Forgalomelemzési séma és adatösszesítés
A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. A Traffic Analytics elemzi az Azure Network Watcher folyamatnaplóit, hogy betekintést nyújtson az Azure-felhő forgalmi folyamatába. A forgalomelemzéssel az alábbiakat végezheti el:
- Az Azure-előfizetések hálózati tevékenységeinek megjelenítése és a gyakori elérésű pontok azonosítása.
- Azonosíthatja a biztonsági fenyegetéseket, és biztonságossá teheti a hálózatot olyan információkkal, mint a nyílt portok, az internet-hozzáférést megkísérlő alkalmazások és a rosszindulatú hálózatokhoz csatlakozó virtuális gépek.
- Ismerje meg az Azure-régiók és az internet forgalmi mintáit, hogy optimalizálja a hálózati üzembe helyezést a teljesítmény és a kapacitás szempontjából.
- Hibás hálózati konfigurációk kitűzése, amely sikertelen kapcsolatokhoz vezet a hálózaton.
- Ismerje meg a hálózathasználatot bájtokban, csomagokban vagy folyamatokban.
Adatösszesítés
- Egy hálózati biztonsági csoport
FlowIntervalStartTime_t
FlowIntervalEndTime_t
összes folyamatnaplója egy adott tárfiók blobjaként egyperces időközönként lesz rögzítve. - A forgalomelemzés alapértelmezett feldolgozási időköze 60 perc, ami azt jelenti, hogy a forgalomelemzés óránként kiválasztja a blobokat a tárfiókból az összesítéshez. Ha azonban 10 perces feldolgozási időköz van kiválasztva, a traffic analytics ehelyett 10 percenként választ blobokat a tárfiókból.
- Azok a folyamatok, amelyek azonosak , , , , ,
Transport layer protocol (TCP or UDP)
Flow Direction
NSG rule
és egyetlen folyamatba vannak beosztva a forgalomelemzéssel (Megjegyzés: a forrásport nem szerepel az összesítésben).NSG name
Destination port
Destination IP
Source IP
- Ez az egyetlen rekord ki van díszítve (az alábbi szakaszban található részletek), és az Azure Monitor-naplókba betölti a forgalomelemzés. Ez a folyamat akár 1 órát is igénybe vehet.
FlowStartTime_t
a mező egy ilyen összesített folyamat első előfordulását jelzi (ugyanaz a négylépéses) a folyamatnapló feldolgozási időközében a kettő ésFlowIntervalStartTime_t
FlowIntervalEndTime_t
a .- A forgalomelemzési erőforrások esetében az Azure Portalon jelzett folyamatok a hálózati biztonsági csoport által látott teljes folyamatok, az Azure Monitor-naplókban azonban a felhasználó csak az egyetlen, csökkentett rekordot látja. Az összes folyamat megtekintéséhez használja a
blob_id
tárolóból hivatkozható mezőt. A rekord teljes folyamatszáma megegyezik a blobban látható egyes folyamatok számával.
Az alábbi lekérdezés segít áttekinteni az összes olyan alhálózatot, amely az elmúlt 30 napban nem Azure-beli nyilvános IP-címekkel kommunikál.
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet1_s, Subnet2_s
Az előző lekérdezésben szereplő folyamatok blobútvonalának megtekintéséhez használja a következő lekérdezést:
let TableWithBlobId =
(AzureNetworkAnalytics_CL
| where SubType_s == "Topology" and ResourceType == "NetworkSecurityGroup" and DiscoveryRegion_s == Region_s and IsFlowEnabled_b
| extend binTime = bin(TimeProcessed_t, 6h),
nsgId = strcat(Subscription_g, "/", Name_s),
saNameSplit = split(FlowLogStorageAccount_s, "/")
| extend saName = iif(arraylength(saNameSplit) == 3, saNameSplit[2], '')
| distinct nsgId, saName, binTime)
| join kind = rightouter (
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog"
| extend binTime = bin(FlowEndTime_t, 6h)
) on binTime, $left.nsgId == $right.NSGList_s
| extend blobTime = format_datetime(todatetime(FlowIntervalStartTime_t), "yyyy MM dd hh")
| extend nsgComponents = split(toupper(NSGList_s), "/"), dateTimeComponents = split(blobTime, " ")
| extend BlobPath = strcat("https://", saName,
"@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/", nsgComponents[0],
"/RESOURCEGROUPS/", nsgComponents[1],
"/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/", nsgComponents[2],
"/y=", dateTimeComponents[0], "/m=", dateTimeComponents[1], "/d=", dateTimeComponents[2], "/h=", dateTimeComponents[3],
"/m=00/macAddress=", replace(@"-", "", MACAddress_s),
"/PT1H.json")
| project-away nsgId, saName, binTime, blobTime, nsgComponents, dateTimeComponents;
TableWithBlobId
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s , BlobPath
Az előző lekérdezés egy URL-címet hoz létre a blob közvetlen eléréséhez. A helyőrzőkkel rendelkező URL-cím a következő:
https://{storageAccountName}@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroup}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Traffic Analytics-séma
A traffic analytics az Azure Monitor-naplókra épül, így egyéni lekérdezéseket futtathat a forgalomelemzéssel díszített adatokon, és riasztásokat állíthat be.
Az alábbi táblázat a séma mezőit és a hálózati biztonsági csoport folyamatnaplóinak jelzéseit sorolja fel.
Mező | Formátum | Megjegyzések |
---|---|---|
TableName | AzureNetworkAnalytics_CL | Forgalomelemzési adatok táblázata. |
SubType_s | Folyamatnapló | A folyamatnaplók altípusa. Csak FlowLogot használjon, a SubType_s egyéb értékei belső használatra használhatók. |
FASchemaVersion_s | 2 | Sémaverzió. Nem tükrözi a hálózati biztonsági csoport folyamatnaplójának verzióját. |
TimeProcessed_t | Dátum és idő (UTC) | Az az időpont, amikor a forgalomelemzés feldolgozta a tárfiókból származó nyers folyamatnaplókat. |
FlowIntervalStartTime_t | Dátum és idő (UTC) | A folyamatnapló feldolgozási időközének kezdő időpontja (a folyamatintervallum mérésének időpontja). |
FlowIntervalEndTime_t | Dátum és idő (UTC) | A folyamatnapló feldolgozási időközének befejezési ideje. |
FlowStartTime_t | Dátum és idő (UTC) | A folyamat első előfordulása (amely aggregátumba kerül) a folyamatnapló feldolgozási időköze között és FlowIntervalEndTime_t közöttFlowIntervalStartTime_t . Ez a folyamat összesítési logika alapján lesz összesítve. |
FlowEndTime_t | Dátum és idő (UTC) | A folyamat utolsó előfordulása (amely összesítve lesz) a folyamatnapló feldolgozási időközében FlowIntervalStartTime_t az és FlowIntervalEndTime_t a között. A 2. folyamatnaplót tekintve ez a mező azt az időpontot tartalmazza, amikor az utolsó folyamat ugyanazzal a négy rekorddal indult el (a nyers folyamat rekordjában B jelöléssel). |
FlowType_s | - IntraVNet - InterVNet - S2S - P2S - AzurePublic - ExternalPublic - MaliciousFlow - Ismeretlen privát -Ismeretlen |
A definíciókról a megjegyzésekben olvashat. |
SrcIP_s | Forrás IP-címe | Üres az AzurePublic és a ExternalPublic folyamatokban. |
DestIP_s | Cél IP-cím | Üres az AzurePublic és a ExternalPublic folyamatokban. |
VMIP_s | A virtuális gép IP-címe | AzurePublic- és ExternalPublic-folyamatokhoz használatos. |
DestPort_d | Célport | Port, amelyen a forgalom bejövő. |
L4Protocol_s | -T -U |
Átviteli protokoll. T = TCP U = UDP. |
L7Protocol_s | Protokoll neve | A célportból származik. |
FlowDirection_s | - I = Bejövő - O = Kimenő |
A folyamat iránya: a hálózati biztonsági csoporton belül vagy azon kívül, folyamatnaplónként. |
FlowStatus_s | - A = Engedélyezett - D = Megtagadva |
A folyamat állapota, függetlenül attól, hogy a hálózati biztonsági csoport engedélyezi-e vagy megtagadja-e a folyamatnaplónként. |
NSGList_s | <SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME> | A folyamathoz társított hálózati biztonsági csoport. |
NSGRules_s | <Indexérték 0>|<>NSG_RULENAME|<Folyamatirány>|<Folyamat állapota>|<FlowCount ProcessedByRule> | A folyamatot engedélyező vagy elutasító hálózati biztonsági csoportszabály. |
NSGRule_s | NSG_RULENAME | A folyamatot engedélyező vagy elutasító hálózati biztonsági csoportszabály. |
NSGRuleType_s | - Felhasználó által definiált -Alapértelmezett |
A folyamat által használt hálózati biztonsági csoport szabályának típusa. |
MACAddress_s | MAC-cím | Annak a hálózati adapternek a MAC-címe, amelyen a folyamat rögzítve lett. |
Subscription_g | Az Azure-beli virtuális hálózat/ hálózati adapter/virtuális gép előfizetése ebben a mezőben van feltöltve | Csak a FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow és UnknownPrivate folyamattípusokra alkalmazható (olyan folyamattípusokra, amelyeknek csak az egyik oldala az Azure). |
Subscription1_g | Előfizetés azonosítója | Annak a virtuális hálózatnak/ hálózati adapternek/virtuális gépnek az előfizetés-azonosítója, amelyhez a folyamat forrás IP-címe tartozik. |
Subscription2_g | Előfizetés azonosítója | Annak a virtuális hálózatnak/ hálózati adapternek/virtuális gépnek az előfizetés-azonosítója, amelyhez a folyamat cél IP-címe tartozik. |
Region_s | A folyamat IP-címéhez tartozó Azure-régió virtuális hálózat/ hálózati adapter/ virtuális gép. | Csak a FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow és UnknownPrivate folyamattípusokra alkalmazható (olyan folyamattípusokra, amelyeknek csak az egyik oldala az Azure). |
Region1_s | Azure-régió | A folyamat forrás IP-címéhez tartozó azure-régió virtuális hálózat/ hálózati adapter/ virtuális gép. |
Region2_s | Azure-régió | A folyamat cél IP-címéhez tartozó virtuális hálózat Azure-régiója. |
NIC_s | <>resourcegroup_Name/<NetworkInterfaceName> | A forgalmat küldő vagy fogadó virtuális géphez társított hálózati adapter. |
NIC1_s | <>resourcegroup_Name/<NetworkInterfaceName> | A folyamat forrás IP-címéhez társított hálózati adapter. |
NIC2_s | <>resourcegroup_Name/<NetworkInterfaceName> | A folyamat cél IP-címéhez társított hálózati adapter. |
VM_s | <>resourcegroup_Name/<NetworkInterfaceName> | A hálózati adapterhez társított virtuális gép NIC_s. |
VM1_s | <>resourcegroup_Name/<VirtualMachineName> | A folyamat forrás IP-címéhez társított virtuális gép. |
VM2_s | <>resourcegroup_Name/<VirtualMachineName> | A folyamat cél IP-címéhez társított virtuális gép. |
Subnet_s | <>ResourceGroup_Name/<VirtualNetwork_Name>/<alhálózat neve> | A NIC_s társított alhálózat. |
Subnet1_s | <>ResourceGroup_Name/<VirtualNetwork_Name>/<alhálózat neve> | A folyamat forrás IP-címéhez társított alhálózat. |
Subnet2_s | <>ResourceGroup_Name/<VirtualNetwork_Name>/<alhálózat neve> | A folyamat cél IP-címéhez társított alhálózat. |
ApplicationGateway1_s | <SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName> | A folyamat forrás IP-címéhez társított Application Gateway. |
ApplicationGateway2_s | <SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName> | A folyamat cél IP-címéhez társított Application Gateway. |
ExpressRouteCircuit1_s | <SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName> | ExpressRoute-kapcsolatcsoport azonosítója – amikor a folyamat az ExpressRoute-on keresztül érkezik a helyről. |
ExpressRouteCircuit2_s | <SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName> | ExpressRoute-kapcsolatcsoport azonosítója – amikor a folyamatot az ExpressRoute fogadja a felhőből. |
ExpressRouteCircuitPeeringType_s | - AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering |
ExpressRoute-társviszony-létesítési típus, amely részt vesz a folyamatban. |
LoadBalancer1_s | <SubscriptionID>/<ResourceGroupName>/<LoadBalancerName> | A folyamat forrás IP-címéhez társított terheléselosztó. |
LoadBalancer2_s | <SubscriptionID>/<ResourceGroupName>/<LoadBalancerName> | A folyamat cél IP-címéhez társított terheléselosztó. |
LocalNetworkGateway1_s | <SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> | A folyamat forrás IP-címéhez társított helyi hálózati átjáró. |
LocalNetworkGateway2_s | <SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> | A folyamat cél IP-címéhez társított helyi hálózati átjáró. |
Csatlakozás ionType_s | - VNetPeering - VpnGateway - ExpressRoute |
A bemetszés típusa. |
Csatlakozás ionName_s | <SubscriptionID>/<ResourceGroupName>/<Csatlakozás ionName> | A kapcsolat neve. A P2S folyamattípus esetén átjárónév>_<VPN-ügyfél IP-címeként <>van formázva. |
Csatlakozás ingVNets_s | A virtuális hálózatok neveinek szóközzel elválasztott listája | Küllős topológia esetén a központi virtuális hálózatok itt töltődnek fel. |
Country_s | Kétbetűs országkód (ISO 3166-1 alpha-2) | Az ExternalPublic folyamattípushoz van feltöltve. A PublicIPs_s mező összes IP-címe ugyanazzal az országkóddal rendelkezik. |
AzureRegion_s | Azure-régió helyei | Az AzurePublic folyamattípushoz van feltöltve. A PublicIPs_s mező összes IP-címe osztozik az Azure-régión. |
AllowedInFlows_d | Az engedélyezett bejövő folyamatok száma, amely azon folyamatok számát jelöli, amelyek ugyanazt a négyrekordos bejövő forgalmat osztották meg azon a hálózati adapteren, amelyen a folyamatot rögzítették. | |
DeniedInFlows_d | A megtagadott bejövő folyamatok száma. (Bejövő forgalom arra a hálózati adapterre, amelyen a folyamat rögzítve lett). | |
AllowedOutFlows_d | Engedélyezett kimenő folyamatok száma (kimenő forgalom azon hálózati adapterre, amelyen a folyamatot rögzítették). | |
DeniedOutFlows_d | A letiltott kimenő folyamatok száma (kimenő forgalom azon hálózati adapterre, amelyen a folyamatot rögzítették). | |
FlowCount_d | Elavult. Az azonos négy rekordnak megfelelő összes folyamat. Az ExternalPublic és az AzurePublic folyamattípusok esetén a darabszám tartalmazza a különböző PublicIP-címekről származó folyamatokat is. | |
InboundPackets_d | A célhelyről a folyamat forrásának küldött csomagokat jelöli | Csak a hálózati biztonsági csoport folyamatnapló-sémájának 2. verziójához van feltöltve. |
OutboundPackets_d | A forrásból a folyamat célhelyére küldött csomagokat jelöli | Csak a hálózati biztonsági csoport folyamatnapló-sémájának 2. verziójához van feltöltve. |
InboundBytes_d | A célból a folyamat forrásának küldött bájtokat jelöli | Csak a hálózati biztonsági csoport folyamatnapló-sémájának 2. verziójához van feltöltve. |
OutboundBytes_d | A forrásból a folyamat célhelyére küldött bájtokat jelöli | Csak a hálózati biztonsági csoport folyamatnapló-sémájának 2. verziójához van feltöltve. |
CompletedFlows_d | Csak a hálózati biztonsági csoport folyamatnapló-sémájának 2. verziójához tartozó nemero értékkel van feltöltve. | |
PublicIPs_s | <>PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES> | Oszlopok által elválasztott bejegyzések. |
SrcPublicIPs_s | <>SOURCE_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES> | Oszlopok által elválasztott bejegyzések. |
DestPublicIPs_s | <>DESTINATION_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES> | Oszlopok által elválasztott bejegyzések. |
IsFlowCapturedAtUDRHop_b | -Igaz -Hamis |
Ha a folyamatot UDR ugráskor rögzítették, az érték Igaz. |
Fontos
A forgalomelemzési séma 2019. augusztus 22-én frissült. Az új séma külön biztosítja a forrás- és cél IP-címeket, így nem szükséges elemezni a mezőt, hogy a FlowDirection
lekérdezések egyszerűbbek legyenek. A frissített sémában a következő változások történtek:
FASchemaVersion_s
1-ről 2-re frissítve.- Elavult mezők:
VMIP_s
,Subscription_g
,Region_s
,NSGRules_s
,Subnet_s
,VM_s
NIC_s
, , ,PublicIPs_s
FlowCount_d
- Új mezők:
SrcPublicIPs_s
, ,DestPublicIPs_s
NSGRule_s
Nyilvános IP-cím részleteinek sémája
A Traffic Analytics WHOIS-adatokat és földrajzi helyet biztosít a környezet összes nyilvános IP-címéhez. Rosszindulatú IP-címek esetén a traffic analytics DNS-tartományt, fenyegetéstípust és szálleírásokat biztosít a Microsoft biztonságiintelligencia-megoldásai által azonosított módon. Az IP-adatok közzé lesznek téve a Log Analytics-munkaterületen, így egyéni lekérdezéseket hozhat létre, és riasztásokat helyezhet el rajtuk. Az előre feltöltött lekérdezéseket a forgalomelemzési irányítópulton is elérheti.
Az alábbi táblázat a nyilvános IP-sémát ismerteti:
Mező | Formátum | Megjegyzések |
---|---|---|
TableName | AzureNetworkAnalyticsIPDetails_CL | A traffic analytics IP-adatait tartalmazó táblázat. |
SubType_s | Folyamatnapló | A folyamatnaplók altípusa. Csak a "FlowLog" használata, a SubType_s egyéb értékei a termék belső működésére használhatók. |
FASchemaVersion_s | 2 | Sémaverzió. Nem tükrözi a hálózati biztonsági csoport folyamatnaplójának verzióját. |
FlowIntervalStartTime_t | Dátum és idő (UTC) | A folyamatnapló feldolgozási időközének kezdő időpontja (a folyamatintervallum mérésének időpontja). |
FlowIntervalEndTime_t | Dátum és idő (UTC) | A folyamatnapló feldolgozási időközének befejezési ideje. |
FlowType_s | - AzurePublic - ExternalPublic - MaliciousFlow |
A definíciókról a megjegyzésekben olvashat. |
IP | Nyilvános IP-cím | Nyilvános IP-cím, amelynek adatait a rekord tartalmazza. |
Helyen | Az IP-cím helye | - Az Azure nyilvános IP-címe esetén: a virtuális hálózat/hálózati adapter/virtuális gép Azure-régiója, amelyhez az IP-cím tartozik, VAGY globális a 168.63.129.16 IP-címhez. - Külső nyilvános IP- és rosszindulatú IP-cím esetén: 2 betűs országkód, ahol az IP-cím található (ISO 3166-1 alpha-2). |
PublicIPDetails | Információk az IP-címről | - AzurePublic IP esetén: Az IP-címet vagy a Microsoft virtuális nyilvános IP-címét birtokoló Azure Service a 168.63.129.16-os verzióhoz. - ExternalPublic/Malicious IP: Az IP WhoIS-információi. |
ThreatType | Rosszindulatú IP-cím által okozott fenyegetés | Csak rosszindulatú IP-címek esetén: Az aktuálisan engedélyezett értékek listájából (a következő táblázatban ismertetett) fenyegetések egyike. |
ThreatDescription | A fenyegetés leírása | Csak rosszindulatú IP-címek esetén. A rosszindulatú IP-cím által jelentett fenyegetés leírása. |
DNSDomain | DNS-tartomány | Csak rosszindulatú IP-címek esetén. A rosszindulatú IP-címhez társított tartománynév. |
Url | A rosszindulatú IP-címnek megfelelő URL-cím | Csak rosszindulatú IP-címek esetén |
Port | A rosszindulatú IP-címnek megfelelő port | Csak rosszindulatú IP-címek esetén |
Fenyegetéstípusok listája:
Érték | Leírás |
---|---|
Botnet | Egy botnetcsomópontot/tagot részletező mutató. |
C2 | A robotnet parancs- és vezérlőcsomópontját részletező mutató. |
CryptoMining | Az ezt a hálózati címet / URL-címet tartalmazó forgalom a CyrptoMining/Resource abuse jelzése. |
Darknet | Darknet-csomópont/hálózat jelzője. |
Ddos | Aktív vagy közelgő DDoS-kampányhoz kapcsolódó mutatók. |
MaliciousUrl | Kártevőt kiszolgáló URL-cím. |
Kártevő | Rosszindulatú fájlokat vagy fájlokat leíró jelző. |
Adathalászat | Adathalászati kampányhoz kapcsolódó mutatók. |
Proxy | Proxyszolgáltatás mutatója. |
PUA | Potenciálisan nemkívánatos alkalmazás. |
Listához | Egy általános gyűjtő, amelybe a jelzők kerülnek, ha nem lehet pontosan meghatározni, hogy mi a fenyegetés, vagy manuális értelmezést igényel. WatchList általában nem használhatják az adatokat a rendszerbe küldő partnerek. |
Jegyzetek
AzurePublic
ExternalPublic
Az ügyfél tulajdonában lévő Azure-beli virtuális gép IP-címe a mezőkbenVMIP_s
, a nyilvános IP-címek pedig aPublicIPs_s
mezőben lesznek kitöltve. Ehhez a két folyamattípushoz a mezők helyett ésPublicIPs_s
DestIP_s
helyett kell használniaVMIP_s
SrcIP_s
. Az AzurePublic és ExternalPublic IP-címek esetében tovább összesítjük, hogy a Log Analytics-munkaterületre betöltött rekordok száma minimális legyen. (Ez a mező elavult lesz. Használjon SrcIP_ és DestIP_s attól függően, hogy a virtuális gép volt-e a forrás vagy a cél a folyamatban).- Egyes mezőnevek hozzá vannak fűzve a forráshoz és
_d
a célhoz, de jelzik az adattípus-sztringet_s
és a decimális értéket. - A folyamathoz tartozó IP-címek alapján a folyamatokat a következő folyamattípusokba kategorizáljuk:
IntraVNet
: A folyamat mindkét IP-címe ugyanabban az Azure-beli virtuális hálózaton található.InterVNet
: A folyamat IP-címei két különböző Azure-beli virtuális hálózatban találhatók.S2S
(Helyek közötti): Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, a másik IP-cím pedig a virtuális hálózathoz VPN-átjárón vagy ExpressRoute-on keresztül csatlakoztatott ügyfélhálózathoz (helyhez).P2S
(Pont–hely): Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, míg a másik IP-cím az Azure-beli virtuális hálózathoz VPN-átjárón keresztül csatlakozó ügyfélhálózathoz (helyhez).AzurePublic
: Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, míg a másik IP-cím a Microsoft tulajdonában lévő Nyilvános Azure IP-cím. Az ügyfél tulajdonában lévő nyilvános IP-címek nem részei ennek a folyamattípusnak. Például az azure-szolgáltatásba (Storage-végpontba) irányuló forgalmat küldő összes ügyfél tulajdonában lévő virtuális gép ebbe a folyamattípusba lesz besorolva.ExternalPublic
: Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, míg a másik IP-cím egy nyilvános IP-cím, amely nem az Azure-ban található, és nem jelent kártékonyként az ASC-hírcsatornákban, amelyeket a forgalomelemzés a "FlowIntervalStartTime_t" és a "FlowIntervalEndTime_t" közötti feldolgozási időközhöz használ fel.MaliciousFlow
: Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, míg a másik IP-cím egy nyilvános IP-cím, amely nem az Azure-ban található, és rosszindulatúként van jelentve az ASC-hírcsatornákban, amelyeket a forgalomelemzés a "FlowIntervalStartTime_t" és a "FlowIntervalEndTime_t" közötti feldolgozási időközhöz használ.UnknownPrivate
: Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, míg a másik IP-cím az RFC 1918-ban meghatározott privát IP-tartományhoz tartozik, és a forgalomelemzés nem képezhető le egy ügyfél tulajdonában lévő helyre vagy Azure-beli virtuális hálózatra.Unknown
: A folyamat egyik IP-címe sem képezhető le az Azure-beli és a helyszíni ügyféltopológiával.
Kapcsolódó tartalom
- A forgalomelemzéssel kapcsolatos további információkért tekintse meg a Traffic Analytics áttekintését.
- A traffic analyticssel kapcsolatos gyakori kérdéseket a traffic analyticsre adott válaszokért tekintse meg.