprotokolls wider.
TimeProcessed_t	Datum und Uhrzeit (UTC).	Der Zeitpunkt, zu dem Traffic Analytics die unformatierten Flowprotokolle aus dem Speicherkonto verarbeitet hat.
FlowIntervalStartTime_t	Datum und Uhrzeit (UTC).	Startzeit des Verarbeitungsintervalls für das Datenflussprotokoll (Zeit, ab der das Flussintervall gemessen wird).
FlowIntervalEndTime_t	Datum und Uhrzeit (UTC).	Endzeit des Verarbeitungsintervalls des Datenflussprotokolls.
FlowStartTime_t	Datum und Uhrzeit (UTC).	Das erste Vorkommen des Flows (der aggregiert wird) im Verarbeitungsintervall des Datenflussprotokolls zwischen FlowIntervalStartTime_t und FlowIntervalEndTime_t. Dieser Flow wird basierend auf Aggregationslogik aggregiert.
FlowEndTime_t	Datum und Uhrzeit (UTC).	Das letzte Vorkommen des Flows (der aggregiert wird) im Verarbeitungsintervall des Datenflussprotokolls zwischen FlowIntervalStartTime_t und FlowIntervalEndTime_t. Beim Datenflussprotokoll v2 enthält dieses Feld den Zeitpunkt, zu dem der letzte Flow mit dem gleichen 4-Tupel gestartet wurde (im unformatierten Flowdatensatz als B markiert).
FlowType_s	- IntraVNet - InterVNet - S2S - P2S - AzurePublic - ExternalPublic - MaliciousFlow - Unknown Private - Unbekannt	Die Definitionen finden Sie unter Hinweise.
SrcIP_s	Quell-IP-Adresse	In AzurePublic- und ExternalPublic-Flows leer.
DestIP_s	IP-Zieladresse	In AzurePublic- und ExternalPublic-Flows leer.
VMIP_s	IP der VM	Wird für AzurePublic- und ExternalPublic-Flows verwendet.
DestPort_d	Zielport	Port, an dem Datenverkehr eingeht.
L4Protocol_s	- T - U	Transportprotokoll. T = TCP U = UDP.
L7Protocol_s	Name des Protokolls	Wird aus dem Zielport abgeleitet.
FlowDirection_s	- I = Inbound (eingehend) - O = Outbound (ausgehend)	Richtung des Flows: ein- oder ausgehend in der Netzwerksicherheitsgruppe pro Datenflussprotokoll.
FlowStatus_s	- A = Allowed (zulässig) - D = Denied (verweigert)	Status des Flows: von der Netzwerksicherheitsgruppe pro Datenflussprotokoll zugelassen oder verweigert.
NSGList_s	<ABONNEMENT-ID>/<	Die Netzwerksicherheitsgruppe, die dem Flow zugeordnet ist.
NSGRules_s	<Indexwert 0>|<NAME_DER_NSG_REGEL>|<Flowrichtung>|<Flowstatus>|<FlowCount ProcessedByRule>	Netzwerksicherheitsgruppenregel, die diesen Flow zugelassen oder verweigert hat.
NSGRule_s	NSG_RULENAME	Netzwerksicherheitsgruppenregel, die diesen Flow zugelassen oder verweigert hat.
NSGRuleType_s	- Benutzerdefiniert - Standard	Der Typ der vom Flow verwendeten Netzwerksicherheitsgruppenregel.
MACAddress_s	MAC-Adresse	Die MAC-Adresse des Netzwerkadapters, an dem der Flow erfasst wurde.
Subscription_g	Das Abonnement des virtuellen Azure-Netzwerks, der Azure-Netzwerkschnittstelle oder der Azure-VM wird in diesem Feld aufgefüllt.	Gilt nur für folgende Flowtypen: S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow und UnknownPrivate (Flowtypen, bei denen es sich bei nur einer Seite um Azure handelt).
Subscription1_g	Abonnement-ID	Abonnement-ID des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Quell-IP-Adresse im Flow gehört.
Subscription2_g	Abonnement-ID	Abonnement-ID des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Ziel-IP-Adresse im Flow gehört.
Region_s	Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die IP-Adresse im Flow gehört.	Gilt nur für folgende Flowtypen: S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow und UnknownPrivate (Flowtypen, bei denen es sich bei nur einer Seite um Azure handelt).
Region1_s	Azure-Region	Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Quell-IP-Adresse im Flow gehört.
Region2_s	Azure-Region	Azure-Region des virtuellen Netzwerks, zu dem die Ziel-IP-Adresse im Flow gehört.
NIC_s	<Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle>	Der Netzwerkadapter, der der VM zugeordnet ist, die Datenverkehr sendet oder empfängt.
NIC1_s	<Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle>	Der Netzwerkadapter, der der Quell-IP-Adresse im Flow zugeordnet ist.
NIC2_s	<Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle>	Der Netzwerkadapter, der der Ziel-IP-Adresse im Flow zugeordnet ist.
VM_s	<Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle>	Die VM, die der Netzwerkschnittstelle „NIC_s“ zugeordnet ist.
VM1_s	<Name_der_Ressourcengruppe>/<Name_der_VM>	Die VM, die der Quell-IP-Adresse im Flow zugeordnet ist.
VM2_s	<Name_der_Ressourcengruppe>/<Name_der_VM>	Die VM, die der Ziel-IP-Adresse im Flow zugeordnet ist.
Subnet_s	<Ressourcengruppenname>/<VNet_Name>/<Subnetzname>	Das Subnetz, das „NIC_s“ zugeordnet ist.
Subnet1_s	<Ressourcengruppenname>/<VNet_Name>/<Subnetzname>	Das Subnetz, das der Quell-IP-Adresse im Flow zugeordnet ist.
Subnet2_s	<Ressourcengruppenname>/<VNet_Name>/<Subnetzname>	Das Subnetz, das der Ziel-IP-Adresse im Flow zugeordnet ist.
ApplicationGateway1_s	<Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Anwendungsgateways>	Das Anwendungsgateway, das der Quell-IP-Adresse im Flow zugeordnet ist.
ApplicationGateway2_s	<Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Anwendungsgateways>	Das Anwendungsgateway, das der Ziel-IP-Adresse im Flow zugeordnet ist.
ExpressRouteCircuit1_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-Verbindungs-ID, wenn der Flow vom Standort über ExpressRoute gesendet wird.
ExpressRouteCircuit2_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-Verbindungs-ID, wenn der Flow von ExpressRoute aus der Cloud empfangen wird.
ExpressRouteCircuitPeeringType_s	- AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering	Am Flow beteiligter ExpressRoute-Peeringtyp.
LoadBalancer1_s	<Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Lastenausgleichmoduls>	Das Lastenausgleichsmodul, das der Quell-IP-Adresse im Flow zugeordnet ist.
LoadBalancer2_s	<Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Lastenausgleichmoduls>	Das Lastenausgleichsmodul, das der Ziel-IP-Adresse im Flow zugeordnet ist.
LocalNetworkGateway1_s	<Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_lokalen_Netzwerkgateways>	Das lokale Netzwerkgateway, das der Quell-IP-Adresse im Flow zugeordnet ist.
LocalNetworkGateway2_s	<Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_lokalen_Netzwerkgateways>	Das lokale Netzwerkgateway, das der Ziel-IP-Adresse im Flow zugeordnet ist.
ConnectionType_s	- VNetPeering - VpnGateway - ExpressRoute	Der Verbindungstyp.
ConnectionName_s	<Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_der_Verbindung>	Der Verbindungsname. Beim Flowtyp P2S lautet die Formatierung <Gatewayname>_<IP-Adresse des VPN-Clients>.
ConnectingVNets_s	Durch Leerzeichen getrennte Liste mit Namen virtueller Netzwerke	Im Fall einer Hub-Spoke-Topologie werden hier virtuelle Hubnetzwerke aufgefüllt.
Country_s	Zweibuchstabiger Ländercode (ISO 3166-1 Alpha-2)	Wird für den Flowtyp „ExternalPublic“ aufgefüllt. Alle IP-Adressen im Feld „PublicIPs_s“ weisen den gleichen Ländercode auf.
AzureRegion_s	Standorte in der Azure-Region	Wird für den Flowtyp „AzurePublic“ aufgefüllt. Alle IP-Adressen im Feld „PublicIPs_s“ weisen die gleiche Azure-Region auf.
AllowedInFlows_d		Zulässige Anzahl eingehender Flows, die auch die Anzahl von Flows darstellt, die das gleiche eingehende 4-Tupel an der Netzwerkschnittstelle aufweisen, an der der Flow erfasst wurde.
DeniedInFlows_d		Anzahl der eingehenden Flows, die abgelehnt wurden. (Eingehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)
AllowedOutFlows_d		Anzahl der ausgehenden Flows, die zugelassen wurden. (Ausgehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)
DeniedOutFlows_d		Anzahl der ausgehenden Flows, die abgelehnt wurden. (Ausgehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)
FlowCount_d	Veraltet. Gesamtanzahl von Flows, die dem gleichen 4-Tupel entsprechen. Bei den Flowtypen „ExternalPublic“ und „AzurePublic“ enthält diese Zahl auch die Flows von verschiedenen PublicIP-Adressen.
InboundPackets_d	Stellt Pakete dar, die vom Ziel an die Quelle des Datenflusses gesendet werden.	Wird nur für Version 2 des NSG-Datenflussprotokollschemas aufgefüllt.
OutboundPackets_d	Stellt Pakete dar, die von der Quelle an das Ziel des Datenflusses gesendet werden.	Wird nur für Version 2 des NSG-Datenflussprotokollschemas aufgefüllt.
InboundBytes_d	Stellt Bytes dar, die vom Ziel an die Quelle des Datenflusses gesendet werden.	Wird nur für Version 2 des NSG-Datenflussprotokollschemas aufgefüllt.
OutboundBytes_d	Stellt Bytes dar, die von der Quelle an die Ziel des Datenflusses gesendet werden.	Wird nur für Version 2 des NSG-Datenflussprotokollschemas aufgefüllt.
CompletedFlows_d		Wird nur für Version 2 des NSG-Datenflussprotokollschemas mit Werten aufgefüllt, die nicht NULL sind.
PublicIPs_s	<PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES>	Einträge sind durch Balken getrennt.
SrcPublicIPs_s	<SOURCE_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES>	Einträge sind durch Balken getrennt.
DestPublicIPs_s	<DESTINATION_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES>	Einträge sind durch Balken getrennt.
IsFlowCapturedAtUDRHop_b	- True - False	Wenn der Flow bei einem UDR-Hop erfasst wurde, ist der Wert TRUE.

Wichtig

Das Traffic Analytics-Schema wurde am 22. August 2019 aktualisiert. Das neue Schema bietet getrennte Quell- und Ziel-IP-Adressen, für deren Entfernung das Feld FlowDirection nicht mehr analysiert werden muss. Dadurch werden Abfragen vereinfacht. Das aktualisierte Schema weist die folgenden Änderungen auf:

• FASchemaVersion_s wurde von „1“ in „2“ geändert.
• Veraltete Felder: VMIP_s, Subscription_g, Region_s, NSGRules_s, Subnet_s, VM_s, NIC_s, PublicIPs_s, FlowCount_d
• Neue Felder: SrcPublicIPs_s, DestPublicIPs_s, NSGRule_s

VNet-Datenflussprotokolle (Vorschau)

In der folgenden Tabelle werden die Felder im Schema und ihre Bedeutung für VNet-Workflows aufgeführt.

Feld	Format	Kommentare
TableName	NTANetAnalytics	Tabelle für Traffic Analytics-Daten.
Untertyp	FlowLog	Untertyp für die Flowprotokolle. Verwenden Sie nur FlowLog, die anderen Werte für SubType sind für die interne Nutzung bestimmt.
FASchemaVersion	3	Schemaversion. Spiegelt nicht die Version des NSG-Datenflussprotokolls wider.
TimeProcessed	Datum und Uhrzeit (UTC).	Der Zeitpunkt, zu dem Traffic Analytics die unformatierten Flowprotokolle aus dem Speicherkonto verarbeitet hat.
FlowIntervalStartTime	Datum und Uhrzeit (UTC).	Startzeit des Verarbeitungsintervalls für das Datenflussprotokoll (Zeit, ab der das Flussintervall gemessen wird).
FlowIntervalEndTime	Datum und Uhrzeit (UTC).	Endzeit des Verarbeitungsintervalls des Datenflussprotokolls.
FlowStartTime	Datum und Uhrzeit (UTC).	Das erste Vorkommen des Flows (der aggregiert wird) im Verarbeitungsintervall des Datenflussprotokolls zwischen FlowIntervalStartTime und FlowIntervalEndTime. Dieser Flow wird basierend auf Aggregationslogik aggregiert.
FlowEndTime	Datum und Uhrzeit (UTC).	Das letzte Vorkommen des Flows (der aggregiert wird) im Verarbeitungsintervall des Datenflussprotokolls zwischen FlowIntervalStartTime und FlowIntervalEndTime. Beim Datenflussprotokoll v2 enthält dieses Feld den Zeitpunkt, zu dem der letzte Flow mit dem gleichen 4-Tupel gestartet wurde (im unformatierten Flowdatensatz als B markiert).
FlowType	- IntraVNet - InterVNet - S2S - P2S - AzurePublic - ExternalPublic - MaliciousFlow - Unknown Private - Unbekannt	Die Definitionen finden Sie unter Hinweise.
SrcIP	Quell-IP-Adresse	In AzurePublic- und ExternalPublic-Flows leer.
DestIP	IP-Zieladresse	In AzurePublic- und ExternalPublic-Flows leer.
TargetResourceId	Ressourcengruppenname/Ressourcenname	Die ID der Ressource, bei der die Datenflussprotokollierung und Datenverkehrsanalyse aktiviert ist.
TargetResourceType	VNet/Subnetz/Netzwerkschnittstelle	Der Typ der Ressource, bei der die Datenflussprotokollierung und Datenverkehrsanalyse aktiviert ist (VNet, Subnetz, NIC oder Netzwerksicherheitsgruppe).
FlowLogResourceId	Ressourcengruppenname/Netzwerk/Datenflussprotokollname	Die Ressourcen-ID des Datenflussprotokolls.
DestPort	Zielport	Port, an dem Datenverkehr eingeht.
L4Protocol	- T - U	Transportprotokoll. T = TCP U = UDP
L7Protocol	Name des Protokolls	Wird aus dem Zielport abgeleitet.
FlowDirection	- I = Inbound (eingehend) - O = Outbound (ausgehend)	Richtung des Flows: ein- oder ausgehend in der Netzwerksicherheitsgruppe pro Datenflussprotokoll.
FlowStatus	- A = Allowed (zulässig) - D = Denied (verweigert)	Status des Flows: von der Netzwerksicherheitsgruppe pro Datenflussprotokoll zugelassen oder verweigert.
NSGList	<ABONNEMENT-ID>/<	Die Netzwerksicherheitsgruppe, die dem Flow zugeordnet ist.
NSGRule	NSG_RULENAME	Netzwerksicherheitsgruppenregel, die den Flow zugelassen oder verweigert hat.
NSGRuleType	- Benutzerdefiniert - Standard	Der Typ der vom Flow verwendeten Netzwerksicherheitsgruppenregel.
MACAddress	MAC-Adresse	Die MAC-Adresse des Netzwerkadapters, an dem der Flow erfasst wurde.
SrcSubscription	Abonnement-ID	Abonnement-ID des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Quell-IP-Adresse im Flow gehört.
DestSubscription	Abonnement-ID	Abonnement-ID des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Ziel-IP-Adresse im Flow gehört.
SrcRegion	Azure-Region	Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Quell-IP-Adresse im Flow gehört.
DestRegion	Azure-Region	Azure-Region des virtuellen Netzwerks, zu dem die Ziel-IP-Adresse im Flow gehört.
SecNIC	<Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle>	Der Netzwerkadapter, der der Quell-IP-Adresse im Flow zugeordnet ist.
DestNIC	<Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle>	Der Netzwerkadapter, der der Ziel-IP-Adresse im Flow zugeordnet ist.
SrcVM	<Name_der_Ressourcengruppe>/<Name_der_VM>	Die VM, die der Quell-IP-Adresse im Flow zugeordnet ist.
DestVM	<Name_der_Ressourcengruppe>/<Name_der_VM>	Die VM, die der Ziel-IP-Adresse im Flow zugeordnet ist.
SrcSubnet	<Ressourcengruppenname>/<VNet_Name>/<Subnetzname>	Das Subnetz, das der Quell-IP-Adresse im Flow zugeordnet ist.
DestSubnet	<Ressourcengruppenname>/<VNet_Name>/<Subnetzname>	Das Subnetz, das der Ziel-IP-Adresse im Flow zugeordnet ist.
SrcApplicationGateway	<Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Anwendungsgateways>	Das Anwendungsgateway, das der Quell-IP-Adresse im Flow zugeordnet ist.
DestApplicationGateway	<Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Anwendungsgateways>	Das Anwendungsgateway, das der Ziel-IP-Adresse im Flow zugeordnet ist.
SrcExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-Verbindungs-ID, wenn der Flow vom Standort über ExpressRoute gesendet wird.
DestExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-Verbindungs-ID, wenn der Flow von ExpressRoute aus der Cloud empfangen wird.
ExpressRouteCircuitPeeringType	- AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering	Am Flow beteiligter ExpressRoute-Peeringtyp.
SrcLoadBalancer	<Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Lastenausgleichmoduls>	Das Lastenausgleichsmodul, das der Quell-IP-Adresse im Flow zugeordnet ist.
DestLoadBalancer	<Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Lastenausgleichmoduls>	Das Lastenausgleichsmodul, das der Ziel-IP-Adresse im Flow zugeordnet ist.
SrcLocalNetworkGateway	<Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_lokalen_Netzwerkgateways>	Das lokale Netzwerkgateway, das der Quell-IP-Adresse im Flow zugeordnet ist.
DestLocalNetworkGateway	<Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_lokalen_Netzwerkgateways>	Das lokale Netzwerkgateway, das der Ziel-IP-Adresse im Flow zugeordnet ist.
ConnectionType	- VNetPeering - VpnGateway - ExpressRoute	Der Verbindungstyp.
ConnectionName	<Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_der_Verbindung>	Der Verbindungsname. Beim Flowtyp P2S lautet die Formatierung <Gatewayname>_<IP-Adresse des VPN-Clients>.
ConnectingVNets	Durch Leerzeichen getrennte Liste mit Namen virtueller Netzwerke.	Bei einer Hub-Spoke-Topologie werden hier virtuelle Hubnetzwerke aufgefüllt.
Land	Zweibuchstabiger Ländercode (ISO 3166-1 Alpha-2)	Wird für den Flowtyp „ExternalPublic“ aufgefüllt. Alle IP-Adressen im Feld „PublicIPs“ weisen den gleichen Ländercode auf.
AzureRegion	Standorte in der Azure-Region	Wird für den Flowtyp „AzurePublic“ aufgefüllt. Alle IP-Adressen im Feld „PublicIPs“ weisen die gleiche Azure-Region auf.
AllowedInFlows	-	Zulässige Anzahl eingehender Flows, die auch die Anzahl von Flows darstellt, die das gleiche eingehende 4-Tupel an der Netzwerkschnittstelle aufweisen, an der der Flow erfasst wurde.
DeniedInFlows	-	Anzahl der eingehenden Flows, die abgelehnt wurden. (Eingehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)
AllowedOutFlows	-	Anzahl der ausgehenden Flows, die zugelassen wurden. (Ausgehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)
DeniedOutFlows	-	Anzahl der ausgehenden Flows, die abgelehnt wurden. (Ausgehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)
FlowCount	Veraltet. Gesamtanzahl von Flows, die dem gleichen 4-Tupel entsprechen. Bei den Flowtypen „ExternalPublic“ und „AzurePublic“ enthält diese Zahl auch die Flows von verschiedenen PublicIP-Adressen.	-
PacketsDestToSrc	Stellt Pakete dar, die vom Ziel an die Quelle des Datenflusses gesendet werden.	Wird nur für Version 2 des NSG-Datenflussprotokollschemas aufgefüllt.
PacketsSrcToDest	Stellt Pakete dar, die von der Quelle an das Ziel des Datenflusses gesendet werden.	Wird nur für Version 2 des NSG-Datenflussprotokollschemas aufgefüllt.
BytesDestToSrc	Stellt Bytes dar, die vom Ziel an die Quelle des Datenflusses gesendet werden.	Wird nur für Version 2 des NSG-Datenflussprotokollschemas aufgefüllt.
BytesSrcToDest	Stellt Bytes dar, die von der Quelle an die Ziel des Datenflusses gesendet werden.	Wird nur für Version 2 des NSG-Datenflussprotokollschemas aufgefüllt.
CompletedFlows	-	Wird nur für Version 2 des NSG-Datenflussprotokollschemas mit Werten aufgefüllt, die nicht NULL sind.
SrcPublicIPs	<SOURCE_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES>	Einträge sind durch Balken getrennt.
DestPublicIPs	<DESTINATION_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES>	Einträge sind durch Balken getrennt.
FlowEncryption	- Verschlüsselt - Unverschlüsselt - Nicht unterstützte Hardware - Software nicht bereit - Aufgrund nicht vorhandener Verschlüsselung verworfen - Ermittlung nicht unterstützt - Ziel auf demselben Host - Fallback zu „Keine Verschlüsselung“	Verschlüsselungsebene von Flows.
IsFlowCapturedAtUDRHop	- True - False	Wenn der Flow bei einem UDR-Hop erfasst wurde, ist der Wert TRUE.

Hinweis

NTANetAnalytics in VNet-Datenflussprotokollen ersetzt AzureNetworkAnalytics_CL, das in NSG-Datenflussprotokollen verwendet wird.

Schema für Details zu öffentlichen IP-Adressen

Traffic Analytics stellt WHOIS-Daten und einen geografischen Standort für alle öffentlichen IP-Adressen in Ihrer Umgebung bereit. Für böswillige IP-Adressen stellt Traffic Analytics DNS-Domänen, Bedrohungstypen und Threadbeschreibungen gemäß den Microsoft Security Intelligence-Lösungen bereit. IP-Adressdetails werden in Ihrem Log Analytics-Arbeitsbereich veröffentlicht, sodass Sie benutzerdefinierte Abfragen erstellen und Warnungen dafür vorsehen können. Über das Traffic Analytics-Dashboard können Sie auch auf vorab aufgefüllte Abfragen zugreifen.

In der folgenden Tabelle wird das Schema für öffentliche IP-Adressen ausführlich beschrieben:

NSG-Flussprotokolle

Feld	Format	Kommentare
TableName	AzureNetworkAnalyticsIPDetails_CL	Tabelle mit Traffic Analytics-Daten zu IP-Adressdetails.
SubType_s	FlowLog	Untertyp für die Flowprotokolle. Verwenden Sie nur „FlowLog“, denn andere Werte für „SubType_s“ sind für die interne Funktion des Produkts bestimmt.
FASchemaVersion_s	2	Schemaversion. Spiegelt nicht die Version des NSG-Datenflussprotokolls wider.
FlowIntervalStartTime_t	Datum und Uhrzeit in UTC	Startzeit des Verarbeitungsintervalls für das Datenflussprotokoll (Zeit, ab der das Flussintervall gemessen wird).
FlowIntervalEndTime_t	Datum und Uhrzeit in UTC	Endzeit des Verarbeitungsintervalls des Datenflussprotokolls.
FlowType_s	- AzurePublic - ExternalPublic - MaliciousFlow	Die Definitionen finden Sie unter Hinweise.
IP	Öffentliche IP-Adresse	Öffentliche IP-Adresse, deren Informationen im Datensatz angegeben werden.
Location	Standort der IP-Adresse	- Für öffentliche Azure-IP-Adresse: Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die IP-Adresse gehört, ODER „Global“ für IP-Adresse 168.63.129.16. - Für externe öffentliche IP-Adressen und schädliche IP-Adressen: Landeskennzahl aus zwei Buchstaben für das Land/die Region der IP-Adresse (ISO 3166-1 alpha-2).
PublicIPDetails	Informationen zur IP-Adresse	- Für öffentliche Azure-IP-Adresse: Azure-Dienst, zu dem die IP-Adresse gehört, oder „virtuelle öffentliche Microsoft-IP-Adresse“ für IP-Adresse 168.63.129.16. - Für externe öffentliche/schädliche IP-Adressen: WhoIS-Informationen zur IP-Adresse.
ThreatType	Bedrohung durch schädliche IP-Adresse	Nur für schädliche IP-Adressen: eine der Bedrohungen aus der Liste der derzeit zulässigen Werte (in der nächsten Tabelle beschrieben).
ThreatDescription	Beschreibung des Bedrohung	Nur für schädliche IP-Adressen: Beschreibung der Bedrohung durch die schädliche IP-Adresse.
DNSDomain	DNS-Domäne	Nur für schädliche IP-Adressen: Domänenname, der dieser IP-Adresse zugeordnet ist.

VNet-Datenflussprotokolle (Vorschau)

Feld	Format	Kommentare
TableName	NTAIpDetails	Tabelle mit Traffic Analytics-Daten zu IP-Adressdetails.
Untertyp	FlowLog	Untertyp für die Flowprotokolle. Verwenden Sie nur FlowLog. Die anderen Werte für „SubType“ sind für die interne Funktion des Produkts bestimmt.
FASchemaVersion	2	Schemaversion. Spiegelt nicht die Version des NSG-Datenflussprotokolls wider.
FlowIntervalStartTime	Datum und Uhrzeit (UTC).	Startzeit des Verarbeitungsintervalls für das Datenflussprotokoll (Zeit, ab der das Datenflussintervall gemessen wird).
FlowIntervalEndTime	Datum und Uhrzeit (UTC).	Endzeit des Verarbeitungsintervalls des Datenflussprotokolls.
FlowType	- AzurePublic - ExternalPublic - MaliciousFlow	Die Definitionen finden Sie unter Hinweise.
IP	Öffentliche IP-Adresse	Öffentliche IP-Adresse, deren Informationen im Datensatz angegeben werden.
PublicIPDetails	Informationen zur IP-Adresse	Für öffentliche Azure-IP-Adresse: Azure-Dienst, zu dem die IP-Adresse gehört, oder virtuelle öffentliche Microsoft-IP-Adresse für IP-Adresse 168.63.129.16. Für externe öffentliche/böswillige IP-Adressen: WhoIS-Informationen zur IP-Adresse
ThreatType	Bedrohung durch schädliche IP-Adresse	Nur für böswillige IP-Adressen: Eine der Bedrohungen aus der Liste der derzeit zulässigen Werte. Weitere Informationen finden Sie unter Hinweise.
DNSDomain	DNS-Domäne	Nur für böswillige IP-Adressen: Der dieser IP-Adresse zugeordnete Domänenname.
ThreatDescription	Beschreibung des Bedrohung	Nur für böswillige IP-Adressen: Beschreibung der Bedrohung durch die böswillige IP-Adresse.
Location	Standort der IP-Adresse	Für öffentliche Azure-IP-Adresse: Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die IP-Adresse gehört, oder „Global“ für IP-Adresse 168.63.129.16. Für externe öffentliche IP-Adressen und böswillige IP-Adressen: Landeskennzahl aus zwei Buchstaben für den Standort der IP-Adresse (ISO 3166-1 Alpha-2).

Hinweis

NTAIPDetails in VNet-Datenflussprotokollen ersetzt AzureNetworkAnalyticsIPDetails_CL, die in NSG-Datenflussprotokollen verwendet werden.

Liste der Bedrohungstypen:

Wert	BESCHREIBUNG
Botnet	Der Indikator zeigt Details zu einem Botnetknoten/-mitglied an.
C2	Indikator, der einen Befehls- und Steuerungsknoten eines Botnets angibt.
CryptoMining	Datenverkehr, an dem diese Netzwerkadresse/URL beteiligt ist, weist auf CyrptoMining/Ressourcenmissbrauch hin.
DarkNet	Der Indikator weist auf einen Darknetknoten/ein Darknet hin.
DDoS	Diese Indikatoren beziehen sich auf eine aktive oder bevorstehende DDoS-Kampagne.
MaliciousUrl	Diese URL stellt Schadsoftware bereit.
Malware	Dieser Indikator beschreibt eine oder mehrere schädliche Dateien.
Phishing	Diese Indikatoren beziehen sich auf eine Phishingkampagne.
Proxy	Dieser Indikator weist auf einen Proxydienst hin.
PUA	Dies steht für eine potenziell unerwünschte Anwendung.
WatchList	Ein generischer Bucket, in den Indikatoren platziert werden, wenn nicht genau ermittelt werden kann, um welche Bedrohung es sich handelt, oder wenn eine von Benutzer*innen durchgeführte Interpretation erforderlich ist. WatchList sollte in der Regel nicht von Partner*innen verwendet werden, die Daten an das System übermitteln.

Hinweise

• Bei AzurePublic- und ExternalPublic-Flows wird die IP-Adresse der im Kundenbesitz befindlichen Azure-VM im Feld VMIP_s aufgefüllt, öffentliche IP-Adressen werden im Feld PublicIPs_s aufgefüllt. Bei diesen beiden Flowtypen müssen die Felder VMIP_s und PublicIPs_s anstelle von SrcIP_s und DestIP_s verwendet werden. Für AzurePublic- und ExternalPublic-IP-Adressen erfolgt eine weitere Aggregation, damit die Anzahl der Datensätze, die im Log Analytics-Arbeitsbereich erfasst werden, möglichst klein ist. (Dieses Feld wird bald veraltet sein, und Sie sollten „SrcIP_s“ und „DestIP_s“ verwenden, je nachdem, ob die VM die Quelle oder das Ziel im Flow war.)
• An einige Feldnamen wird _s oder _d angefügt. Dies gibt jedoch nicht die Quelle bzw. das Ziel an, sondern die Datentypen Zeichenfolge bzw. Dezimalzahl.
• Basierend auf den am Flow beteiligten IP-Adressen werden die Flows in die folgenden Flowtypen unterteilt:
  • IntraVNet: Beide IP-Adressen im Flow befinden sich im gleichen virtuellen Azure-Netzwerk.
  • InterVNet: Die IP-Adressen im Flow befinden sich in zwei verschiedenen virtuellen Azure-Netzwerken.
  • S2S (Site-to-Site): Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk die andere zu einem Kundennetzwerk (Standort), das über ExpressRoute oder ein VPN-Gateway mit dem virtuellen Netzwerk verbunden ist.
  • P2S (Point-to-Site): Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk die andere zu einem Kundennetzwerk (Standort), das über ein VPN-Gateway mit dem virtuellen Azure-Netzwerk verbunden ist.
  • AzurePublic: Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk, während die andere IP-Adresse eine öffentliche Azure-IP-Adresse im Besitz von Microsoft ist. Öffentliche IP-Adressen im Kundenbesitz gehören nicht zu diesem Flowtyp. Beispielsweise würde eine VM im Kundenbesitz, die Datenverkehr an einen Azure-Dienst (Storage-Endpunkt) sendet, in diesen Flowtyp kategorisiert.
  • ExternalPublic: Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk, die andere ist eine öffentliche IP-Adresse außerhalb von Azure. Diese wird in den ASC-Feeds, die Traffic Analytics im Verarbeitungsintervall zwischen „FlowIntervalStartTime_t“ und „FlowIntervalEndTime_t“ nutzt, nicht als schädlich gemeldet.
  • MaliciousFlow: Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk, die andere ist eine öffentliche IP-Adresse außerhalb von Azure. Letztere wird in den ASC-Feeds, die Traffic Analytics im Verarbeitungsintervall zwischen „FlowIntervalStartTime_t“ und „FlowIntervalEndTime_t“ nutzt, als schädlich gemeldet.
  • UnknownPrivate: Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk die andere zu einem privaten IP-Adressbereich, wie in RFC 1918 definiert. Diese kann von Traffic Analytics keinem Standort im Kundenbesitz und keinem virtuellen Azure-Netzwerk zugeordnet werden.
  • Unknown: Keine der IP-Adressen in den Flows kann der Kundentopologie in Azure oder einem lokalen Standort zugeordnet werden.

Zugehöriger Inhalt

• Weitere Informationen zur Datenverkehrsanalyse finden Sie unter Übersicht über die Datenverkehrsanalyse.
• Antworten auf häufig gestellte Fragen zur Datenverkehrsanalyse finden Sie unter Häufig gestellte Fragen zur Datenverkehrsanalyse.