Forgalomelemzési séma és adatösszesítés

A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. A Traffic Analytics elemzi az Azure Network Watcher folyamatnaplóit, hogy betekintést nyújtson az Azure-felhő forgalmi folyamatába. A forgalomelemzéssel az alábbiakat végezheti el:

• Az Azure-előfizetések hálózati tevékenységeinek megjelenítése és a gyakori elérésű pontok azonosítása.
• Azonosíthatja a biztonsági fenyegetéseket, és biztonságossá teheti a hálózatot olyan információkkal, mint a nyílt portok, az internet-hozzáférést megkísérlő alkalmazások és a rosszindulatú hálózatokhoz csatlakozó virtuális gépek.
• Ismerje meg az Azure-régiók és az internet forgalmi mintáit, hogy optimalizálja a hálózati üzembe helyezést a teljesítmény és a kapacitás szempontjából.
• Hibás hálózati konfigurációk kitűzése, amely sikertelen kapcsolatokhoz vezet a hálózaton.
• Ismerje meg a hálózathasználatot bájtokban, csomagokban vagy folyamatokban.

Adatösszesítés

Hálózati biztonsági csoport folyamatnaplói

• Egy hálózati biztonsági csoport FlowIntervalStartTime_tFlowIntervalEndTime_t összes folyamatnaplója egy adott tárfiók blobjaként egyperces időközönként lesz rögzítve.
• A forgalomelemzés alapértelmezett feldolgozási időköze 60 perc, ami azt jelenti, hogy a forgalomelemzés óránként kiválasztja a blobokat a tárfiókból az összesítéshez. Ha azonban 10 perces feldolgozási időköz van kiválasztva, a traffic analytics ehelyett 10 percenként választ blobokat a tárfiókból.
• Azok a folyamatok, amelyek azonosak , , , , , Transport layer protocol (TCP or UDP)Flow DirectionNSG ruleés egyetlen folyamatba vannak beosztva a forgalomelemzéssel (Megjegyzés: a forrásport nem szerepel az összesítésben). NSG nameDestination portDestination IPSource IP
• Ez az egyetlen rekord ki van díszítve (az alábbi szakaszban található részletek), és az Azure Monitor-naplókba betölti a forgalomelemzés. Ez a folyamat akár 1 órát is igénybe vehet.
• FlowStartTime_t a mező egy ilyen összesített folyamat első előfordulását jelzi (ugyanaz a négylépéses) a folyamatnapló feldolgozási időközében a kettő és FlowIntervalStartTime_tFlowIntervalEndTime_ta .
• A forgalomelemzési erőforrások esetében az Azure Portalon jelzett folyamatok a hálózati biztonsági csoport által látott teljes folyamatok, az Azure Monitor-naplókban azonban a felhasználó csak az egyetlen, csökkentett rekordot látja. Az összes folyamat megtekintéséhez használja a blob_id tárolóból hivatkozható mezőt. A rekord teljes folyamatszáma megegyezik a blobban látható egyes folyamatok számával.

Virtuális hálózati folyamatnaplók

• Az összes folyamatnapló FlowIntervalStartTimeFlowIntervalEndTime egyperces időközönként lesz rögzítve blobként egy tárfiókban.
• A forgalomelemzés alapértelmezett feldolgozási időköze 60 perc, ami azt jelenti, hogy a forgalomelemzés óránként kiválasztja a blobokat a tárfiókból az összesítéshez. Ha azonban 10 perces feldolgozási időköz van kiválasztva, a traffic analytics ehelyett 10 percenként választ blobokat a tárfiókból.
• Azok a folyamatok, amelyek azonosak , , , , , Transport layer protocol (TCP or UDP)Flow DirectionNSG ruleés egyetlen folyamatba vannak beosztva a forgalomelemzéssel (Megjegyzés: a forrásport nem szerepel az összesítésben). NSG nameDestination portDestination IPSource IP
• Ez az egyetlen rekord ki van díszítve (az alábbi szakaszban található részletek), és az Azure Monitor-naplókba betölti a forgalomelemzés. Ez a folyamat akár 1 órát is igénybe vehet.
• FlowStartTime a mező egy ilyen összesített folyamat első előfordulását jelzi (ugyanaz a négylépéses) a folyamatnapló feldolgozási időközében a kettő és FlowIntervalStartTimeFlowIntervalEndTimea .
• A forgalomelemzésben szereplő erőforrások esetében az Azure Portalon jelzett folyamatok teljes folyamatok, de az Azure Monitor-naplókban a felhasználó csak az egyetlen, csökkentett rekordot látja. Az összes folyamat megtekintéséhez használja a blob_id tárolóból hivatkozható mezőt. A rekord teljes folyamatszáma megegyezik a blobban látható egyes folyamatok számával.

Az alábbi lekérdezés segít áttekinteni az összes olyan alhálózatot, amely az elmúlt 30 napban nem Azure-beli nyilvános IP-címekkel kommunikál.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet1_s, Subnet2_s  

Az előző lekérdezésben szereplő folyamatok blobútvonalának megtekintéséhez használja a következő lekérdezést:

let TableWithBlobId =
(AzureNetworkAnalytics_CL
   | where SubType_s == "Topology" and ResourceType == "NetworkSecurityGroup" and DiscoveryRegion_s == Region_s and IsFlowEnabled_b
   | extend binTime = bin(TimeProcessed_t, 6h),
            nsgId = strcat(Subscription_g, "/", Name_s),
            saNameSplit = split(FlowLogStorageAccount_s, "/")
   | extend saName = iif(arraylength(saNameSplit) == 3, saNameSplit[2], '')
   | distinct nsgId, saName, binTime)
| join kind = rightouter (
   AzureNetworkAnalytics_CL
   | where SubType_s == "FlowLog"  
   | extend binTime = bin(FlowEndTime_t, 6h)
) on binTime, $left.nsgId == $right.NSGList_s  
| extend blobTime = format_datetime(todatetime(FlowIntervalStartTime_t), "yyyy MM dd hh")
| extend nsgComponents = split(toupper(NSGList_s), "/"), dateTimeComponents = split(blobTime, " ")
| extend BlobPath = strcat("https://", saName,
                        "@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/", nsgComponents[0],
                        "/RESOURCEGROUPS/", nsgComponents[1],
                        "/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/", nsgComponents[2],
                        "/y=", dateTimeComponents[0], "/m=", dateTimeComponents[1], "/d=", dateTimeComponents[2], "/h=", dateTimeComponents[3],
                        "/m=00/macAddress=", replace(@"-", "", MACAddress_s),
                        "/PT1H.json")
| project-away nsgId, saName, binTime, blobTime, nsgComponents, dateTimeComponents;

TableWithBlobId
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s , BlobPath

Az előző lekérdezés egy URL-címet hoz létre a blob közvetlen eléréséhez. A helyőrzőkkel rendelkező URL-cím a következő:

https://{storageAccountName}@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroup}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Traffic Analytics-séma

A traffic analytics az Azure Monitor-naplókra épül, így egyéni lekérdezéseket futtathat a forgalomelemzéssel díszített adatokon, és riasztásokat állíthat be.

Hálózati biztonsági csoport folyamatnaplói

Az alábbi táblázat a séma mezőit és a hálózati biztonsági csoport folyamatnaplóinak jelzéseit sorolja fel.

Mező	Formátum	Megjegyzések
TableName	AzureNetworkAnalytics_CL	Forgalomelemzési adatok táblázata.
SubType_s	Folyamatnapló	A folyamatnaplók altípusa. Csak FlowLogot használjon, a SubType_s egyéb értékei belső használatra használhatók.
FASchemaVersion_s	2	Sémaverzió. Nem tükrözi a hálózati biztonsági csoport folyamatnaplójának verzióját.
TimeProcessed_t	Dátum és idő (UTC)	Az az időpont, amikor a forgalomelemzés feldolgozta a tárfiókból származó nyers folyamatnaplókat.
FlowIntervalStartTime_t	Dátum és idő (UTC)	A folyamatnapló feldolgozási időközének kezdő időpontja (a folyamatintervallum mérésének időpontja).
FlowIntervalEndTime_t	Dátum és idő (UTC)	A folyamatnapló feldolgozási időközének befejezési ideje.
FlowStartTime_t	Dátum és idő (UTC)	A folyamat első előfordulása (amely aggregátumba kerül) a folyamatnapló feldolgozási időköze között és FlowIntervalEndTime_tközöttFlowIntervalStartTime_t. Ez a folyamat összesítési logika alapján lesz összesítve.
FlowEndTime_t	Dátum és idő (UTC)	A folyamat utolsó előfordulása (amely összesítve lesz) a folyamatnapló feldolgozási időközében FlowIntervalStartTime_t az és FlowIntervalEndTime_ta között. A 2. folyamatnaplót tekintve ez a mező azt az időpontot tartalmazza, amikor az utolsó folyamat ugyanazzal a négy rekorddal indult el (a nyers folyamat rekordjában B jelöléssel).
FlowType_s	- IntraVNet - InterVNet - S2S - P2S - AzurePublic - ExternalPublic - MaliciousFlow - Ismeretlen privát -Ismeretlen	A definíciókról a megjegyzésekben olvashat.
SrcIP_s	Forrás IP-címe	Üres az AzurePublic és a ExternalPublic folyamatokban.
DestIP_s	Cél IP-cím	Üres az AzurePublic és a ExternalPublic folyamatokban.
VMIP_s	A virtuális gép IP-címe	AzurePublic- és ExternalPublic-folyamatokhoz használatos.
DestPort_d	Célport	Port, amelyen a forgalom bejövő.
L4Protocol_s	-T -U	Átviteli protokoll. T = TCP U = UDP.
L7Protocol_s	Protokoll neve	A célportból származik.
FlowDirection_s	- I = Bejövő - O = Kimenő	A folyamat iránya: a hálózati biztonsági csoporton belül vagy azon kívül, folyamatnaplónként.
FlowStatus_s	- A = Engedélyezett - D = Megtagadva	A folyamat állapota, függetlenül attól, hogy a hálózati biztonsági csoport engedélyezi-e vagy megtagadja-e a folyamatnaplónként.
NSGList_s	<SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME>	A folyamathoz társított hálózati biztonsági csoport.
NSGRules_s	<Indexérték 0>|<>NSG_RULENAME|<Folyamatirány>|<Folyamat állapota>|<FlowCount ProcessedByRule>	A folyamatot engedélyező vagy elutasító hálózati biztonsági csoportszabály.
NSGRule_s	NSG_RULENAME	A folyamatot engedélyező vagy elutasító hálózati biztonsági csoportszabály.
NSGRuleType_s	- Felhasználó által definiált -Alapértelmezett	A folyamat által használt hálózati biztonsági csoport szabályának típusa.
MACAddress_s	MAC-cím	Annak a hálózati adapternek a MAC-címe, amelyen a folyamat rögzítve lett.
Subscription_g	Az Azure-beli virtuális hálózat/ hálózati adapter/virtuális gép előfizetése ebben a mezőben van feltöltve	Csak a FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow és UnknownPrivate folyamattípusokra alkalmazható (olyan folyamattípusokra, amelyeknek csak az egyik oldala az Azure).
Subscription1_g	Előfizetés azonosítója	Annak a virtuális hálózatnak/ hálózati adapternek/virtuális gépnek az előfizetés-azonosítója, amelyhez a folyamat forrás IP-címe tartozik.
Subscription2_g	Előfizetés azonosítója	Annak a virtuális hálózatnak/ hálózati adapternek/virtuális gépnek az előfizetés-azonosítója, amelyhez a folyamat cél IP-címe tartozik.
Region_s	A folyamat IP-címéhez tartozó Azure-régió virtuális hálózat/ hálózati adapter/ virtuális gép.	Csak a FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow és UnknownPrivate folyamattípusokra alkalmazható (olyan folyamattípusokra, amelyeknek csak az egyik oldala az Azure).
Region1_s	Azure-régió	A folyamat forrás IP-címéhez tartozó azure-régió virtuális hálózat/ hálózati adapter/ virtuális gép.
Region2_s	Azure-régió	A folyamat cél IP-címéhez tartozó virtuális hálózat Azure-régiója.
NIC_s	<>resourcegroup_Name/<NetworkInterfaceName>	A forgalmat küldő vagy fogadó virtuális géphez társított hálózati adapter.
NIC1_s	<>resourcegroup_Name/<NetworkInterfaceName>	A folyamat forrás IP-címéhez társított hálózati adapter.
NIC2_s	<>resourcegroup_Name/<NetworkInterfaceName>	A folyamat cél IP-címéhez társított hálózati adapter.
VM_s	<>resourcegroup_Name/<NetworkInterfaceName>	A hálózati adapterhez társított virtuális gép NIC_s.
VM1_s	<>resourcegroup_Name/<VirtualMachineName>	A folyamat forrás IP-címéhez társított virtuális gép.
VM2_s	<>resourcegroup_Name/<VirtualMachineName>	A folyamat cél IP-címéhez társított virtuális gép.
Subnet_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<alhálózat neve>	A NIC_s társított alhálózat.
Subnet1_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<alhálózat neve>	A folyamat forrás IP-címéhez társított alhálózat.
Subnet2_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<alhálózat neve>	A folyamat cél IP-címéhez társított alhálózat.
ApplicationGateway1_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	A folyamat forrás IP-címéhez társított Application Gateway.
ApplicationGateway2_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	A folyamat cél IP-címéhez társított Application Gateway.
ExpressRouteCircuit1_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-kapcsolatcsoport azonosítója – amikor a folyamat az ExpressRoute-on keresztül érkezik a helyről.
ExpressRouteCircuit2_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-kapcsolatcsoport azonosítója – amikor a folyamatot az ExpressRoute fogadja a felhőből.
ExpressRouteCircuitPeeringType_s	- AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering	ExpressRoute-társviszony-létesítési típus, amely részt vesz a folyamatban.
LoadBalancer1_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	A folyamat forrás IP-címéhez társított terheléselosztó.
LoadBalancer2_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	A folyamat cél IP-címéhez társított terheléselosztó.
LocalNetworkGateway1_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	A folyamat forrás IP-címéhez társított helyi hálózati átjáró.
LocalNetworkGateway2_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	A folyamat cél IP-címéhez társított helyi hálózati átjáró.
Csatlakozás ionType_s	- VNetPeering - VpnGateway - ExpressRoute	A bemetszés típusa.
Csatlakozás ionName_s	<SubscriptionID>/<ResourceGroupName>/<Csatlakozás ionName>	A kapcsolat neve. A P2S folyamattípus esetén átjárónév>_<VPN-ügyfél IP-címeként <>van formázva.
Csatlakozás ingVNets_s	A virtuális hálózatok neveinek szóközzel elválasztott listája	Küllős topológia esetén a központi virtuális hálózatok itt töltődnek fel.
Country_s	Kétbetűs országkód (ISO 3166-1 alpha-2)	Az ExternalPublic folyamattípushoz van feltöltve. A PublicIPs_s mező összes IP-címe ugyanazzal az országkóddal rendelkezik.
AzureRegion_s	Azure-régió helyei	Az AzurePublic folyamattípushoz van feltöltve. A PublicIPs_s mező összes IP-címe osztozik az Azure-régión.
AllowedInFlows_d		Az engedélyezett bejövő folyamatok száma, amely azon folyamatok számát jelöli, amelyek ugyanazt a négyrekordos bejövő forgalmat osztották meg azon a hálózati adapteren, amelyen a folyamatot rögzítették.
DeniedInFlows_d		A megtagadott bejövő folyamatok száma. (Bejövő forgalom arra a hálózati adapterre, amelyen a folyamat rögzítve lett).
AllowedOutFlows_d		Engedélyezett kimenő folyamatok száma (kimenő forgalom azon hálózati adapterre, amelyen a folyamatot rögzítették).
DeniedOutFlows_d		A letiltott kimenő folyamatok száma (kimenő forgalom azon hálózati adapterre, amelyen a folyamatot rögzítették).
FlowCount_d	Elavult. Az azonos négy rekordnak megfelelő összes folyamat. Az ExternalPublic és az AzurePublic folyamattípusok esetén a darabszám tartalmazza a különböző PublicIP-címekről származó folyamatokat is.
InboundPackets_d	A célhelyről a folyamat forrásának küldött csomagokat jelöli	Csak a hálózati biztonsági csoport folyamatnapló-sémájának 2. verziójához van feltöltve.
OutboundPackets_d	A forrásból a folyamat célhelyére küldött csomagokat jelöli	Csak a hálózati biztonsági csoport folyamatnapló-sémájának 2. verziójához van feltöltve.
InboundBytes_d	A célból a folyamat forrásának küldött bájtokat jelöli	Csak a hálózati biztonsági csoport folyamatnapló-sémájának 2. verziójához van feltöltve.
OutboundBytes_d	A forrásból a folyamat célhelyére küldött bájtokat jelöli	Csak a hálózati biztonsági csoport folyamatnapló-sémájának 2. verziójához van feltöltve.
CompletedFlows_d		Csak a hálózati biztonsági csoport folyamatnapló-sémájának 2. verziójához tartozó nemero értékkel van feltöltve.
PublicIPs_s	<>PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Oszlopok által elválasztott bejegyzések.
SrcPublicIPs_s	<>SOURCE_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Oszlopok által elválasztott bejegyzések.
DestPublicIPs_s	<>DESTINATION_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Oszlopok által elválasztott bejegyzések.
IsFlowCapturedAtUDRHop_b	-Igaz -Hamis	Ha a folyamatot UDR ugráskor rögzítették, az érték Igaz.

Fontos

A forgalomelemzési séma 2019. augusztus 22-én frissült. Az új séma külön biztosítja a forrás- és cél IP-címeket, így nem szükséges elemezni a mezőt, hogy a FlowDirection lekérdezések egyszerűbbek legyenek. A frissített sémában a következő változások történtek:

• FASchemaVersion_s 1-ről 2-re frissítve.
• Elavult mezők: VMIP_s, Subscription_g, Region_s, NSGRules_s, Subnet_s, VM_sNIC_s, , , PublicIPs_sFlowCount_d
• Új mezők: SrcPublicIPs_s, , DestPublicIPs_sNSGRule_s

Virtuális hálózati folyamatnaplók

Az alábbi táblázat a séma mezőit és a virtuális hálózati folyamatok naplóinak jelzéseit sorolja fel.

Mező	Formátum	Megjegyzések
TableName	NTANetAnalytics	Forgalomelemzési adatok táblázata.
Altípus	Folyamatnapló	A folyamatnaplók altípusa. Csak FlowLogot használjon, az Altípus többi értéke belső használatra van használva.
FASchemaVersion	3	Sémaverzió. Nem tükrözi a virtuális hálózati folyamat naplójának verzióját.
TimeProcessed	Dátum és idő (UTC)	Az az időpont, amikor a forgalomelemzés feldolgozta a tárfiókból származó nyers folyamatnaplókat.
FlowIntervalStartTime	Dátum és idő (UTC)	A folyamatnapló feldolgozási időközének kezdő időpontja (a folyamatintervallum mérésének időpontja).
FlowIntervalEndTime	Dátum és idő (UTC)	A folyamatnapló feldolgozási időközének befejezési ideje.
FlowStartTime	Dátum és idő (UTC)	A folyamat első előfordulása (amely aggregátumba kerül) a folyamatnapló feldolgozási időköze között és FlowIntervalEndTimeközöttFlowIntervalStartTime. Ez a folyamat összesítési logika alapján lesz összesítve.
FlowEndTime	Dátum és idő (UTC)	A folyamat utolsó előfordulása (amely összesítve lesz) a folyamatnapló feldolgozási időközében FlowIntervalStartTime az és FlowIntervalEndTimea között. A 2. folyamatnaplót tekintve ez a mező azt az időpontot tartalmazza, amikor az utolsó folyamat ugyanazzal a négy rekorddal indult el (a nyers folyamat rekordjában B jelöléssel).
FlowType	- IntraVNet - InterVNet - S2S - P2S - AzurePublic - ExternalPublic - MaliciousFlow - Ismeretlen privát -Ismeretlen	A definíciókról a megjegyzésekben olvashat.
SrcIP	Forrás IP-címe	Üres az AzurePublic és a ExternalPublic folyamatokban.
DestIP	Cél IP-cím	Üres az AzurePublic és a ExternalPublic folyamatokban.
TargetResourceId	ResourceGroupName/ResourceName	Annak az erőforrásnak az azonosítója, amelyen engedélyezve van a folyamatnaplózás és a forgalomelemzés.
TargetResourceType	VirtualNetwork/Alhálózat/NetworkInterface	Annak az erőforrásnak a típusa, amelyen engedélyezve van a folyamatnaplózás és a forgalomelemzés (virtuális hálózat, alhálózat, hálózati adapter vagy hálózati biztonsági csoport).
FlowLogResourceId	ResourceGroupName/NetworkWatcherName/FlowLogName	A folyamatnapló erőforrás-azonosítója.
DestPort	Célport	Port, amelyen a forgalom bejövő.
L4Protocol	-T -U	Átviteli protokoll. T = TCP U = UDP
L7Protocol	Protokoll neve	A célportból származik.
FlowDirection	- I = Bejövő - O = Kimenő	A folyamat iránya: a célerőforráson belül vagy azon kívül, folyamatnaplónként.
FlowStatus	- A = Engedélyezett - D = Megtagadva	A folyamat állapota: a célerőforrás által engedélyezett vagy elutasított folyamatnaplónként.
NSGList	<SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME>	A folyamathoz társított hálózati biztonsági csoport.
NSGRule	NSG_RULENAME	A folyamatot engedélyező vagy elutasító hálózati biztonsági csoportszabály.
NSGRuleType	- Felhasználó által definiált -Alapértelmezett	A folyamat által használt hálózati biztonsági csoport szabályának típusa.
MACAddress	MAC-cím	Annak a hálózati adapternek a MAC-címe, amelyen a folyamat rögzítve lett.
SrcSubscription	Előfizetés azonosítója	Annak a virtuális hálózatnak/ hálózati adapternek/virtuális gépnek az előfizetés-azonosítója, amelyhez a folyamat forrás IP-címe tartozik.
DestSubscription	Előfizetés azonosítója	Annak a virtuális hálózatnak/ hálózati adapternek/virtuális gépnek az előfizetés-azonosítója, amelyhez a folyamat cél IP-címe tartozik.
SrcRegion	Azure-régió	A virtuális hálózat/ hálózati adapter/ virtuális gép Azure-régiója, amelyhez a folyamat forrás IP-címe tartozik.
DestRegion	Azure-régió	A virtuális hálózat Azure-régiója, amelyhez a folyamat cél IP-címe tartozik.
SrcNIC	<>resourcegroup_Name/<NetworkInterfaceName>	A folyamat forrás IP-címéhez társított hálózati adapter.
DestNIC	<>resourcegroup_Name/<NetworkInterfaceName>	A folyamat cél IP-címéhez társított hálózati adapter.
SrcVM	<>resourcegroup_Name/<VirtualMachineName>	A folyamat forrás IP-címéhez társított virtuális gép.
DestVM	<>resourcegroup_Name/<VirtualMachineName>	A folyamat cél IP-címéhez társított virtuális gép.
SrcSubnet	<>ResourceGroup_Name/<VirtualNetwork_Name>/<alhálózat neve>	A folyamat forrás IP-címéhez társított alhálózat.
DestSubnet	<>ResourceGroup_Name/<VirtualNetwork_Name>/<alhálózat neve>	A folyamat cél IP-címéhez társított alhálózat.
SrcApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	A folyamat forrás IP-címéhez társított Application Gateway.
DestApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	A folyamat cél IP-címéhez társított Application Gateway.
SrcExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-kapcsolatcsoport azonosítója – amikor a folyamat az ExpressRoute-on keresztül érkezik a helyről.
DestExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-kapcsolatcsoport azonosítója – amikor a folyamatot az ExpressRoute fogadja a felhőből.
ExpressRouteCircuitPeeringType	- AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering	ExpressRoute-társviszony-létesítési típus, amely részt vesz a folyamatban.
SrcLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	A folyamat forrás IP-címéhez társított terheléselosztó.
DestLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	A folyamat cél IP-címéhez társított terheléselosztó.
SrcLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	A folyamat forrás IP-címéhez társított helyi hálózati átjáró.
DestLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	A folyamat cél IP-címéhez társított helyi hálózati átjáró.
Csatlakozás ionType	- VNetPeering - VpnGateway - ExpressRoute	A kapcsolat típusa.
Csatlakozás ionName	<SubscriptionID>/<ResourceGroupName>/<Csatlakozás ionName>	A kapcsolat neve. A P2S folyamattípus esetén gatewayName>_<VPNClientIP formátumban van formázva <>
Csatlakozás ingVNets	A virtuális hálózatok nevének szóközzel elválasztott listája.	A küllős topológiában a központi virtuális hálózatok itt vannak feltöltve.
Country	Kétbetűs országkód (ISO 3166-1 alpha-2)	Az ExternalPublic folyamattípushoz van feltöltve. A PublicIPs mező összes IP-címe ugyanazzal az országkóddal rendelkezik.
AzureRegion	Azure-régió helyei	Az AzurePublic folyamattípushoz van feltöltve. A PublicIPs mező összes IP-címe osztozik az Azure-régión.
AllowedInFlows	-	Az engedélyezett bejövő folyamatok száma, amely azon folyamatok számát jelöli, amelyek ugyanazt a négyrekordos bejövő forgalmat osztották meg azon a hálózati adapteren, amelyen a folyamatot rögzítették.
DeniedInFlows	-	A megtagadott bejövő folyamatok száma. (Bejövő forgalom arra a hálózati adapterre, amelyen a folyamat rögzítve lett).
AllowedOutFlows	-	Engedélyezett kimenő folyamatok száma (kimenő forgalom azon hálózati adapterre, amelyen a folyamatot rögzítették).
DeniedOutFlows	-	A letiltott kimenő folyamatok száma (kimenő forgalom azon hálózati adapterre, amelyen a folyamatot rögzítették).
PacketsDestToSrc	-	A célhelyről a folyamat forrásának küldött csomagokat jelöli.
PacketsSrcToDest	-	A forrásból a folyamat célhelyére küldött csomagokat jelöli.
BytesDestToSrc	-	A célból a folyamat forrásának küldött bájtokat jelöli.
BytesSrcToDest	-	A forrásból a folyamat célhelyére küldött bájtokat jelöli.
CompletedFlows	-	Csak a hálózati biztonsági csoport folyamatnaplójának 2. verziójához tartozó nemero értékkel van feltöltve.
SrcPublicIPs	<>SOURCE_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Oszlopok által elválasztott bejegyzések.
DestPublicIPs	<>DESTINATION_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Oszlopok által elválasztott bejegyzések.
FlowEncryption	-Titkosított -Titkosítatlan - Nem támogatott hardver - A szoftver nem áll készen – Titkosítás nélküli lemorzsolódás - A felderítés nem támogatott - Cél ugyanazon a gazdagépen - Vissza kell esnie titkosítás nélkül.	A folyamatok titkosítási szintje.
PrivateEndpointResourceId	<ResourceGroup/privateEndpointResource>	A privát végpont erőforrás-azonosítója. Feltöltve, amikor a forgalom egy privát végponti erőforrásba vagy onnan áramlik.
PrivateLinkResourceId	<ResourceGroup/ResourceType/privateLinkResource>	A privát kapcsolat szolgáltatás erőforrás-azonosítója. Feltöltve, amikor a forgalom egy privát végponti erőforrásba vagy onnan áramlik.
PrivateLinkResourceName	Egyszerű szöveg	A privát kapcsolat szolgáltatás erőforrásneve. Feltöltve, amikor a forgalom egy privát végponti erőforrásba vagy onnan áramlik.
IsFlowCapturedAtUDRHop	-Igaz -Hamis	Ha a folyamatot UDR ugráskor rögzítették, az érték Igaz.

Feljegyzés

A virtuális hálózati folyamatok naplóiban található NTANetAnalyticsAzureNetworkAnalytics_CL helyettesíti a hálózati biztonsági csoport folyamatnaplóiban használt AzureNetworkAnalytics_CL .

Nyilvános IP-cím részleteinek sémája

A Traffic Analytics WHOIS-adatokat és földrajzi helyet biztosít a környezet összes nyilvános IP-címéhez. Rosszindulatú IP-címek esetén a traffic analytics DNS-tartományt, fenyegetéstípust és szálleírásokat biztosít a Microsoft biztonságiintelligencia-megoldásai által azonosított módon. Az IP-adatok közzé lesznek téve a Log Analytics-munkaterületen, így egyéni lekérdezéseket hozhat létre, és riasztásokat helyezhet el rajtuk. Az előre feltöltött lekérdezéseket a forgalomelemzési irányítópulton is elérheti.

Az alábbi táblázat a nyilvános IP-sémát ismerteti:

Hálózati biztonsági csoport folyamatnaplói

Mező	Formátum	Megjegyzések
TableName	AzureNetworkAnalyticsIPDetails_CL	A traffic analytics IP-adatait tartalmazó táblázat.
SubType_s	Folyamatnapló	A folyamatnaplók altípusa. Csak a "FlowLog" használata, a SubType_s egyéb értékei a termék belső működésére használhatók.
FASchemaVersion_s	2	Sémaverzió. Nem tükrözi a hálózati biztonsági csoport folyamatnaplójának verzióját.
FlowIntervalStartTime_t	Dátum és idő (UTC)	A folyamatnapló feldolgozási időközének kezdő időpontja (a folyamatintervallum mérésének időpontja).
FlowIntervalEndTime_t	Dátum és idő (UTC)	A folyamatnapló feldolgozási időközének befejezési ideje.
FlowType_s	- AzurePublic - ExternalPublic - MaliciousFlow	A definíciókról a megjegyzésekben olvashat.
IP	Nyilvános IP-cím	Nyilvános IP-cím, amelynek adatait a rekord tartalmazza.
Helyen	Az IP-cím helye	- Az Azure nyilvános IP-címe esetén: a virtuális hálózat/hálózati adapter/virtuális gép Azure-régiója, amelyhez az IP-cím tartozik, VAGY globális a 168.63.129.16 IP-címhez. - Külső nyilvános IP- és rosszindulatú IP-cím esetén: 2 betűs országkód, ahol az IP-cím található (ISO 3166-1 alpha-2).
PublicIPDetails	Információk az IP-címről	- AzurePublic IP esetén: Az IP-címet vagy a Microsoft virtuális nyilvános IP-címét birtokoló Azure Service a 168.63.129.16-os verzióhoz. - ExternalPublic/Malicious IP: Az IP WhoIS-információi.
ThreatType	Rosszindulatú IP-cím által okozott fenyegetés	Csak rosszindulatú IP-címek esetén: Az aktuálisan engedélyezett értékek listájából (a következő táblázatban ismertetett) fenyegetések egyike.
ThreatDescription	A fenyegetés leírása	Csak rosszindulatú IP-címek esetén. A rosszindulatú IP-cím által jelentett fenyegetés leírása.
DNSDomain	DNS-tartomány	Csak rosszindulatú IP-címek esetén. A rosszindulatú IP-címhez társított tartománynév.
Url	A rosszindulatú IP-címnek megfelelő URL-cím	Csak rosszindulatú IP-címek esetén
Port	A rosszindulatú IP-címnek megfelelő port	Csak rosszindulatú IP-címek esetén

Virtuális hálózati folyamatnaplók

Mező	Formátum	Megjegyzések
TableName	NTAIpDetails	A traffic analytics IP-adatait tartalmazó táblázat.
Altípus	Folyamatnapló	A folyamatnaplók altípusa. Csak FlowLogot használjon. Az Altípus egyéb értékei a termék belső működésére használhatók.
FASchemaVersion	2	Sémaverzió. Nem tükrözi a virtuális hálózati folyamat naplójának verzióját.
FlowIntervalStartTime	Dátum és idő (UTC)	A folyamatnapló feldolgozási időközének kezdő időpontja (a folyamatintervallum mérésének időpontja).
FlowIntervalEndTime	Dátum és idő (UTC)	A folyamatnapló feldolgozási időközének befejezési ideje.
FlowType	- AzurePublic - ExternalPublic - MaliciousFlow	A definíciókról a megjegyzésekben olvashat.
IP	Nyilvános IP-cím	Nyilvános IP-cím, amelynek adatait a rekord tartalmazza.
PublicIPDetails	Információk az IP-címről	AzurePublic IP esetén: Az 168.63.129.16 IP-címhez tartozó IP-címet vagy Microsoft virtuális nyilvános IP-címet birtokoló Azure Service. ExternalPublic/Rosszindulatú IP-cím: Az IP WhoIS-információi.
ThreatType	Rosszindulatú IP-cím által okozott fenyegetés	Csak rosszindulatú IP-címek esetén. Az egyik fenyegetés a jelenleg engedélyezett értékek listájából. További információ: Megjegyzések.
DNSDomain	DNS-tartomány	Csak rosszindulatú IP-címek esetén. Az IP-címhez társított tartománynév.
ThreatDescription	A fenyegetés leírása	Csak rosszindulatú IP-címek esetén. A rosszindulatú IP-cím által jelentett fenyegetés leírása.
Helyen	Az IP-cím helye	Az Azure Nyilvános IP-cím esetében: Az Azure-régióban a virtuális hálózat / hálózati adapter/ virtuális gép, amelyhez az IP tartozik, vagy globális a 168.63.129.16 IP-címhez. Külső nyilvános IP- és rosszindulatú IP-cím esetén: kétbetűs országkód (ISO 3166-1 alpha-2), ahol az IP-cím található.
Url	A rosszindulatú IP-címnek megfelelő URL-cím	Csak rosszindulatú IP-címek esetén.
Port	A rosszindulatú IP-címnek megfelelő port	Csak rosszindulatú IP-címek esetén.

Feljegyzés

A virtuális hálózati folyamatok naplóiban található NTAIPDetailsAzureNetworkAnalyticsIPDetails_CL helyettesíti a hálózati biztonsági csoport folyamatnaplóiban használt AzureNetworkAnalyticsIPDetails_CL .

Fenyegetéstípusok listája:

Érték	Leírás
Botnet	Egy botnetcsomópontot/tagot részletező mutató.
C2	A robotnet parancs- és vezérlőcsomópontját részletező mutató.
CryptoMining	Az ezt a hálózati címet / URL-címet tartalmazó forgalom a CyrptoMining/Resource abuse jelzése.
Darknet	Darknet-csomópont/hálózat jelzője.
Ddos	Aktív vagy közelgő DDoS-kampányhoz kapcsolódó mutatók.
MaliciousUrl	Kártevőt kiszolgáló URL-cím.
Kártevő	Rosszindulatú fájlokat vagy fájlokat leíró jelző.
Adathalászat	Adathalászati kampányhoz kapcsolódó mutatók.
Proxy	Proxyszolgáltatás mutatója.
PUA	Potenciálisan nemkívánatos alkalmazás.
Listához	Egy általános gyűjtő, amelybe a jelzők kerülnek, ha nem lehet pontosan meghatározni, hogy mi a fenyegetés, vagy manuális értelmezést igényel. WatchList általában nem használhatják az adatokat a rendszerbe küldő partnerek.

Jegyzetek

• AzurePublicExternalPublic Az ügyfél tulajdonában lévő Azure-beli virtuális gép IP-címe a mezőkbenVMIP_s, a nyilvános IP-címek pedig a PublicIPs_s mezőben lesznek kitöltve. Ehhez a két folyamattípushoz a mezők helyett és PublicIPs_sDestIP_s helyett kell használnia VMIP_sSrcIP_s. Az AzurePublic és ExternalPublic IP-címek esetében tovább összesítjük, hogy a Log Analytics-munkaterületre betöltött rekordok száma minimális legyen. (Ez a mező elavult lesz. Használjon SrcIP_ és DestIP_s attól függően, hogy a virtuális gép volt-e a forrás vagy a cél a folyamatban).
• Egyes mezőnevek hozzá vannak fűzve a forráshoz és _da célhoz, de jelzik az adattípus-sztringet _s és a decimális értéket.
• A folyamathoz tartozó IP-címek alapján a folyamatokat a következő folyamattípusokba kategorizáljuk:
  • IntraVNet: A folyamat mindkét IP-címe ugyanabban az Azure-beli virtuális hálózaton található.
  • InterVNet: A folyamat IP-címei két különböző Azure-beli virtuális hálózatban találhatók.
  • S2S (Helyek közötti): Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, a másik IP-cím pedig a virtuális hálózathoz VPN-átjárón vagy ExpressRoute-on keresztül csatlakoztatott ügyfélhálózathoz (helyhez).
  • P2S (Pont–hely): Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, míg a másik IP-cím az Azure-beli virtuális hálózathoz VPN-átjárón keresztül csatlakozó ügyfélhálózathoz (helyhez).
  • AzurePublic: Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, míg a másik IP-cím a Microsoft tulajdonában lévő Nyilvános Azure IP-cím. Az ügyfél tulajdonában lévő nyilvános IP-címek nem részei ennek a folyamattípusnak. Például az azure-szolgáltatásba (Storage-végpontba) irányuló forgalmat küldő összes ügyfél tulajdonában lévő virtuális gép ebbe a folyamattípusba lesz besorolva.
  • ExternalPublic: Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, míg a másik IP-cím egy nyilvános IP-cím, amely nem az Azure-ban található, és nem jelent kártékonyként az ASC-hírcsatornákban, amelyeket a forgalomelemzés a "FlowIntervalStartTime_t" és a "FlowIntervalEndTime_t" közötti feldolgozási időközhöz használ fel.
  • MaliciousFlow: Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, míg a másik IP-cím egy nyilvános IP-cím, amely nem az Azure-ban található, és rosszindulatúként van jelentve az ASC-hírcsatornákban, amelyeket a forgalomelemzés a "FlowIntervalStartTime_t" és a "FlowIntervalEndTime_t" közötti feldolgozási időközhöz használ.
  • UnknownPrivate: Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, míg a másik IP-cím az RFC 1918-ban meghatározott privát IP-tartományhoz tartozik, és a forgalomelemzés nem képezhető le egy ügyfél tulajdonában lévő helyre vagy Azure-beli virtuális hálózatra.
  • Unknown: A folyamat egyik IP-címe sem képezhető le az Azure-beli és a helyszíni ügyféltopológiával.

Kapcsolódó tartalom

• A forgalomelemzéssel kapcsolatos további információkért tekintse meg a Traffic Analytics áttekintését.
• A traffic analyticssel kapcsolatos gyakori kérdéseket a traffic analyticsre adott válaszokért tekintse meg.