Azure ExpressRoute Traffic Collector
ExpressRoute Traffic Collector permet d’échantillonner les flux réseau envoyés sur vos circuits ExpressRoute Direct. Les journaux de flux sont envoyés à un espace de travail Log Analytics où vous pouvez créer vos propres requêtes de journal pour une analyse plus approfondie. Vous pouvez également exporter les données vers n’importe quel outil de visualisation ou SIEM (Security Information and Event Management) de votre choix. La journalisation des flux peut être activée pour le peering privé et le peering Microsoft avec ExpressRoute Traffic Collector.
Cas d’utilisation
Les journaux de flux peuvent vous aider à accéder à différents insights sur le trafic. Voici quelques cas d’utilisation courants :
Analyse du réseau
- Surveiller le peering privé Azure et le trafic de peering Microsoft
- Visibilité en quasi-temps réel du débit et des performances du réseau
- Effectuer un diagnostic réseau
- Prévision de capacité
Surveiller l’utilisation du réseau et l’optimisation des coûts
- Analyser les tendances du trafic en filtrant les flux échantillonnés par adresse IP, port ou applications
- Principaux consommateurs pour une adresse IP source, une adresse IP de destination ou des applications
- Optimiser les dépenses de trafic réseau en analysant les tendances du trafic
Analyse forensique du réseau
- Identifier les adresses IP compromises en analysant tous les flux réseau associés
- Exporter les journaux de flux vers un outil SIEM (Security Information and Event Management) pour surveiller, mettre en corrélation les événements et générer des alertes de sécurité
Collecte et échantillonnage des journaux de flux
Les journaux de flux sont collectés à un intervalle de toutes les 1 minute. Tous les paquets collectés pour un flux donné sont agrégés et importés dans un espace de travail Log Analytics pour une analyse plus poussée. Pendant la collecte de flux, tous les paquets ne sont pas capturés dans leur propre enregistrement de flux. ExpressRoute Traffic Collector utilise un taux d’échantillonnage de 1:4096, ce qui signifie que 1 paquet sur 4096 est capturé. Par conséquent, les flux courts du taux d’échantillonnage (en octets totaux) peuvent ne pas être collectés. Cette taille d’échantillonnage n’affecte pas l’analyse du trafic réseau lorsque les données échantillonnées sont agrégées sur une plus longue période. Le temps de collecte de flux et le taux d’échantillonnage sont fixes et ne peuvent pas être modifiés.
Schéma du journal de flux
| Colonne | Type | Description |
|---|---|---|
| ATCRegion | chaîne | Région de déploiement d’ExpressRoute Traffic Collector (ATC). |
| ATCResourceId | string | ID de ressource Azure d’ExpressRoute Traffic Collector (ATC). |
| BgpNextHop | string | Tronçon suivant BGP (Border Gateway Protocol) tel que défini dans la table de routage. |
| DestinationIp | string | Adresse IP de destination. |
| DestinationPort | int | Port de destination TCP. |
| Dot1qCustomerVlanId | int | VlanId du client Dot1q. |
| Dot1qVlanId | int | VlanId de Dot1q. |
| DstAsn | int | Numéro de système autonome (ASN) de destination. |
| DstMask | int | Masque du sous-réseau de destination. |
| DstSubnet | string | Sous-réseau de destination de l’adresse IP de destination. |
| ExRCircuitDirectPortId | chaîne | ID de ressource Azure du port direct du circuit ExpressRoute. |
| ExRCircuitId | chaîne | ID de ressource Azure du circuit ExpressRoute. |
| ExRCircuitServiceKey | chaîne | Clé de service du circuit ExpressRoute. |
| FlowRecordTime | DATETIME | Horodatage (UTC) du moment où le circuit ExpressRoute a émis cet enregistrement de flux. |
| Flowsequence | long | Séquence de flux de ce flux. |
| IcmpType | int | Type de protocole tel que spécifié dans l’en-tête IP. |
| IpClassOfService | int | Classe IP du service telle que spécifiée dans l’en-tête IP. |
| IpProtocolIdentifier | int | Type de protocole tel que spécifié dans l’en-tête IP. |
| IpVerCode | int | Version IP telle que définie dans l’en-tête IP. |
| MaxTtl | int | Durée maximale de vie (TTL) telle que définie dans l’en-tête IP. |
| MinTtl | int | Durée minimale de vie (TTL) telle que définie dans l’en-tête IP. |
| NextHop | chaîne | Tronçon suivant selon la table de transfert. |
| NumberOfBytes | long | Nombre total d’octets de paquets capturés dans ce flux. |
| NumberOfPackets | long | Nombre total de paquets capturés dans ce flux. |
| NomOpération | string | Opération ExpressRoute Traffic Collector spécifique qui a émis cet enregistrement de flux. |
| PeeringType | chaîne | Type de peering du circuit ExpressRoute. |
| Protocol | int | Type de protocole tel que spécifié dans l’en-tête IP. |
| _ResourceId | string | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| SchemaVersion | string | Version du schéma d’enregistrement de flux. |
| SourceIp | chaîne | Adresse IP source. |
| SourcePort | int | Port source TCP. |
| SourceSystem | string | |
| SrcAsn | int | Numéro de système autonome (ASN) source. |
| SrcMask | int | Masque du sous-réseau source. |
| SrcSubnet | chaîne | Sous-réseau source de l’adresse IP source. |
| _SubscriptionId | string | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| TcpFlag | int | Indicateur TCP tel que défini dans l’en-tête TCP. |
| TenantId | string | |
| TimeGenerated | DATETIME | Horodatage (UTC) du moment où ExpressRoute Traffic Collector a émis cet enregistrement de flux. |
| Type | string | Le nom de la table |
Disponibilité des régions
ExpressRoute Traffic Collector est pris en charge dans les régions suivantes :
| Région | Nom de la région |
|---|---|
| Amérique du Nord |
|
| Amérique du Sud |
|
| Europe |
|
| Asie |
|
| Afrique |
|
| Pacifique |
|
Tarification
| Zone | Passerelle réseau par heure | Données traitées par Go |
|---|---|---|
| Zone 1 | 0,60 $/heure | 0,10 $/Go |
| Zone 2 | 0,80 $/heure | 0,20 $/Go |
| Zone 3 | 0,80 $/heure | 0,20 $/Go |