Forgalomelemzési séma és adatösszesítés

A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. A Traffic Analytics elemzi az Azure Network Watcher folyamatnaplóit, hogy betekintést nyújtson az Azure-felhő forgalmi folyamatába. A forgalomelemzéssel az alábbiakat végezheti el:

• Az Azure-előfizetések hálózati tevékenységeinek megjelenítése és a gyakori elérésű pontok azonosítása.
• Azonosíthatja a biztonsági fenyegetéseket, és biztonságossá teheti a hálózatot olyan információkkal, mint a nyílt portok, az internet-hozzáférést megkísérlő alkalmazások és a rosszindulatú hálózatokhoz csatlakozó virtuális gépek.
• Ismerje meg az Azure-régiók és az internet forgalmi mintáit, hogy optimalizálja a hálózati üzembe helyezést a teljesítmény és a kapacitás szempontjából.
• Hálózati hibás konfigurációk azonosítása, amelyek sikertelen kapcsolatokhoz vezetnek a hálózatban.
• Ismerje meg a hálózathasználatot bájtokban, csomagokban vagy folyamatokban.

Adatösszesítés

Virtuális hálózati folyamatnaplók

• Az összes folyamatnapló FlowIntervalStartTimeFlowIntervalEndTime egyperces időközönként lesz rögzítve blobként egy tárfiókban.
• A forgalomelemzés alapértelmezett feldolgozási időköze 60 perc, ami azt jelenti, hogy a forgalomelemzés óránként kiválasztja a blobokat a tárfiókból az összesítéshez. Ha azonban 10 perces feldolgozási időköz van kiválasztva, a traffic analytics ehelyett 10 percenként választ blobokat a tárfiókból.
• Azok a folyamok, amelyeknél az Source IP, Destination IP, Destination port, NSG name, NSG rule, Flow Direction és Transport layer protocol (TCP or UDP) azonos, a forgalomelemzéssel egyetlen folyamként vannak összevonva (Megjegyzés: a forrásport nem szerepel az összesítésben).
• Ez az egyetlen rekord ki van díszítve (az alábbi szakaszban található részletek), és az Azure Monitor-naplókba betölti a forgalomelemzés. Ez a folyamat akár 1 órát is igénybe vehet.
• FlowStartTime mező a forgalmi napló feldolgozási időközében a FlowIntervalStartTime és FlowIntervalEndTime közötti időszakra utalva jelzi az ilyen összesített forgalom első előfordulását (ugyanaz a négyelemsor).
• A forgalomelemzésben szereplő erőforrások esetében az Azure Portalon jelzett folyamatok teljes folyamatok, de az Azure Monitor-naplókban a felhasználó csak az egyetlen, csökkentett rekordot látja. Az összes folyamat megtekintéséhez használja a blob_id tárolóból hivatkozható mezőt. A rekord teljes folyamatszáma megegyezik a blobban látható egyes folyamatok számával.

Hálózati biztonsági csoport folyamatnaplói

• Egy hálózati biztonsági csoport FlowIntervalStartTime_tFlowIntervalEndTime_t összes folyamatnaplója egy adott tárfiók blobjaként egyperces időközönként lesz rögzítve.
• A forgalomelemzés alapértelmezett feldolgozási időköze 60 perc, ami azt jelenti, hogy a forgalomelemzés óránként kiválasztja a blobokat a tárfiókból az összesítéshez. Ha azonban 10 perces feldolgozási időköz van kiválasztva, a traffic analytics ehelyett 10 percenként választ blobokat a tárfiókból.
• Azok a folyamok, amelyeknél az Source IP, Destination IP, Destination port, NSG name, NSG rule, Flow Direction és Transport layer protocol (TCP or UDP) azonos, a forgalomelemzéssel egyetlen folyamként vannak összevonva (Megjegyzés: a forrásport nem szerepel az összesítésben).
• Ez az egyetlen rekord ki van díszítve (az alábbi szakaszban található részletek), és az Azure Monitor-naplókba betölti a forgalomelemzés. Ez a folyamat akár 1 órát is igénybe vehet.
• FlowStartTime_t mező a forgalmi napló feldolgozási időközében a FlowIntervalStartTime_t és FlowIntervalEndTime_t közötti időszakra utalva jelzi az ilyen összesített forgalom első előfordulását (ugyanaz a négyelemsor).
• A forgalomelemzési erőforrások esetében az Azure Portalon jelzett folyamatok a hálózati biztonsági csoport által látott teljes folyamatok, az Azure Monitor-naplókban azonban a felhasználó csak az egyetlen, csökkentett rekordot látja. Az összes folyamat megtekintéséhez használja a blob_id tárolóból hivatkozható mezőt. A rekord teljes folyamatszáma megegyezik a blobban látható egyes folyamatok számával.

Forgalmi elemzés séma

A traffic analytics az Azure Monitor-naplókra épül, így egyéni lekérdezéseket futtathat a forgalomelemzéssel díszített adatokon, és riasztásokat állíthat be.

Virtuális hálózati folyamatnaplók

Az alábbi táblázat a séma mezőit és a virtuális hálózati folyamatok naplóinak jelzéseit sorolja fel. További információ: NTANetAnalytics.

Mező	Formátum	Megjegyzések
TáblaNév	NTANet-elemzés	Forgalomelemzési adatok táblázata.
Altípus	Folyamatnapló	A folyamatnaplók altípusa. Csak FlowLogot használjon, az Altípus többi értéke belső használatra van használva.
FASchemaVersion	3	Keretrendszer-verzió. Nem tükrözi a virtuális hálózati folyamat naplójának verzióját.
Feldolgozás ideje	Dátum és idő (UTC)	Az az időpont, amikor a forgalomelemzés feldolgozta a tárfiókból származó nyers folyamatnaplókat.
FlowIntervalStartTime	Dátum és idő (UTC)	A folyamatnapló feldolgozási időközének kezdő időpontja (a folyamatintervallum mérésének időpontja).
FlowIntervalEndTime	Dátum és idő (UTC)	A folyamatnapló feldolgozási időközének befejezési ideje.
FlowStartTime	Dátum és idő (UTC)	A folyamat (amely aggregátumba kerül) első előfordulása a folyamatnapló feldolgozási időközében FlowIntervalStartTime és FlowIntervalEndTime között. Ez a folyamat összesítési logika alapján lesz összesítve.
FlowEndTime	Dátum és idő (UTC)	Az adatfolyam utolsó előfordulása (amely összesítve lesz) az adatfolyam-napló feldolgozási időintervallumában FlowIntervalStartTime és FlowIntervalEndTime között.
FlowType	- IntraVNet - InterVNet - S2S - P2S - AzurePublic - KülsőNyilvános - MalliciousFlow - Ismeretlen privát -Ismeretlen	A definíciókról a megjegyzésekben olvashat.
SrcIp	Forrás IP-címe	Üres az AzurePublic és az ExternalPublic folyamatokban.
DestIp	Cél IP-cím	Üres az AzurePublic és az ExternalPublic folyamatokban.
TargetResourceId	ResourceCsoportNév/ErőforrásNév	Annak az erőforrásnak az azonosítója, amelyen engedélyezve van a folyamatnaplózás és a forgalomelemzés.
Cél-erőforrástípus	VirtualNetwork/Alhálózat/Hálózati Felület	Annak az erőforrásnak a típusa, amelyen engedélyezve van a folyamatnaplózás és a forgalomelemzés (virtuális hálózat, alhálózat, hálózati adapter vagy hálózati biztonsági csoport).
FlowLogResourceId	ResourceGroupName/NetworkWatcherName/FlowLogName	A folyamatnapló erőforrás-azonosítója.
DestPort	Célport	Az a port, ahol bejön a forgalom.
L4Protokoll	-T -U	Átviteli protokoll. T = TCP U = UDP
L7Protokoll	Protokoll neve	A célportból származik.
Áramlási irány	- I = Bejövő - O = Kimenő	A folyamat iránya: a célerőforráson belül vagy azon kívül, folyamatnaplónként.
FlowStatus	- A = Engedélyezett - D = Megtagadva	A folyamat állapota: a célerőforrás által engedélyezett vagy elutasított folyamatnaplónként.
AclGroup	<SubscriptionID>/<resourcegroup_Name>/<NSG_Name>	A folyamathoz társított hálózati biztonsági csoport.
AclRule	NSG_Rule_Name	A folyamatot engedélyező vagy elutasító hálózati biztonsági csoportszabály.
MACAddress	MAC-cím	Annak a hálózati adapternek a MAC-címe, amelyen a folyamat rögzítve lett.
Src-előfizetés	Előfizetés azonosítója	Annak a virtuális hálózatnak/ hálózati adapternek/virtuális gépnek az előfizetés-azonosítója, amelyhez a folyamat forrás IP-címe tartozik.
DestElőfizetés	Előfizetés azonosítója	Annak a virtuális hálózatnak/ hálózati adapternek/virtuális gépnek az előfizetés-azonosítója, amelyhez a folyamat cél IP-címe tartozik.
SrcRégió	Azure-régió	Az áramlás forrás IP-címéhez tartozó Azure-régió, virtuális hálózat/hálózati adapter/virtuális gép.
DestRegion	Azure-régió	A virtuális hálózatnak, amelyhez a folyamat cél IP-címe tartozik, az Azure régiója.
SrcNic	<resourcegroup_Name>/<NetworkInterfaceName>	A folyamat forrás IP-címéhez társított hálózati adapter.
DestNic	< >resourcegroup_Name/<NetworkInterfaceName>	Az adatfolyam cél IP-címéhez társított hálózati adapter.
SrcVm	< >resourcegroup_Name/<VirtualMachineName>	Az áramlás forrás IP-címéhez társított virtuális gép.
DestVm	< >resourcegroup_Name/<VirtualMachineName>	A cél IP-címhez az adatfolyamban társított virtuális gép.
SrcSubnet	< >ResourceGroup_Name/<VirtualNetwork_Name>/<alhálózat neve>	A forgalomban lévő forrás IP-címhez társított alhálózat.
DestSubnet	< >ResourceGroup_Name/<VirtualNetwork_Name>/<alhálózat neve>	A cél IP-címhez társított alhálózati folyam.
SrcApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Forrás IP-címhez társított alkalmazás-gateway a folyamatban.
DestApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Az áramlás cél IP-címéhez társított alkalmazásátjáró.
SrcExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-kapcsolat azonosítója – amikor a folyamat a helyről küldve van az ExpressRoute-on keresztül.
DestExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-kapcsolatcsoport azonosítója – amikor az ExpressRoute adatforgalmat fogad a felhőből.
ExpressRouteKörkapcsolatPárosításTípusa	- AzurePrivatePeering - AzurePublicPeering - Microsoft Peering	ExpressRoute-társviszony-létesítési típus, amely részt vesz a folyamatban.
SrcLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Az adatfolyam forrásának IP-címéhez társított terheléselosztó.
DestLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Az adatfolyam cél IP-címéhez társított terheléselosztó.
SrcLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Az adatfolyamban a forrás IP-címéhez társított helyi hálózati átjáró.
DestLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Az adatfolyam cél IP-címéhez társított helyi hálózati átjáró.
KapcsolatTípus	- VNetPeering - VpnGateway - ExpressRoute	A kapcsolat típusa.
Kapcsolatnév	<SubscriptionID>/<ResourceGroupName>/<ConnectionName>	A kapcsolat neve. A P2S folyamattípus esetén <GatewayName>_<VPNClientIP> formátumban van.
CsatlakozásVNetekhez	A virtuális hálózatok nevének szóközzel elválasztott listája.	A küllős topológiában a központi virtuális hálózatok itt vannak feltöltve.
Ország	Kétbetűs országkód (ISO 3166-1 alpha-2)	Az ExternalPublic folyamattípushoz van kitöltve. A PublicIPs mező összes IP-címe ugyanazzal az országkóddal rendelkezik.
Azure-régió	Azure-régió helyei	Az AzurePublic folyamattípus adatokkal van kitöltve. A PublicIPs mezőben található összes IP-cím azonos Azure-régióban van.
Engedélyezett beáramlások	-	A beengedett bejövő adatfolyamok száma, amely azoknak az adatfolyamoknak a számát jelzi, amelyek ugyanazt a négyes kombinációt osztották meg annál a hálózati interfésznél, ahol az adatfolyamot rögzítették.
DeniedInFlows	-	A megtagadott bejövő folyamatok száma. (Bejövő forgalom arra a hálózati adapterre, amelyen a folyamat rögzítve lett).
Engedélyezett kimenő áramlások	-	Engedélyezett kimenő adatfolyamok száma (kimenő forgalom azon hálózati interfészre, amelyen az adatfolyamot rögzítették).
DeniedOutFlows	-	A megtagadott kimenő adatfolyamok száma (kimenő forgalom arra a hálózati interfészre, amelynél az adatfolyamot rögzítették).
CsomagokDestToSrc	-	A célhelyről a folyamat forrásának küldött csomagokat jelöli.
PacketsSrcToDest	-	A forrásból a folyamat célhelyére küldött csomagokat jelöli.
BytesDestToSrc	-	A célállomástól a folyamat forrásához küldött bájtokat jelöli.
BytesSrcToDest	-	A forrásból a folyamat célhelyére küldött bájtokat jelöli.
Befejezett folyamatok	-	Befejezett folyamatok teljes száma (nem nulla értékkel feltöltve, amikor egy folyamat befejezett eseményt kap).
SrcPublicIps	< >SOURCE_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Oszlopok által elválasztott bejegyzések.
DestPublicIps	<CÉL NYILVÁNOS IP>|<ÁRAMLÁS_INDÍTOTT_SZÁM>|<ÁRAMLÁS_BEFEJEZETT_SZÁM>|<KIMENŐ_CSOMAGOK>|<BEJÖVŐ_CSOMAGOK>|<KIMENŐ_BÁJTOK>|<BEJÖVŐ_BÁJTOK>	Oszlopok által elválasztott bejegyzések.
FlowEncryption	-Titkosított -Titkosítatlan - Nem támogatott hardver - A szoftver nem áll készen – Lemaradás a titkosítás hiánya miatt - A felderítés nem támogatott - Cél ugyanazon a gazdagépen - Visszaáll titkosítás nélkül.	A folyamatok titkosítási szintje.
PrivateEndpointResourceId	<Erőforráscsoport/MagánvégpontErőforrás>	A privát végpont erőforrás-azonosítója. Aktiválódik, amikor a forgalom egy privát végponti erőforrásba vagy onnan folyik.
PrivateLinkResourceId	<ErőforrásCsoport/ErőforrásTípus/privátLinkErőforrás>	A privát kapcsolat szolgáltatás erőforrás-azonosítója. Aktiválódik, amikor a forgalom egy privát végponti erőforrásba vagy onnan folyik.
PrivateLinkResourceName	Egyszerű szöveg	A privát kapcsolat szolgáltatás erőforrásneve. Aktiválódik, amikor a forgalom egy privát végponti erőforrásba vagy onnan folyik.
IsFlowCapturedAtUDRHop	-Igaz -Téves	Amennyiben az adatfolyamot egy UDR ugrásnál rögzítették, az érték Igaz.

Feljegyzés

A virtuális hálózati forgalomnaplókban az NTANetAnalytics helyettesíti az AzureNetworkAnalytics_CL-t, melyet a hálózati biztonsági csoport forgalomnaplóiban használtak.

Hálózati biztonsági csoport folyamatnaplói

Az alábbi táblázat a séma mezőit és a hálózati biztonsági csoport folyamatnaplóinak jelzéseit sorolja fel.

Mező	Formátum	Megjegyzések
TáblaNév	AzureNetworkAnalytics_CL	Forgalomelemzési adatok táblázata.
SubType_s	Folyamatnapló	A folyamatnaplók altípusa. Csak FlowLogot használjon, a SubType_s egyéb értékei belső használatra használhatók.
FASchemaVersion_s	2	Keretrendszer-verzió. Nem tükrözi a hálózati biztonsági csoport folyamatnaplójának verzióját.
TimeProcessed_t	Dátum és idő (UTC)	Az az időpont, amikor a forgalomelemzés feldolgozta a tárfiókból származó nyers folyamatnaplókat.
FlowIntervalStartTime_t	Dátum és idő (UTC)	A folyamatnapló feldolgozási időközének kezdő időpontja (a folyamatintervallum mérésének időpontja).
FlowIntervalEndTime_t	Dátum és idő (UTC)	A folyamatnapló feldolgozási időközének befejezési ideje.
FlowStartTime_t	Dátum és idő (UTC)	A folyamat (amely aggregátumba kerül) első előfordulása a folyamatnapló feldolgozási időközében FlowIntervalStartTime_t és FlowIntervalEndTime_t között. Ez a folyamat összesítési logika alapján lesz összesítve.
FlowEndTime_t	Dátum és idő (UTC)	Az adatfolyam utolsó előfordulása (amely összesítve lesz) az adatfolyam-napló feldolgozási időintervallumában FlowIntervalStartTime_t és FlowIntervalEndTime_t között. A folyamatnapló v2 tekintetében ez a mező azt az időpontot tartalmazza, amikor az utolsó adatfolyam ugyanazzal a négyes-tuple-lel indult el (a nyers folyamatrekordban B jelöléssel).
FlowType_s	- IntraVNet - InterVNet - S2S - P2S - AzurePublic - KülsőNyilvános - MalliciousFlow - Ismeretlen privát -Ismeretlen	A definíciókról a megjegyzésekben olvashat.
SrcIP_s	Forrás IP-címe	Üres az AzurePublic és az ExternalPublic folyamatokban.
DestIP_s	Cél IP-cím	Üres az AzurePublic és az ExternalPublic folyamatokban.
VMIP_s	A virtuális gép IP-címe	AzurePublic- és ExternalPublic-folyamatokhoz használatos.
DestPort_d	Célport	Az a port, ahol bejön a forgalom.
L4Protocol_s	-T -U	Átviteli protokoll. T = TCP U = UDP.
L7Protocol_s	Protokoll neve	A célportból származik.
FlowDirection_s	- I = Bejövő - O = Kimenő	A folyamat iránya: a hálózati biztonsági csoporton belül vagy azon kívül, folyamatnaplónként.
FlowStatus_s	- A = Engedélyezett - D = Megtagadva	A folyamat állapota, függetlenül attól, hogy a hálózati biztonsági csoport engedélyezi-e vagy megtagadja-e a folyamatnaplónként.
NSGList_s	<SubscriptionID>/<resourcegroup_Name>/<NSG_Name>	A folyamathoz társított hálózati biztonsági csoport.
NSGRules_s	<Indexérték 0>|<NSG_Rule_Name>|<Áramlás iránya>|<Áramlás állapota>|<Áramlások száma szabály szerint feldolgozva>	A folyamatot engedélyező vagy elutasító hálózati biztonsági csoportszabály.
NSGRule_s	NSG_Rule_Name	A folyamatot engedélyező vagy elutasító hálózati biztonsági csoportszabály.
NSGRuleType_s	- Felhasználó által definiált - Alapértelmezett	A folyamat által használt hálózati biztonsági csoport szabályának típusa.
MacAddress_s	MAC-cím	Annak a hálózati adapternek a MAC-címe, amelyen a folyamat rögzítve lett.
Subscription_g	Az Azure-beli virtuális hálózat/ hálózati adapter/virtuális gép előfizetése ebben a mezőben van feltöltve	Csak a FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow és UnknownPrivate folyamattípusokra alkalmazható (olyan folyamattípusokra, amelyeknek csak az egyik oldala az Azure).
Subscription1_g	Előfizetés azonosítója	Annak a virtuális hálózatnak/ hálózati adapternek/virtuális gépnek az előfizetés-azonosítója, amelyhez a folyamat forrás IP-címe tartozik.
Subscription2_g	Előfizetés azonosítója	Annak a virtuális hálózatnak/ hálózati adapternek/virtuális gépnek az előfizetés-azonosítója, amelyhez a folyamat cél IP-címe tartozik.
Region_s	Az Azure-régió, amelyhez a folyamat IP-címe tartozik, és amely magában foglalja a virtuális hálózatot, hálózati adaptert, valamint a virtuális gépet.	Csak a FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow és UnknownPrivate folyamattípusokra alkalmazható (olyan folyamattípusokra, amelyeknek csak az egyik oldala az Azure).
Region1_s	Azure-régió	Az áramlás forrás IP-címéhez tartozó Azure-régió, virtuális hálózat/hálózati adapter/virtuális gép.
Region2_s	Azure-régió	A virtuális hálózatnak, amelyhez a folyamat cél IP-címe tartozik, az Azure régiója.
NIC_s	< >resourcegroup_Name/<NetworkInterfaceName>	A virtuális géphez társított hálózati adapter, amely a forgalmat küldi vagy fogadja.
NIC1_s	<resourcegroup_Name>/<NetworkInterfaceName>	A folyamat forrás IP-címéhez társított hálózati adapter.
NIC2_s	< >resourcegroup_Name/<NetworkInterfaceName>	Az adatfolyam cél IP-címéhez társított hálózati adapter.
VM_s	< >resourcegroup_Name/<NetworkInterfaceName>	A hálózati adapterhez társított virtuális gép NIC_s.
VM1_s	< >resourcegroup_Name/<VirtualMachineName>	A folyamat forrás IP-címéhez társított virtuális gép.
VM2_s	< >resourcegroup_Name/<VirtualMachineName>	A cél IP-címhez társított virtuális gép az adatfolyamban.
Subnet_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<alhálózat neve>	A NIC-hez társított alhálózat.
Subnet1_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<alhálózat neve>	Az adatfolyam forrás IP-jéhez társított alhálózat.
Subnet2_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<alhálózat neve>	Az adatfolyam cél-IP-címéhez társított alhálózat.
ApplicationGateway1_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Az adatforgalom forrás IP-címéhez társított Application Gateway.
ApplicationGateway2_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Az adatfolyamban a cél IP-címhez társított alkalmazáskörnyezeti átjáró.
ExpressRouteCircuit1_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-kapcsolat azonosítója – amikor a folyamat a helyről küldve van az ExpressRoute-on keresztül.
ExpressRouteCircuit2_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-kapcsolatcsoport azonosítója – amikor az ExpressRoute adatforgalmat fogad a felhőből.
ExpressRouteCircuitPeeringType_s	- AzurePrivatePeering - AzurePublicPeering - Microsoft Peering	ExpressRoute-társviszony-létesítési típus, amely részt vesz a folyamatban.
LoadBalancer1_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	A folyamat forrás IP-címéhez társított terheléselosztó.
LoadBalancer2_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	A forgalom cél IP-címéhez társított terheléselosztó.
LocalNetworkGateway1_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	A forgalom forrás IP-címéhez társított helyi hálózati átjáró.
LocalNetworkGateway2_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	A cél IP-címhez társított helyi hálózati átjáró az adatfolyamban.
ConnectionType_s	- VNetPeering - VpnGateway - ExpressRoute	A kapcsolat típusa.
ConnectionName_s	<SubscriptionID>/<ResourceGroupName>/<ConnectionName>	A kapcsolat neve. P2S esetén az adatfolyam típus formázása: <átjárónév>_<VPN ügyfél IP>.
ConnectingVNets_s	A virtuális hálózatok neveinek szóközzel elválasztott listája	Hub és küllős topológia esetén az elosztó virtuális hálózatok itt kerülnek feltöltésre.
Country_s	Kétbetűs országkód (ISO 3166-1 alpha-2)	Az ExternalPublic folyamattípushoz van kitöltve. A PublicIPs_s mező összes IP-címe ugyanazzal az országkóddal rendelkezik.
AzureRegion_s	Azure-régió helyei	Az AzurePublic folyamattípus adatokkal van kitöltve. A PublicIPs_s mező összes IP-címe ugyanahhoz az Azure-régióhoz tartozik.
EngedélyezettBeáramlások_d		A beengedett bejövő adatfolyamok száma, amely azoknak az adatfolyamoknak a számát jelzi, amelyek ugyanazt a négyes kombinációt osztották meg annál a hálózati interfésznél, ahol az adatfolyamot rögzítették.
DeniedInFlows_d		A megtagadott bejövő folyamatok száma. (Bejövő forgalom arra a hálózati adapterre, amelyen a folyamat rögzítve lett).
EngedélyezettKifolyások_d		Engedélyezett kimenő adatfolyamok száma (kimenő forgalom azon hálózati interfészre, amelyen az adatfolyamot rögzítették).
DeniedOutFlows_d		A megtagadott kimenő adatfolyamok száma (kimenő forgalom arra a hálózati interfészre, amelynél az adatfolyamot rögzítették).
FlowCount_d	Elavult. Az azonos négyesnek megfelelő összes folyam. Az ExternalPublic és az AzurePublic folyamattípusok esetén a darabszám tartalmazza a különböző PublicIP-címekről származó folyamatokat is.
InboundPackets_d	A célhelyről a folyamat forrásának küldött csomagokat jelöli	Csak a hálózati biztonsági csoport folyamatnapló-sémájának 2. verziójához kerül feltöltésre.
OutboundPackets_d	A forrásból a folyamat célhelyére küldött csomagokat jelöli	Csak a hálózati biztonsági csoport folyamatnapló-sémájának 2. verziójához kerül feltöltésre.
InboundBytes_d	A bájtokat a célállomásról a folyamat forrásához küldi	Csak a hálózati biztonsági csoport folyamatnapló-sémájának 2. verziójához kerül feltöltésre.
OutboundBytes_d	A forrásból a folyamat célhelyére küldött bájtokat jelöli	Csak a hálózati biztonsági csoport folyamatnapló-sémájának 2. verziójához kerül feltöltésre.
CompletedFlows_d		Csak a hálózati biztonsági csoport folyamatnapló-sémájának 2. verziójához tartozó nemero értékkel van feltöltve.
PublicIPs_s	< >PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Oszlopok által elválasztott bejegyzések.
SrcPublicIPs_s	< >SOURCE_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Oszlopok által elválasztott bejegyzések.
DestPublicIPs_s	<CÉL NYILVÁNOS IP>|<ÁRAMLÁS_INDÍTOTT_SZÁM>|<ÁRAMLÁS_BEFEJEZETT_SZÁM>|<KIMENŐ_CSOMAGOK>|<BEJÖVŐ_CSOMAGOK>|<KIMENŐ_BÁJTOK>|<BEJÖVŐ_BÁJTOK>	Oszlopok által elválasztott bejegyzések.
IsFlowCapturedAtUDRHop_b	-Igaz -Téves	Amennyiben az adatfolyamot egy UDR ugrásnál rögzítették, az érték Igaz.

Fontos

A forgalomelemzési séma 2019. augusztus 22-én frissült. Az új séma külön biztosítja a forrás- és cél IP-címeket, így nem szükséges elemezni a mezőt, hogy a FlowDirection lekérdezések egyszerűbbek legyenek. A frissített sémában a következő változások történtek:

• FASchemaVersion_s 1-ről 2-re frissítve.
• Elavult mezők: VMIP_s, Subscription_g, Region_s, NSGRules_s, Subnet_s, VM_sNIC_s, , , PublicIPs_sFlowCount_d
• Új mezők: SrcPublicIPs_s, , DestPublicIPs_sNSGRule_s

Nyilvános IP-cím részleteinek sémája

A Traffic Analytics WHOIS-adatokat és földrajzi helyet biztosít a környezet összes nyilvános IP-címéhez. Rosszindulatú IP-címek esetén a Traffic Analytics DNS-tartományt, fenyegetéstípust és szálleírásokat biztosít a Microsoft biztonságiintelligencia-megoldásai által azonosított módon. Az IP-adatok közzé lesznek téve a Log Analytics-munkaterületen, így egyéni lekérdezéseket hozhat létre, és riasztásokat helyezhet el rajtuk. Az előre feltöltött lekérdezéseket a forgalomelemzési irányítópulton is elérheti.

Virtuális hálózati folyamatnaplók

Az alábbi táblázat a nyilvános IP-sémát ismerteti. További információ: NTAIpDetails.

Mező	Formátum	Megjegyzések
TáblaNév	NTAIpRészletek	A forgalomelemzési IP-adatait tartalmazó táblázat.
Altípus	Folyamatnapló	A folyamatnaplók altípusa. Csak FlowLogot használjon. Az Altípus egyéb értékei a termék belső működésére használhatók.
FaSchemaVersion	3	Keretrendszer-verzió. Nem tükrözi a virtuális hálózati folyamat naplójának verzióját.
FlowIntervalStartTime	Dátum és idő (UTC)	A folyamatnapló feldolgozási időközének kezdő időpontja (a folyamatintervallum mérésének időpontja).
FlowIntervalEndTime	Dátum és idő (UTC)	A folyamatnapló feldolgozási időközének befejezési ideje.
FlowType	- AzurePublic - KülsőNyilvános - MalliciousFlow	A definíciókról a megjegyzésekben olvashat.
IP	Nyilvános IP-cím	Nyilvános IP-cím, amelynek adatait a rekord tartalmazza.
PublicIPDetails	Információk az IP-címről	AzurePublic IP esetén: Az 168.63.129.16 IP-címhez tartozó IP-címet vagy Microsoft virtuális nyilvános IP-címet birtokoló Azure Service. ExternalPublic/Rosszindulatú IP-cím: Az IP WhoIS-információi.
ThreatType	Rosszindulatú IP-cím által okozott fenyegetés	Csak rosszindulatú IP-címek esetén. Az egyik fenyegetés a jelenleg engedélyezett értékek listájából. További információ: Megjegyzések.
DNSDomain	DNS-tartomány	Csak rosszindulatú IP-címek esetén. Az IP-címhez társított tartománynév.
Fenyegetés leírása	A fenyegetés leírása	Csak rosszindulatú IP-címek esetén. A rosszindulatú IP-cím által jelentett fenyegetés leírása.
Helyen	Az IP-cím helye	Az Azure Nyilvános IP-cím esetében: az Azure-régió virtuális hálózatának / hálózati adapterének / virtuális gépének, amelyhez az IP tartozik, vagy globális, ha az IP-cím 168.63.129.16. Külső nyilvános IP- és rosszindulatú IP-cím esetén: kétbetűs országkód (ISO 3166-1 alpha-2), ahol az IP-cím található.
URL-cím	A rosszindulatú IP-címnek megfelelő URL-cím	Csak rosszindulatú IP-címek esetén.
Kikötő	A rosszindulatú IP-címnek megfelelő port	Csak rosszindulatú IP-címek esetén.

Feljegyzés

• Az NTAIPDetails szerepel a virtuális hálózat folyamnaplóiban, és helyettesíti az AzureNetworkAnalyticsIPDetails_CL-t, amelyet a hálózati biztonsági csoport folyamnaplóiban használtak.

• A forgalom analitika képes naplózni minden IP-címhez társított rosszindulatú teljesen minősített tartománynevet a rosszindulatú adatfolyamokhoz. A szűréshez szükség szerint használja a port- és URL-címet és tartománymezőket.

Hálózati biztonsági csoport folyamatnaplói

Az alábbi táblázat a nyilvános IP-sémát ismerteti.

Mező	Formátum	Megjegyzések
TáblaNév	AzureNetworkAnalyticsIPDetails_CL	A forgalomelemzési IP-adatait tartalmazó táblázat.
SubType_s	Folyamatnapló	A folyamatnaplók altípusa. Csak a "FlowLog" használata, a SubType_s egyéb értékei a termék belső működésére használhatók.
FASchemaVersion_s	2	Keretrendszer-verzió. Nem tükrözi a hálózati biztonsági csoport folyamatnaplójának verzióját.
FlowIntervalStartTime_t	Dátum és idő (UTC)	A folyamatnapló feldolgozási időközének kezdő időpontja (a folyamatintervallum mérésének időpontja).
FlowIntervalEndTime_t	Dátum és idő (UTC)	A folyamatnapló feldolgozási időközének befejezési ideje.
FlowType_s	- AzurePublic - KülsőNyilvános - MalliciousFlow	A definíciókról a megjegyzésekben olvashat.
IP	Nyilvános IP-cím	Nyilvános IP-cím, amelynek adatait a rekord tartalmazza.
Helyen	Az IP-cím helye	- Az Azure nyilvános IP-címe esetén: a virtuális hálózat/hálózati adapter/virtuális gép Azure-régiója, amelyhez az IP-cím tartozik, VAGY globális a 168.63.129.16 IP-címhez. - Külső nyilvános IP- és rosszindulatú IP-cím esetén: 2 betűs országkód, ahol az IP-cím található (ISO 3166-1 alpha-2).
PublicIPDetails	Információk az IP-címről	- AzurePublic IP esetén: Az IP-címet vagy a Microsoft virtuális nyilvános IP-címet birtokló Azure szolgáltatás a következőhöz: 168.63.129.16. - ExternalPublic/Malicious IP: Az IP WhoIS-információi.
ThreatType	Rosszindulatú IP-cím által okozott fenyegetés	Csak rosszindulatú IP-címek esetén: Az aktuálisan engedélyezett értékek listájában szereplő fenyegetések egyike (lásd : Fenyegetéstípusok).
Fenyegetés leírása	A fenyegetés leírása	Csak rosszindulatú IP-címek esetén. A rosszindulatú IP-cím által jelentett fenyegetés leírása.
DNSDomain	DNS-tartomány	Csak rosszindulatú IP-címek esetén. A rosszindulatú IP-címhez társított tartománynév.
URL-cím	A rosszindulatú IP-címnek megfelelő URL-cím	Csak rosszindulatú IP-címek esetén.
Kikötő	A rosszindulatú IP-címnek megfelelő port	Csak rosszindulatú IP-címek esetén.

Fenyegetéstípusok

Az alábbi táblázat a forgalomelemzési IP-részletek sémájában található mező jelenleg engedélyezett értékeit ThreatType sorolja fel.

Érték	Leírás
Botnet hálózat	Egy botnetcsomópontot/tagot részletező mutató.
C2	A robotnet parancs- és vezérlőcsomópontját részletező mutató.
Kriptobányászat	Az ezt a hálózati címet / URL-címet tartalmazó forgalom a CyrptoMining/Resource abuse jelzése.
DarkNet	Darknet-csomópont/hálózat jelzője.
DDoS	Aktív vagy közelgő DDoS-kampányhoz kapcsolódó mutatók.
KártékonyURL	Kártevőt kiszolgáló URL-cím.
Kártevő	Rosszindulatú fájlokat vagy fájlokat leíró jelző.
Adathalászat	Adathalászati kampányhoz kapcsolódó mutatók.
Helyettes	Proxyszolgáltatás mutatója.
PUA	Potenciálisan nemkívánatos alkalmazás.
Figyelőlista	Egy általános gyűjtőhely, ahová a jelzők kerülnek, ha nem lehet pontosan meghatározni, hogy mi a fenyegetés, vagy kézi értelmezést igényel. WatchList általában nem használhatják az adatokat a rendszerbe küldő partnerek.

Jegyzetek

• AzurePublic és ExternalPublic esetén az ügyfél tulajdonában lévő Azure-beli virtuális gép IP-címe a VMIP_s mezőben, míg a nyilvános IP-címek a PublicIPs_s mezőben kerülnek kitöltésre. Ehhez a két folyamattípushoz a VMIP_s és PublicIPs_s használatát kell alkalmaznia a SrcIP_s és DestIP_s mezők helyett. Az AzurePublic és ExternalPublic IP-címek esetében tovább összesítjük, hogy a Log Analytics-munkaterületre betöltött rekordok száma minimális legyen. (Ez a mező elavult lesz. Használjon SrcIP_s és DestIP_s attól függően, hogy a virtuális gép volt-e a forrás vagy a cél a folyamatban).
• Egyes mezőnevekhez hozzá van fűzve a _s vagy _d, amelyek nem a forrást vagy a célt jelzik, hanem az adattípusokat: string és decimal.
• A folyamathoz tartozó IP-címek alapján a folyamatokat a következő folyamattípusokba kategorizáljuk:
  • IntraVNet: A folyamat mindkét IP-címe ugyanabban az Azure-beli virtuális hálózaton található.
  • InterVNet: A folyamat IP-címei két különböző Azure-beli virtuális hálózatban találhatók.
  • S2S (Helyek közötti): Az egyik IP-cím egy Azure virtuális hálózathoz tartozik, a másik pedig az ügyfélhálózathoz, amely VPN-átjárón vagy ExpressRoute-on keresztül csatlakozik a virtuális hálózathoz (helyhez).
  • P2S (Pont–hely): Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, míg a másik IP-cím az Azure-beli virtuális hálózathoz VPN-átjárón keresztül csatlakozó ügyfélhálózathoz (helyhez).
  • AzurePublic: Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, míg a másik IP-cím a Microsoft tulajdonában lévő Nyilvános Azure IP-cím. Az ügyfél tulajdonában lévő nyilvános IP-címek nem részei ennek a folyamattípusnak. Például az azure-szolgáltatásba (Storage-végpontba) irányuló forgalmat küldő összes ügyfél tulajdonában lévő virtuális gép ebbe a folyamattípusba lesz besorolva.
  • ExternalPublic: Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, míg a másik IP-cím egy nyilvános IP-cím, amely nem a Microsoft tulajdonában van, vagy egy ügyfél tulajdonában lévő előfizetés része, amely látható a forgalomelemzésben, és nem jelent kártékonyként az ASC-hírcsatornákban, amelyeket a forgalomelemzés az és FlowIntervalStartTime_ta közötti FlowIntervalEndTime_t feldolgozási időközre használ fel.
  • MaliciousFlow: Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, míg a másik IP-cím egy nyilvános IP-cím, amely nem a Microsoft tulajdonában van, vagy egy ügyfél tulajdonában lévő előfizetés része, amely látható a forgalomelemzésben, és rosszindulatúként jelent meg az ASC-hírcsatornákban, amelyeket a forgalomelemzés a között és FlowIntervalStartTime_tközött FlowIntervalEndTime_t a feldolgozási időközhöz használ.
  • UnknownPrivate: Az egyik IP-cím egy Azure-beli virtuális hálózathoz tartozik, míg a másik IP-cím az RFC 1918-ban meghatározott privát IP-tartományhoz tartozik, és a forgalomelemzés nem képezhető le egy ügyfél tulajdonában lévő helyre vagy Azure-beli virtuális hálózatra.
  • Unknown: A flow egyik IP-címe sem térképezhető fel az Azure-beli és a helyszíni (site) ügyféltopológiával össze.

Feljegyzés

Egy előfizetés akkor látható a Log Analytics-munkaterület forgalomelemzési funkciójában, ha az adott munkaterületre konfigurált folyamatnaplót tartalmaz.

Kapcsolódó tartalom

• Traffic Analytics – áttekintés
• Lekérdezések használata a forgalomelemzésben
• Forgalomelemzési használati forgatókönyvek