Skema analitik lalu lintas dan agregasi data

Analitik lalu lintas adalah solusi berbasis cloud yang menyediakan visibilitas ke dalam aktivitas pengguna dan aplikasi di jaringan cloud. Analitik lalu lintas menganalisis log alur Azure Network Watcher untuk memberikan wawasan tentang arus lalu lintas di cloud Azure Anda. Dengan analitik lalu lintas, Anda dapat:

• Visualisasikan aktivitas jaringan di seluruh langganan Azure Anda dan identifikasi hot spot.
• Identifikasi ancaman keamanan, dan amankan jaringan Anda, dengan informasi seperti port terbuka, aplikasi yang mencoba akses internet, dan komputer virtual (VM) yang terhubung ke jaringan nakal.
• Pahami pola arus lalu lintas di seluruh wilayah Azure dan internet untuk mengoptimalkan penyebaran jaringan Anda untuk performa dan kapasitas.
• Menentukan kesalahan konfigurasi jaringan yang mengarah ke sambungan gagal di jaringan Anda.
• Ketahui penggunaan jaringan dalam byte, paket, atau alur.

Agregasi data

Log alur kelompok keamanan jaringan

• Semua log alur di grup keamanan jaringan antara FlowIntervalStartTime_t dan FlowIntervalEndTime_t ditangkap pada interval satu menit sebagai blob di akun penyimpanan.
• Interval pemrosesan default analitik lalu lintas adalah 60 menit, yang berarti bahwa setiap jam, analitik lalu lintas memilih blob dari akun penyimpanan untuk agregasi. Namun, jika interval pemrosesan 10 menit dipilih, analitik lalu lintas akan memilih blob dari akun penyimpanan setiap 10 menit.
• Alur yang memiliki , , Destination IP, Destination port, NSG ruleNSG name, , Flow Direction, dan Transport layer protocol (TCP or UDP) yang sama Source IPdikelompokan ke dalam satu arus oleh analitik lalu lintas (Catatan: port sumber dikecualikan untuk agregasi).
• Rekaman tunggal ini dihiasi (detail di bagian di bawah) dan diserap di log Azure Monitor oleh analitik lalu lintas. Proses ini dapat memakan waktu hingga 1 jam.
• FlowStartTime_t bidang menunjukkan kemunculan pertama aliran agregat tersebut (empat tuple yang sama) dalam interval pemrosesan log alur antara FlowIntervalStartTime_t dan FlowIntervalEndTime_t.
• Untuk sumber daya apa pun dalam analitik lalu lintas, alur yang ditunjukkan dalam portal Azure adalah total alur yang dilihat oleh grup keamanan jaringan, tetapi di log Azure Monitor, pengguna hanya melihat rekaman tunggal yang dikurangi. Untuk melihat semua alur, gunakan blob_id bidang , yang dapat dirujuk dari penyimpanan. Jumlah alur total untuk rekaman tersebut cocok dengan alur individual yang terlihat di blob.

Log alur jaringan virtual

• Semua log alur antara FlowIntervalStartTime dan FlowIntervalEndTime diambil pada interval satu menit sebagai blob di akun penyimpanan.
• Interval pemrosesan default analitik lalu lintas adalah 60 menit, yang berarti bahwa setiap jam, analitik lalu lintas memilih blob dari akun penyimpanan untuk agregasi. Namun, jika interval pemrosesan 10 menit dipilih, analitik lalu lintas akan memilih blob dari akun penyimpanan setiap 10 menit.
• Alur yang memiliki , , Destination IP, Destination port, NSG ruleNSG name, , Flow Direction, dan Transport layer protocol (TCP or UDP) yang sama Source IPdikelompokan ke dalam satu arus oleh analitik lalu lintas (Catatan: port sumber dikecualikan untuk agregasi).
• Rekaman tunggal ini dihiasi (detail di bagian di bawah) dan diserap di log Azure Monitor oleh analitik lalu lintas. Proses ini dapat memakan waktu hingga 1 jam.
• FlowStartTime bidang menunjukkan kemunculan pertama aliran agregat tersebut (empat tuple yang sama) dalam interval pemrosesan log alur antara FlowIntervalStartTime dan FlowIntervalEndTime.
• Untuk sumber daya apa pun dalam analitik lalu lintas, alur yang ditunjukkan dalam portal Azure adalah total alur yang terlihat, tetapi di log Azure Monitor, pengguna hanya melihat rekaman tunggal yang dikurangi. Untuk melihat semua alur, gunakan blob_id bidang , yang dapat dirujuk dari penyimpanan. Jumlah alur total untuk rekaman tersebut cocok dengan alur individual yang terlihat di blob.

Kueri berikut membantu Anda melihat semua subnet yang berinteraksi dengan IP publik non-Azure dalam 30 hari terakhir.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet1_s, Subnet2_s  

Untuk menampilkan jalur blob untuk alur di kueri sebelumnya, gunakan kueri berikut:

let TableWithBlobId =
(AzureNetworkAnalytics_CL
   | where SubType_s == "Topology" and ResourceType == "NetworkSecurityGroup" and DiscoveryRegion_s == Region_s and IsFlowEnabled_b
   | extend binTime = bin(TimeProcessed_t, 6h),
            nsgId = strcat(Subscription_g, "/", Name_s),
            saNameSplit = split(FlowLogStorageAccount_s, "/")
   | extend saName = iif(arraylength(saNameSplit) == 3, saNameSplit[2], '')
   | distinct nsgId, saName, binTime)
| join kind = rightouter (
   AzureNetworkAnalytics_CL
   | where SubType_s == "FlowLog"  
   | extend binTime = bin(FlowEndTime_t, 6h)
) on binTime, $left.nsgId == $right.NSGList_s  
| extend blobTime = format_datetime(todatetime(FlowIntervalStartTime_t), "yyyy MM dd hh")
| extend nsgComponents = split(toupper(NSGList_s), "/"), dateTimeComponents = split(blobTime, " ")
| extend BlobPath = strcat("https://", saName,
                        "@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/", nsgComponents[0],
                        "/RESOURCEGROUPS/", nsgComponents[1],
                        "/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/", nsgComponents[2],
                        "/y=", dateTimeComponents[0], "/m=", dateTimeComponents[1], "/d=", dateTimeComponents[2], "/h=", dateTimeComponents[3],
                        "/m=00/macAddress=", replace(@"-", "", MACAddress_s),
                        "/PT1H.json")
| project-away nsgId, saName, binTime, blobTime, nsgComponents, dateTimeComponents;

TableWithBlobId
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s , BlobPath

Kueri sebelumnya membuat URL untuk mengakses blob secara langsung. URL dengan tempat penampung adalah sebagai berikut:

https://{storageAccountName}@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroup}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Skema analitik lalu lintas

Analitik lalu lintas dibangun di atas log Azure Monitor, sehingga Anda dapat menjalankan kueri kustom pada data yang dihiasi oleh analitik lalu lintas dan mengatur pemberitahuan.

Log alur kelompok keamanan jaringan

Tabel berikut mencantumkan bidang dalam skema dan apa yang ditandatanganinya untuk log alur kelompok keamanan jaringan.

Bidang	Format	Komentar
TableName	AzureNetworkAnalytics_CL	Tabel untuk data analitik lalu lintas.
SubType_s	FlowLog	Subjenis untuk log alur. Gunakan hanya FlowLog, nilai SubType_s lainnya adalah untuk penggunaan internal.
FASchemaVersion_s	2	Versi skema. Tidak mencerminkan versi log alur kelompok keamanan jaringan.
TimeProcessed_t	Tanggal dan waktu di UTC	Waktu di mana analitik lalu lintas memproses log alur mentah dari akun penyimpanan.
FlowIntervalStartTime_t	Tanggal dan waktu di UTC	Waktu mulai interval pemrosesan log alur (waktu dari mana interval alur diukur).
FlowIntervalEndTime_t	Tanggal dan waktu di UTC	Waktu akhir interval pemrosesan log alur.
FlowStartTime_t	Tanggal dan waktu di UTC	Kemunculan pertama alur (yang dikumpulkan) dalam interval pemrosesan log alur antara FlowIntervalStartTime_t dan FlowIntervalEndTime_t. Alur ini dikumpulkan berdasarkan logika agregasi.
FlowEndTime_t	Tanggal dan waktu di UTC	Terakhir terjadinya alur (yang dikumpulkan) dalam interval pemrosesan log alur antara FlowIntervalStartTime_t dan FlowIntervalEndTime_t. Dalam hal log alur v2, bidang ini berisi waktu ketika alur terakhir dengan empat tuple yang sama dimulai (ditandai sebagai B dalam catatan aliran mentah).
FlowType_s	- IntraVNet - InterVNet -S2S - P2S - AzurePublic - ExternalPublic - MaliciousFlow - Privat Tidak Diketahui - Tidak diketahui	Lihat Catatan untuk definisi.
SrcIP_s	Alamat IP sumber	Kosong dalam alur AzurePublic dan ExternalPublic.
DestIP_s	Alamat IP tujuan	Kosong dalam alur AzurePublic dan ExternalPublic.
VMIP_s	IP VM	Digunakan untuk alur AzurePublic dan ExternalPublic.
DestPort_d	Port Tujuan	Port tempat lalu lintas masuk.
L4Protocol_s	-T U-	Protokol Transportasi. T = TCP U = UDP.
L7Protocol_s	Nama Protokol	Berasal dari port tujuan.
FlowDirection_s	- I = Masuk - O = Keluar	Arah alur: masuk atau keluar dari grup keamanan jaringan per log alur.
FlowStatus_s	- A = Diizinkan - D = Ditolak	Status alur apakah diizinkan atau ditolak oleh kelompok keamanan jaringan per log alur.
NSGList_s	<SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME>	Kelompok keamanan jaringan yang terkait dengan alur.
NSGRules_s	<Nilai indeks 0>|<>NSG_RULENAME|<Arah> Alur|<Status> Alur|<FlowCount ProcessedByRule>	Aturan kelompok keamanan jaringan yang memperbolehkan atau menolak alur ini.
NSGRule_s	NSG_RULENAME	Aturan kelompok keamanan jaringan yang memperbolehkan atau menolak alur ini.
NSGRuleType_s	- Ditentukan Pengguna - Default	Jenis aturan grup keamanan jaringan yang digunakan oleh alur.
MACAddress_s	Alamat MAC	Alamat MAC NIC tempat alur diambil.
Subscription_g	Langganan jaringan virtual Azure / antarmuka jaringan / komputer virtual diisi di bidang ini	Hanya berlaku untuk jenis alur FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow, dan UnknownPrivate (jenis alur di mana hanya satu sisi azure).
Subscription1_g	ID Langganan	ID langganan jaringan virtual / antarmuka jaringan / komputer virtual tempat IP sumber dalam alur berada.
Subscription2_g	ID Langganan	ID langganan jaringan virtual/ antarmuka jaringan / komputer virtual tempat IP tujuan dalam alur berada.
Region_s	Wilayah Azure dari jaringan virtual / antarmuka jaringan / komputer virtual tempat IP dalam alur berada.	Hanya berlaku untuk jenis alur FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow, dan UnknownPrivate (jenis alur di mana hanya satu sisi azure).
Region1_s	Wilayah Azure	Wilayah Azure dari jaringan virtual / antarmuka jaringan / komputer virtual tempat IP sumber dalam alur berada.
Region2_s	Wilayah Azure	Wilayah Azure dari jaringan virtual tempat IP tujuan dalam alur berada.
NIC_s	<resourcegroup_Name>/<NetworkInterfaceName>	NIC yang terkait dengan VM yang mengirim atau menerima lalu lintas.
NIC1_s	<resourcegroup_Name>/<NetworkInterfaceName>	NIC yang terkait dengan IP sumber dalam alur.
NIC2_s	<resourcegroup_Name>/<NetworkInterfaceName>	NIC yang terkait dengan IP tujuan dalam alur.
VM_s	<resourcegroup_Name>/<NetworkInterfaceName>	Komputer Virtual yang terkait dengan antarmuka Jaringan NIC_s.
VM1_s	<resourcegroup_Name>/<VirtualMachineName>	Komputer Virtual yang terkait dengan IP sumber dalam alur.
VM2_s	<resourcegroup_Name>/<VirtualMachineName>	Komputer Virtual yang terkait dengan IP tujuan dalam alur.
Subnet_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet yang terkait dengan NIC_s.
Subnet1_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet yang terkait dengan IP Sumber dalam alur.
Subnet2_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet yang terkait dengan IP Tujuan dalam alur.
ApplicationGateway1_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Gateway aplikasi yang terkait dengan IP Sumber dalam alur.
ApplicationGateway2_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Gateway aplikasi yang terkait dengan IP Tujuan dalam alur.
ExpressRouteCircuit1_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ID sirkuit ExpressRoute - saat alur dikirim dari situs melalui ExpressRoute.
ExpressRouteCircuit2_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ID sirkuit ExpressRoute - saat alur diterima dari cloud oleh ExpressRoute.
ExpressRouteCircuitPeeringType_s	- AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering	Jenis peering ExpressRoute yang terlibat dalam alur.
LoadBalancer1_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Load balancer yang terkait dengan IP Sumber dalam alur.
LoadBalancer2_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Load balancer yang terkait dengan IP Tujuan dalam alur.
LocalNetworkGateway1_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Gateway jaringan lokal yang terkait dengan IP Sumber dalam alur.
LocalNetworkGateway2_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Gateway jaringan lokal yang terkait dengan IP Tujuan dalam alur.
Koneksi ionType_s	- VNetPeering - VpnGateway - ExpressRoute	Jenis onneksi.
Koneksi ionName_s	<SubscriptionID>/<ResourceGroupName>/<ConnectionName>	Nama koneksi. Untuk jenis alur P2S, diformat sebagai <IP> Klien gateway name>_<VPN.
Koneksi ingVNets_s	Spasi daftar nama jaringan virtual yang dipisahkan	Dalam kasus topologi hub dan spoke, jaringan virtual hub diisi di sini.
Country_s	Dua huruf kode negara (ISO 3166-1 alpha-2)	Diisi untuk jenis alur ExternalPublic. Semua alamat IP di bidang PublicIPs_s memiliki kode negara yang sama.
AzureRegion_s	Lokasi wilayah Azure	Diisi untuk jenis alur AzurePublic. Semua alamat IP di bidang PublicIPs_s berbagi wilayah Azure.
AllowedInFlows_d		Jumlah alur masuk yang diizinkan, yang mewakili jumlah alur yang berbagi empat tuple yang sama masuk ke antarmuka jaringan tempat alur diambil.
DeniedInFlows_d		Jumlah alur masuk yang ditolak. (Masuk ke antarmuka jaringan tempat alur diambil).
AllowedOutFlows_d		Jumlah alur keluar yang diizinkan (Keluar ke antarmuka jaringan tempat alur diambil).
DeniedOutFlows_d		Jumlah alur keluar yang ditolak (Keluar ke antarmuka jaringan tempat alur diambil).
FlowCount_d	Ditolak. Total alur yang cocok dengan empat-tuple yang sama. Dalam kasus jenis alur ExternalPublic dan AzurePublic, hitungan menyertakan alur dari berbagai alamat PublicIP juga.
InboundPackets_d	Mewakili paket yang dikirim dari tujuan ke sumber aliran	Diisi hanya untuk skema log alur kelompok keamanan jaringan Versi 2.
OutboundPackets_d	Mewakili paket yang dikirim dari sumber ke tujuan aliran	Diisi hanya untuk skema log alur kelompok keamanan jaringan Versi 2.
InboundBytes_d	Mewakili byte yang dikirim dari tujuan ke sumber aliran	Diisi hanya untuk skema log alur kelompok keamanan jaringan Versi 2.
OutboundBytes_d	Mewakili byte yang dikirim dari sumber ke tujuan aliran	Diisi hanya untuk skema log alur kelompok keamanan jaringan Versi 2.
CompletedFlows_d		Diisi dengan nilai bukan nol hanya untuk skema log alur kelompok keamanan jaringan Versi 2.
PublicIPs_s	<PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES|>|<INBOUND_BYTES>	Entri dipisahkan oleh bilah.
SrcPublicIPs_s	<SOURCE_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES>	Entri dipisahkan oleh bilah.
DestPublicIPs_s	<SOURCE_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES>	Entri dipisahkan oleh bilah.
IsFlowCapturedAtUDRHop_b	-Benar - False	Jika alur diambil pada hop UDR, nilainya adalah True.

Penting

Skema analitik lalu lintas diperbarui pada 22 Agustus 2019. Skema baru menyediakan IP sumber dan tujuan secara terpisah, menghapus kebutuhan untuk mengurai FlowDirection bidang sehingga kueri lebih sederhana. Skema yang diperbarui memiliki perubahan berikut:

• FASchemaVersion_s diperbarui dari 1 hingga 2.
• Bidang yang tidak digunakan lagi: VMIP_s, , Subscription_g, Region_s, NSGRules_s, Subnet_s, VM_sNIC_s, , PublicIPs_s,FlowCount_d
• Bidang baru: SrcPublicIPs_s, DestPublicIPs_s, NSGRule_s

Log alur jaringan virtual

Tabel berikut mencantumkan bidang dalam skema dan apa yang ditandatanganinya untuk log alur jaringan virtual.

Bidang	Format	Komentar
TableName	NTANetAnalytics	Tabel untuk data analitik lalu lintas.
SubType	FlowLog	Subjenis untuk log alur. Hanya gunakan FlowLog, nilai SubType lainnya adalah untuk penggunaan internal.
FASchemaVersion	3	Versi skema. Tidak mencerminkan versi log alur jaringan virtual.
TimeProcessed	Tanggal dan waktu di UTC	Waktu di mana analitik lalu lintas memproses log alur mentah dari akun penyimpanan.
FlowIntervalStartTime	Tanggal dan waktu di UTC	Waktu mulai interval pemrosesan log alur (waktu dari mana interval alur diukur).
FlowIntervalEndTime	Tanggal dan waktu di UTC	Waktu akhir interval pemrosesan log alur.
FlowStartTime	Tanggal dan waktu di UTC	Kemunculan pertama alur (yang dikumpulkan) dalam interval pemrosesan log alur antara FlowIntervalStartTime dan FlowIntervalEndTime. Alur ini dikumpulkan berdasarkan logika agregasi.
FlowEndTime	Tanggal dan waktu di UTC	Terakhir terjadinya alur (yang dikumpulkan) dalam interval pemrosesan log alur antara FlowIntervalStartTime dan FlowIntervalEndTime. Dalam hal log alur v2, bidang ini berisi waktu ketika alur terakhir dengan empat tuple yang sama dimulai (ditandai sebagai B dalam catatan aliran mentah).
FlowType	- IntraVNet - InterVNet -S2S - P2S - AzurePublic - ExternalPublic - MaliciousFlow - Privat Tidak Diketahui - Tidak diketahui	Lihat Catatan untuk definisi.
SrcIP	Alamat IP sumber	Kosong dalam alur AzurePublic dan ExternalPublic.
DestIP	Alamat IP tujuan	Kosong dalam alur AzurePublic dan ExternalPublic.
TargetResourceId	ResourceGroupName/ResourceName	ID sumber daya tempat pengelogan alur dan analitik lalu lintas diaktifkan.
TargetResourceType	VirtualNetwork/Subnet/NetworkInterface	Jenis sumber daya di mana pengelogan alur dan analitik lalu lintas diaktifkan (jaringan virtual, subnet, NIC atau kelompok keamanan jaringan).
FlowLogResourceId	ResourceGroupName/NetworkWatcherName/FlowLogName	ID sumber daya log alur.
DestPort	Port Tujuan	Port tempat lalu lintas masuk.
L4Protocol	-T U-	Protokol Transportasi. T = TCP U = UDP
L7Protocol	Nama Protokol	Berasal dari port tujuan.
FlowDirection	- I = Masuk - O = Keluar	Arah alur: masuk atau keluar dari sumber daya target per log alur.
FlowStatus	- A = Diizinkan - D = Ditolak	Status alur: diizinkan atau ditolak oleh sumber daya target per log alur.
Daftar NSG	<SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME>	Kelompok keamanan jaringan yang terkait dengan alur.
NSGRule	NSG_RULENAME	Aturan kelompok keamanan jaringan yang mengizinkan atau menolak alur.
NSGRuleType	- Ditentukan Pengguna - Default	Jenis aturan grup keamanan jaringan yang digunakan oleh alur.
MACAddress	Alamat MAC	Alamat MAC NIC tempat alur diambil.
SrcSubscription	ID Langganan	ID langganan jaringan virtual / antarmuka jaringan / komputer virtual tempat IP sumber dalam alur berada.
DestSubscription	ID Langganan	ID langganan jaringan virtual / antarmuka jaringan / komputer virtual tempat IP tujuan dalam alur berada.
SrcRegion	Wilayah Azure	Wilayah Azure dari jaringan virtual / antarmuka jaringan / komputer virtual tempat IP sumber dalam alur berada.
DestRegion	Wilayah Azure	Wilayah Azure dari jaringan virtual tempat IP tujuan dalam alur berada.
SrcNIC	<resourcegroup_Name>/<NetworkInterfaceName>	NIC yang terkait dengan IP sumber dalam alur.
DestNIC	<resourcegroup_Name>/<NetworkInterfaceName>	NIC yang terkait dengan IP tujuan dalam alur.
SrcVM	<resourcegroup_Name>/<VirtualMachineName>	Komputer virtual yang terkait dengan IP sumber dalam alur.
DestVM	<resourcegroup_Name>/<VirtualMachineName>	Komputer virtual yang terkait dengan IP tujuan dalam alur.
SrcSubnet	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet yang terkait dengan IP sumber dalam alur.
DestSubnet	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet yang terkait dengan IP tujuan dalam alur.
SrcApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Gateway aplikasi yang terkait dengan IP sumber dalam alur.
DestApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Gateway aplikasi yang terkait dengan IP tujuan dalam alur.
SrcExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ID sirkuit ExpressRoute - saat alur dikirim dari situs melalui ExpressRoute.
DestExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ID sirkuit ExpressRoute - saat alur diterima dari cloud oleh ExpressRoute.
ExpressRouteCircuitPeeringType	- AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering	Jenis peering ExpressRoute yang terlibat dalam alur.
SrcLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Load balancer yang terkait dengan IP sumber dalam alur.
DestLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Load balancer yang terkait dengan IP tujuan dalam alur.
SrcLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Gateway jaringan lokal yang terkait dengan IP sumber dalam alur.
DestLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Gateway jaringan lokal yang terkait dengan IP tujuan dalam alur.
Koneksi ionType	- VNetPeering - VpnGateway - ExpressRoute	Jenis koneksi.
Koneksi ionName	<SubscriptionID>/<ResourceGroupName>/<ConnectionName>	Nama koneksi. Untuk jenis alur P2S, diformat sebagai <GatewayName>_<VPNClientIP>
Koneksi ingVNets	Spasi yang dipisahkan daftar nama jaringan virtual.	Di topologi hub dan spoke, jaringan virtual hub diisi di sini.
Negara	Kode negara dua huruf (ISO 3166-1 alpha-2)	Diisi untuk jenis alur ExternalPublic. Semua alamat IP di bidang PUBLICIP memiliki kode negara yang sama.
AzureRegion	Lokasi wilayah Azure	Diisi untuk jenis alur AzurePublic. Semua alamat IP di bidang PublicIP berbagi wilayah Azure.
AllowedInFlows	-	Jumlah alur masuk yang diizinkan, yang mewakili jumlah alur yang berbagi empat tuple yang sama masuk ke antarmuka jaringan tempat alur diambil.
DeniedInFlows	-	Jumlah alur masuk yang ditolak. (Masuk ke antarmuka jaringan tempat alur diambil).
AllowedOutFlows	-	Jumlah alur keluar yang diizinkan (Keluar ke antarmuka jaringan tempat alur diambil).
DeniedOutFlows	-	Jumlah alur keluar yang ditolak (Keluar ke antarmuka jaringan tempat alur diambil).
PacketsDestToSrc	-	Mewakili paket yang dikirim dari tujuan ke sumber alur.
PacketsSrcToDest	-	Mewakili paket yang dikirim dari sumber ke tujuan alur .
BytesDestToSrc	-	Mewakili byte yang dikirim dari tujuan ke sumber alur.
BytesSrcToDest	-	Mewakili byte yang dikirim dari sumber ke tujuan alur.
CompletedFlows	-	Diisi dengan nilai bukan nol hanya untuk skema log alur kelompok keamanan jaringan Versi 2.
SrcPublicIPs	<SOURCE_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES>	Entri dipisahkan oleh bilah.
DestPublicIPs	<SOURCE_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES>	Entri dipisahkan oleh bilah.
FlowEncryption	-Dienkripsi - Tidak terenkripsi - Perangkat keras yang tidak didukung - Perangkat lunak belum siap - Hilangkan karena tidak ada enkripsi - Penemuan tidak didukung - Tujuan pada host yang sama - Kembali ke enkripsi.	Tingkat enkripsi alur.
PrivateEndpointResourceId	<ResourceGroup/privateEndpointResource>	ID sumber daya sumber daya sumber daya titik akhir privat. Diisi saat lalu lintas mengalir ke atau dari sumber daya titik akhir privat.
PrivateLinkResourceId	<ResourceGroup/ResourceType/privateLinkResource>	ID sumber daya layanan tautan privat. Diisi saat lalu lintas mengalir ke atau dari sumber daya titik akhir privat.
PrivateLinkResourceName	Teks biasa	Nama sumber daya layanan tautan privat. Diisi saat lalu lintas mengalir ke atau dari sumber daya titik akhir privat.
IsFlowCapturedAtUDRHop	-Benar - False	Jika alur diambil pada hop UDR, nilainya adalah True.

Catatan

NTANetAnalytics dalam log alur jaringan virtual menggantikan AzureNetworkAnalytics_CL digunakan dalam log alur kelompok keamanan jaringan.

Skema detail IP publik

Analitik lalu lintas menyediakan data WHOIS dan lokasi geografis untuk semua IP publik di lingkungan Anda. Untuk IP berbahaya, analitik lalu lintas menyediakan domain DNS, jenis ancaman, dan deskripsi utas seperti yang diidentifikasi oleh solusi inteligensi keamanan Microsoft. Detail IP diterbitkan ke ruang kerja Analitik Log sehingga Anda dapat membuat kueri kustom dan memberikan pemberitahuan padanya. Anda juga dapat mengakses kueri yang telah diisi sebelumnya dari dasbor analitik lalu lintas.

Tabel berikut ini merinci skema IP publik:

Log alur kelompok keamanan jaringan

Bidang	Format	Komentar
TableName	AzureNetworkAnalyticsIPDetails_CL	Tabel yang berisi data detail IP analitik lalu lintas.
SubType_s	FlowLog	Subjenis untuk log alur. Gunakan hanya "FlowLog", nilai SubType_s lainnya adalah untuk pekerjaan internal produk.
FASchemaVersion_s	2	Versi skema. Tidak mencerminkan versi log alur kelompok keamanan jaringan.
FlowIntervalStartTime_t	Tanggal dan waktu di UTC	Waktu mulai interval pemrosesan log alur (waktu dari interval aliran mana yang diukur).
FlowIntervalEndTime_t	Tanggal dan waktu di UTC	Waktu akhir interval pemrosesan log alur.
FlowType_s	- AzurePublic - ExternalPublic - MaliciousFlow	Lihat Catatan untuk definisi.
IP	IP Publik	IP publik yang informasinya diberikan dalam catatan.
Location	Lokasi IP	- Untuk IP Publik Azure: Wilayah Azure dari jaringan virtual/antarmuka jaringan/komputer virtual tempat IP berada ATAU Global untuk IP 168.63.129.16. - Untuk IP Publik Eksternal dan IP Berbahaya: Kode negara 2 huruf tempat IP berada (ISO 3166-1 alpha-2).
PublicIPDetails	Informasi tentang IP	- Untuk IP AzurePublic: Azure Service yang memiliki IP atau IP publik virtual Microsoft untuk 168.63.129.16. - ExternalPublic/Malicious IP: Siapa informasi IP.
ThreatType	Ancaman yang ditimbulkan oleh IP berbahaya	Hanya untuk IP Berbahaya: Salah satu ancaman dari daftar nilai yang saat ini diizinkan (dijelaskan dalam tabel berikutnya).
ThreatDescription	Deskripsi ancaman	Hanya untuk IP berbahaya. Deskripsi ancaman yang ditimbulkan oleh IP berbahaya.
DNSDomain	Domain DNS	Hanya untuk IP berbahaya. Nama domain yang terkait dengan IP berbahaya.
Url	URL yang sesuai dengan IP berbahaya	Hanya untuk IP Berbahaya
Port	Port yang sesuai dengan IP berbahaya	Hanya untuk IP Berbahaya

Log alur jaringan virtual

Bidang	Format	Komentar
TableName	NTAIpDetails	Tabel yang berisi data detail IP analitik lalu lintas.
SubType	FlowLog	Subjenis untuk log alur. Gunakan hanya FlowLog. Nilai lain dari SubType adalah untuk pekerjaan internal produk.
FASchemaVersion	2	Versi skema. Tidak mencerminkan versi Log alur jaringan virtual.
FlowIntervalStartTime	Tanggal dan waktu di UTC	Waktu mulai interval pemrosesan log alur (waktu dari mana interval alur diukur).
FlowIntervalEndTime	Tanggal dan waktu di UTC	Waktu akhir interval pemrosesan log alur.
FlowType	- AzurePublic - ExternalPublic - MaliciousFlow	Lihat Catatan untuk definisi.
IP	IP Publik	IP publik yang informasinya diberikan dalam catatan.
PublicIPDetails	Informasi tentang IP	Untuk IP AzurePublic: Azure Service yang memiliki IP atau IP Microsoft Virtual Public untuk IP 168.63.129.16. EXTERNALPublic/Malicious IP: Siapa informasi IP.
ThreatType	Ancaman yang ditimbulkan oleh IP berbahaya	Hanya untuk IP berbahaya. Salah satu ancaman dari daftar nilai yang saat ini diizinkan. Untuk informasi selengkapnya, lihat Catatan.
DNSDomain	Domain DNS	Hanya untuk IP berbahaya. Nama domain yang terkait dengan IP ini.
ThreatDescription	Deskripsi ancaman	Hanya untuk IP berbahaya. Deskripsi ancaman yang ditimbulkan oleh IP berbahaya.
Location	Lokasi IP	Untuk IP Publik Azure: Wilayah Azure dari jaringan virtual / antarmuka jaringan / komputer virtual tempat IP berada atau Global untuk IP 168.63.129.16. Untuk IP Publik Eksternal dan IP Berbahaya: kode negara dua huruf (ISO 3166-1 alpha-2) tempat IP berada.
Url	URL yang sesuai dengan IP berbahaya	Hanya untuk IP Berbahaya .
Port	Port yang sesuai dengan IP berbahaya	Hanya untuk IP berbahaya.

Catatan

NTAIPDetails dalam log alur jaringan virtual menggantikan AzureNetworkAnalyticsIPDetails_CL digunakan dalam log alur kelompok keamanan jaringan.

Daftar jenis ancaman:

Nilai	Deskripsi
Botnet	Indikator yang merinci simpul/anggota botnet.
C2	Indikator yang merinci node Perintah & Kontrol botnet.
CryptoMining	Lalu lintas yang melibatkan alamat jaringan/URL ini merupakan indikasi penyalahgunaan CyrptoMining/Sumber daya.
DarkNet	Indikator node/jaringan Darknet.
DDos	Indikator yang berkaitan dengan kampanye DDoS yang aktif atau yang akan datang.
MaliciousUrl	URL yang melayani malware.
Malware	Indikator menggambarkan satu atau banyak file berbahaya.
Pengelabuan	Indikator berkaitan dengan kampanye pengelabuan.
Proksi	Indikator layanan proksi.
PUA	Aplikasi yang Berpotensi Tidak Diinginkan.
WatchList	Wadah generik tempat indikator ditempatkan ketika tidak dapat ditentukan dengan tepat apa ancamannya atau memerlukan interpretasi manual. WatchList biasanya tidak boleh digunakan oleh mitra yang mengirimkan data ke dalam sistem.

Catatan

• Dalam kasus AzurePublic dan ExternalPublic alur, IP komputer virtual Azure milik pelanggan diisi di VMIP_s bidang, sementara alamat IP Publik diisi di PublicIPs_s bidang . Untuk kedua jenis alur ini, Anda harus menggunakan VMIP_s dan PublicIPs_s bukan SrcIP_s bidang dan DestIP_s . Untuk alamat IP AzurePublic dan ExternalPublic, kami mengagregasi lebih lanjut, sehingga jumlah rekaman yang diserap ke ruang kerja Analitik Log minimal. (Bidang ini tidak akan digunakan lagi. Gunakan SrcIP_ dan DestIP_s tergantung pada apakah komputer virtual adalah sumber atau tujuan dalam alur).
• Beberapa nama bidang ditambahkan dengan _s atau _d, yang tidak menandakan sumber dan tujuan tetapi menunjukkan string jenis data dan desimal masing-masing.
• Berdasarkan alamat IP yang terlibat dalam alur, kami mengategorikan alur ke dalam jenis alur berikut:
  • IntraVNet: Kedua alamat IP dalam alur berada di jaringan virtual Azure yang sama.
  • InterVNet: Alamat IP dalam alur berada di dua jaringan virtual Azure yang berbeda.
  • S2S (Situs-ke-Situs): Salah satu alamat IP milik jaringan virtual Azure, sementara alamat IP lainnya milik jaringan pelanggan (Situs) yang terhubung ke jaringan virtual melalui gateway VPN atau ExpressRoute.
  • P2S (Point-To-Site): Salah satu alamat IP milik jaringan virtual Azure, sementara alamat IP lainnya milik jaringan pelanggan (Situs) yang terhubung ke Azure Virtual Network melalui gateway VPN.
  • AzurePublic: Salah satu alamat IP milik jaringan virtual Azure, sementara alamat IP lainnya adalah alamat IP Publik Azure yang dimiliki oleh Microsoft. Alamat IP Publik milik pelanggan bukan bagian dari jenis alur ini. Misalnya, setiap VM milik pelanggan yang mengirim lalu lintas ke layanan Azure (Titik akhir penyimpanan) akan dikategorikan dalam jenis alur ini.
  • ExternalPublic: Salah satu alamat IP milik jaringan virtual Azure, sementara alamat IP lainnya adalah IP publik yang tidak ada di Azure dan tidak dilaporkan berbahaya di umpan ASC yang digunakan analitik lalu lintas untuk interval pemrosesan antara "FlowIntervalStartTime_t" dan "FlowIntervalEndTime_t".
  • MaliciousFlow: Salah satu alamat IP milik jaringan virtual Azure, sementara alamat IP lainnya adalah IP publik yang tidak ada di Azure dan dilaporkan berbahaya di umpan ASC yang digunakan analitik lalu lintas untuk interval pemrosesan antara "FlowIntervalStartTime_t" dan "FlowIntervalEndTime_t".
  • UnknownPrivate: Salah satu alamat IP milik jaringan virtual Azure, sementara alamat IP lainnya milik rentang IP privat yang ditentukan dalam RFC 1918 dan tidak dapat dipetakan oleh analitik lalu lintas ke situs milik pelanggan atau jaringan virtual Azure.
  • Unknown: Tidak dapat memetakan salah satu alamat IP dalam alur dengan topologi pelanggan di Azure dan lokal (situs).

Konten terkait

• Untuk mempelajari selengkapnya tentang analitik lalu lintas, lihat Gambaran umum analitik lalu lintas.
• Lihat Tanya Jawab Umum analitik lalu lintas untuk jawaban atas analitik lalu lintas pertanyaan yang paling sering diajukan.