Schema voor verkeersanalyse en gegevensaggregatie

Traffic Analytics is een cloudoplossing die inzicht biedt in gebruikers- en toepassingsactiviteiten in cloudnetwerken. Verkeersanalyse analyseert Azure Network Watcher-stroomlogboeken om inzicht te bieden in de verkeersstroom in uw Azure-cloud. Met verkeersanalyse kunt u het volgende doen:

• Visualiseer netwerkactiviteit in uw Azure-abonnementen en identificeer hotspots.
• Identificeer beveiligingsrisico's en beveilig uw netwerk met informatie zoals open poorten, toepassingen die proberen toegang te krijgen tot internet en virtuele machines (VM's) die verbinding maken met malafide netwerken.
• Krijg inzicht in verkeersstroompatronen in Azure-regio's en internet om uw netwerkimplementatie te optimaliseren voor prestaties en capaciteit.
• Lokaliseer verkeerde netwerkconfiguraties die leiden tot mislukte verbindingen in uw netwerk.
• Ken het netwerkgebruik in bytes, pakketten of stromen.

Gegevensaggregatie

Verkeerslogboeken voor virtuele netwerken

• Alle stroomlogboeken tussen FlowIntervalStartTime en FlowIntervalEndTime worden met tussenpozen van één minuut vastgelegd als blobs in een opslagaccount.
• Het standaardverwerkingsinterval van verkeersanalyse is 60 minuten, wat betekent dat verkeersanalyse elk uur blobs uit het opslagaccount haalt voor aggregatie. Als er echter een verwerkingsinterval van 10 minuten is geselecteerd, worden in plaats daarvan elke 10 minuten blobs uit het opslagaccount gekozen.
• Stromen die dezelfde Source IP, Destination IP, Destination port, , NSG nameNSG rule, Flow Directionhebben en Transport layer protocol (TCP or UDP) door verkeersanalyses in één stroom worden samengevoegd (Opmerking: bronpoort is uitgesloten voor aggregatie).
• Deze enkele record wordt gedecoreerd (details in de onderstaande sectie) en opgenomen in Azure Monitor-logboeken door verkeersanalyse. Dit proces kan tot 1 uur duren.
• FlowStartTime geeft het eerste voorkomen van een dergelijke geaggregeerde stroom (hetzelfde vier-tupel) aan in het verwerkingsinterval van het stroomlogboek tussen FlowIntervalStartTime en FlowIntervalEndTime.
• Voor elke resource in verkeersanalyse zijn de stromen die in de Azure Portal worden aangegeven, het totale aantal stromen dat wordt gezien, maar in Azure Monitor-logboeken ziet de gebruiker alleen de enkele, gereduceerde record. Als u alle stromen wilt zien, gebruikt u het blob_id veld, waarnaar kan worden verwezen vanuit de opslag. Het totale aantal stromen voor die record komt overeen met de afzonderlijke stromen die in de blob worden gezien.

Stroomlogboeken voor netwerkbeveiligingsgroepen

• Alle stroomlogboeken in een netwerkbeveiligingsgroep tussen FlowIntervalStartTime_t en FlowIntervalEndTime_t worden met tussenpozen van één minuut vastgelegd als blobs in een opslagaccount.
• Het standaardverwerkingsinterval van verkeersanalyse is 60 minuten, wat betekent dat verkeersanalyse elk uur blobs uit het opslagaccount haalt voor aggregatie. Als er echter een verwerkingsinterval van 10 minuten is geselecteerd, worden in plaats daarvan elke 10 minuten blobs uit het opslagaccount gekozen.
• Stromen die dezelfde Source IP, Destination IP, Destination port, , NSG nameNSG rule, Flow Directionhebben en Transport layer protocol (TCP or UDP) door verkeersanalyses in één stroom worden samengevoegd (Opmerking: bronpoort is uitgesloten voor aggregatie).
• Deze enkele record wordt gedecoreerd (details in de onderstaande sectie) en opgenomen in Azure Monitor-logboeken door verkeersanalyse. Dit proces kan tot 1 uur duren.
• FlowStartTime_t geeft het eerste voorkomen van een dergelijke geaggregeerde stroom (hetzelfde vier-tupel) aan in het verwerkingsinterval van het stroomlogboek tussen FlowIntervalStartTime_t en FlowIntervalEndTime_t.
• Voor elke resource in verkeersanalyse zijn de stromen die in de Azure Portal worden aangegeven, het totale aantal stromen dat wordt gezien door de netwerkbeveiligingsgroep, maar in Azure Monitor-logboeken ziet de gebruiker alleen de enkele, gereduceerde record. Als u alle stromen wilt zien, gebruikt u het blob_id veld, waarnaar kan worden verwezen vanuit de opslag. Het totale aantal stromen voor die record komt overeen met de afzonderlijke stromen die in de blob worden gezien.

Schema voor verkeersanalyse

Verkeersanalyse is gebouwd op basis van Azure Monitor-logboeken, zodat u aangepaste query's kunt uitvoeren op gegevens die zijn gedecoreerd door verkeersanalyse en waarschuwingen kunt instellen.

Verkeerslogboeken voor virtuele netwerken

In de volgende tabel worden de velden in het schema weergegeven en wat deze betekenen voor stroomlogboeken van virtuele netwerken. Zie NTANetAnalytics voor meer informatie.

Veld	Formaat	Opmerkingen
TableName-	NTANetAnalyse	Tabel voor verkeersanalysegegevens.
Subtype	Stroom Logboek	Subtype voor de stroomlogboeken. Gebruik alleen FlowLog, andere waarden van SubType zijn voor intern gebruik.
FASchema-versie	3	Schemaversie. Geeft de versie van het logboek van de virtuele netwerkstroom niet weer.
TimeProcessed	Datum en tijd in UTC	Tijdstip waarop de verkeersanalyse de onbewerkte stroomlogboeken van het opslagaccount heeft verwerkt.
FlowIntervalStartTime	Datum en tijd in UTC	Starttijd van het verwerkingsinterval van het debietlogboek (tijd vanaf wanneer het debietinterval wordt gemeten).
FlowIntervalEndTime	Datum en tijd in UTC	Eindtijd van het verwerkingsinterval van het stroomlogboek.
FlowStarttijd	Datum en tijd in UTC	Eerste voorkomen van de stroom (die wordt geaggregeerd) in het verwerkingsinterval van het stroomlogboek tussen FlowIntervalStartTime en FlowIntervalEndTime. Deze stroom wordt geaggregeerd op basis van aggregatielogica.
StroomEindtijd	Datum en tijd in UTC	Laatste exemplaar van de stroom (die wordt geaggregeerd) in het verwerkingsinterval van het stroomlogboek tussen FlowIntervalStartTime en FlowIntervalEndTime.
Stroomtype	- IntraVNet - InterVNet - S2S - P2S - AzurePublic - Extern Publiek - Kwaadaardige stroom - Onbekend Privé -Onbekend	Zie Opmerkingen voor definities.
SrcIp	IP-adres van bron	Leeg in AzurePublic en ExternalPublic stromen.
DestIp	IP-adres van doel	Leeg in AzurePublic en ExternalPublic stromen.
DoelBronId	NaamVanResourceGroep/NaamVanResource	De id van de resource waarbij stroomregistratie en verkeersanalyse zijn ingeschakeld.
DoelResourceType	VirtueelNetwerk/Subnet/Netwerkinterface	Type resource waarbij stroomregistratie en verkeersanalyse zijn ingeschakeld (virtueel netwerk, subnet, NIC of netwerkbeveiligingsgroep).
FlowLogResourceId	ResourceGroupName/NetworkWatcherName/FlowLogName (Naam van de bron groep/Netwerkwaarnemer Naam/Stroomlogboek Naam)	De resource-id van het stroomlogboek.
DestPort	Doelpoort	Haven waar verkeer binnenkomt.
L4Protocol	- T - U	Vervoer protocol. T = TCP U = UDP
L7Protocol	Naam protocol	Afgeleid van de bestemmingshaven.
FlowDirection-	- I = Inkomend - O = Uitgaand	Richting van de stroom: in of uit de doelresource per stroomlogboek.
Stroomstatus	- A = Toegestaan - D = Geweigerd	Status van stroom: toegestaan of geweigerd door doelresource per stroomlogboek.
AclList	<SubscriptionID>/<resourcegroup_Name>/<NSG_Name>	Netwerkbeveiligingsgroep die is gekoppeld aan de stroom.
AclRule	NSG_Regel_Naam	Regel van de netwerkbeveiligingsgroep die de stroom heeft toegestaan of geweigerd.
MACAddress-	MAC-adres	MAC-adres van de NIC waarop de stroom is vastgelegd.
SrcAbonnement	Abonnements-id	Abonnements-id van het virtuele netwerk/de netwerkinterface/de virtuele machine waartoe het bron-IP-adres in de stroom behoort.
DestAbonnement	Abonnements-id	Abonnements-id van het virtuele netwerk/de netwerkinterface/de virtuele machine waartoe het doel-IP-adres in de stroom behoort.
SrcRegio	Azure-regio	Azure-regio van virtueel netwerk / netwerkinterface / virtuele machine waartoe het bron-IP-adres in de stroom behoort.
Regio	Azure-regio	Azure-regio van het virtuele netwerk waartoe het doel-IP-adres in de stroom behoort.
SrcNic	<resourcegroup_Name>/<NetwerkInterfaceNaam>	NIC die is gekoppeld aan het bron-IP-adres in de gegevensstroom.
Ontwerp	<resourcegroup_Name>/<NetwerkInterfaceNaam>	NIC die is gekoppeld aan het doel-IP-adres in de datastroom.
SrcVm	<resourcegroup_Name>/<VirtueleMachineNaam>	Virtuele machine die is gekoppeld aan het bron-IP-adres in de stroom.
DestVm	<resourcegroup_Name>/<VirtueleMachineNaam>	Virtuele machine die is gekoppeld aan het doel-IP-adres in de stroom.
SrcSubnet	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet dat is gekoppeld aan de bron-IP in de gegevensstroom.
DestSubnet	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet dat is gekoppeld aan het doel-IP-adres in de stroom.
SrcApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Toepassingsgateway die is gekoppeld aan het bron-IP-adres in de stroom.
DestApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Toepassingsgateway die is gekoppeld aan een doel-IP-adres in de datastroom.
SrcExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-circuit-id: wanneer de stroom vanaf de site wordt verzonden via ExpressRoute.
DestExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-circuit-id: wanneer de stroom door ExpressRoute uit de cloud wordt ontvangen.
ExpressRouteCircuitPeeringType	- AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering	ExpressRoute-peeringtype dat betrokken is bij de stroom.
SrcLoadBalancer	<SubscriptionID/><ResourceGroupName>/<LoadBalancerName>	Load balancer die is gekoppeld aan het bron-IP-adres in de stroom.
DestLoadBalancer	<SubscriptionID/><ResourceGroupName>/<LoadBalancerName>	Load balancer die is gekoppeld aan het doel-IP-adres in de stroom.
SrcLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Lokale netwerkpoort die is gekoppeld aan het bron-IP-adres in de gegevensstroom.
DestLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Lokale netwerkgateway gekoppeld aan het doel-IP-adres in de gegevensstroom.
Verbindingstype	- VNetPeering - VpnGateway - Express-route	Het verbindingstype.
Naam verbinding	<SubscriptionID>/<ResourceGroupName>/<ConnectionName>	De verbindingsnaam. Voor stroomtype P2S is het geformatteerd als <GatewayName>_<VPNClientIP>
Verbinden	Ruimtegescheiden lijst van namen van virtuele netwerken.	In de hub-and-spoke-topologie worden virtuele hubnetwerken hier ingevuld.
Land	Tweeletterige landcode (ISO 3166-1 alpha-2)	Ingevuld voor stroomtype ExternalPublic. Alle IP-adressen in het veld PublicIP's hebben dezelfde landcode.
AzureRegion	Locaties in Azure-regio	Ingevuld voor stroomtype AzurePublic. Alle IP-adressen in het veld PublicIP's delen de Azure-regio.
Toegestane InFlows	-	Aantal inkomende stromen die zijn toegestaan, wat het aantal stromen vertegenwoordigt dat hetzelfde viervoudige inkomende verkeer deelde naar de netwerkinterface waarop de stroom werd vastgelegd.
DeniedInFlows	-	Aantal inkomende stromen die zijn geweigerd. (Inkomend naar de netwerkinterface waarop de stroom is vastgelegd).
AllowedOutFlows	-	Aantal uitgaande stromen die zijn toegestaan (uitgaand naar de netwerkinterface waarop de stroom is vastgelegd).
DeniedOutFlows	-	Aantal uitgaande stromen die zijn geweigerd (Uitgaand naar de netwerkinterface waarop de stroom is vastgelegd).
PakkettenDestToSrc	-	Vertegenwoordigt pakketten die van de bestemming naar de bron van de stroom worden verzonden.
PakkettenSrcToDest	-	Vertegenwoordigt pakketten die worden verzonden van de bron naar de bestemming van de stroom .
BytesDestToSrc	-	Vertegenwoordigt bytes die van de bestemming naar de bron van de stroom worden verzonden.
BytesSrcToDest (bytes van de bron naar de bestemming)	-	Vertegenwoordigt bytes die van de bron naar het doel van de stroom worden verzonden.
Voltooide stromen	-	Totaal aantal voltooide stromen (gevuld met een waarde die niet nul is wanneer een stroom een voltooide gebeurtenis krijgt).
SrcPublicIP's	< >SOURCE_PUBLIC_IP |<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES |<INBOUND_BYTES>	Ingangen gescheiden door balken.
DestPublicIP's	< >DESTINATION_PUBLIC_IP |<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES |<INBOUND_BYTES>	Ingangen gescheiden door balken.
FlowEncryptie	-Gecodeerde -Ongecodeerd - Niet-ondersteunde hardware - Software niet gereed - Daling door geen versleuteling - Ontdekking wordt niet ondersteund - Bestemming op dezelfde host - Terugvallen op geen codering.	Versleutelingsniveau van stromen.
PrivateEndpointResourceId	<BronGroep/privé-eindpuntbron>	Resource-id van de privé-eindpuntresource. Gevuld wanneer verkeer van of naar een privé-eindpuntresource stroomt.
PrivateLinkResourceId	<ResourceGroup/ResourceType/privateLinkResource>	Resource-id van de private link-service. Gevuld wanneer verkeer van of naar een privé-eindpuntresource stroomt.
PrivateLinkResourceName	Tekst zonder opmaak	Resourcenaam van de Private Link-service. Gevuld wanneer verkeer van of naar een privé-eindpuntresource stroomt.
IsFlowCapturedAtUDRHop	-Waar -Vals	Als de stroom is vastgelegd bij een UDR-hop, is de waarde True.

Opmerking

NTANetAnalytics in stroomlogboeken van virtuele netwerken vervangt AzureNetworkAnalytics_CL die worden gebruikt in stroomlogboeken voor netwerkbeveiligingsgroepen.

Stroomlogboeken voor netwerkbeveiligingsgroepen

In de volgende tabel worden de velden in het schema weergegeven en wat deze betekenen voor stroomlogboeken voor netwerkbeveiligingsgroepen.

Veld	Formaat	Opmerkingen
TableName-	AzureNetworkAnalytics_CL	Tabel voor verkeersanalysegegevens.
SubType_s	Stroom Logboek	Subtype voor de stroomlogboeken. Gebruik alleen FlowLog, andere waarden van SubType_s zijn voor intern gebruik.
FASchemaVersion_s	2	Schemaversie. Weerspiegelt niet de versie van het stroomlogboek van de netwerkbeveiligingsgroep.
TimeProcessed_t	Datum en tijd in UTC	Tijdstip waarop de verkeersanalyse de onbewerkte stroomlogboeken van het opslagaccount heeft verwerkt.
FlowIntervalStartTime_t	Datum en tijd in UTC	Starttijd van het verwerkingsinterval van het debietlogboek (tijd vanaf wanneer het debietinterval wordt gemeten).
FlowIntervalEndTime_t	Datum en tijd in UTC	Eindtijd van het verwerkingsinterval van het stroomlogboek.
FlowStartTime_t	Datum en tijd in UTC	Eerste voorkomen van de stroom (die wordt geaggregeerd) in het verwerkingsinterval van het stroomlogboek tussen FlowIntervalStartTime_t en FlowIntervalEndTime_t. Deze stroom wordt geaggregeerd op basis van aggregatielogica.
FlowEndTime_t	Datum en tijd in UTC	Laatste exemplaar van de stroom (die wordt geaggregeerd) in het verwerkingsinterval van het stroomlogboek tussen FlowIntervalStartTime_t en FlowIntervalEndTime_t. In termen van flowlog v2 bevat dit veld de tijd waarop de laatste flow met hetzelfde viertuple is gestart (gemarkeerd als B in de onbewerkte flowrecord).
FlowType_s	- IntraVNet - InterVNet - S2S - P2S - AzurePublic - Extern Publiek - Kwaadaardige stroom - Onbekend Privé -Onbekend	Zie Opmerkingen voor definities.
SrcIP_s	IP-adres van bron	Leeg in AzurePublic en ExternalPublic stromen.
DestIP_s	IP-adres van doel	Leeg in AzurePublic en ExternalPublic stromen.
VMIP_s	IP van de VM	Gebruikt voor AzurePublic en ExternalPublic stromen.
DestPort_d	Doelpoort	Haven waar verkeer binnenkomt.
L4Protocol_s	- T - U	Vervoer protocol. T = TCP U = UDP.
L7Protocol_s	Naam protocol	Afgeleid van de bestemmingshaven.
FlowDirection_s	- I = Inkomend - O = Uitgaand	Richting van de stroom: in of uit de netwerkbeveiligingsgroep per stroomlogboek.
FlowStatus_s	- A = Toegestaan - D = Geweigerd	Status van de stroom, ongeacht of deze is toegestaan of geweigerd door de netwerkbeveiligingsgroep per stroomlogboek.
NSGList_s	<SubscriptionID>/<resourcegroup_Name>/<NSG_Name>	Netwerkbeveiligingsgroep die is gekoppeld aan de stroom.
NSGRules_s	<Indexwaarde 0>|<NSG_Rule_Name>|<Stroomrichting>|<Stroomstatus>|<AantalStromen VerwerktDoorRegel>	Groepsregel voor netwerkbeveiliging die deze stroom heeft toegestaan of geweigerd.
NSGRule_s	NSG_Regel_Naam	Groepsregel voor netwerkbeveiliging die deze stroom heeft toegestaan of geweigerd.
NSGRuleType_s	- Door de gebruiker gedefinieerd - Standaard	Het type regel van de netwerkbeveiligingsgroep dat door de stroom wordt gebruikt.
MACAddress_s	MAC-adres	MAC-adres van de NIC waarop de stroom is vastgelegd.
Subscription_g	Abonnement van het virtuele Azure-netwerk / netwerkinterface / virtuele machine wordt in dit veld ingevuld	Alleen van toepassing op FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow en UnknownPrivate flow-typen (stroomtypen waarbij slechts één kant Azure is).
Subscription1_g	Abonnements-id	Abonnements-id van het virtuele netwerk/de netwerkinterface/de virtuele machine waartoe het bron-IP-adres in de stroom behoort.
Subscription2_g	Abonnements-id	Abonnements-id van het virtuele netwerk/de netwerkinterface/de virtuele machine waartoe het doel-IP-adres in de stroom behoort.
Region_s	Azure-regio van virtueel netwerk / netwerkinterface / virtuele machine waartoe het IP-adres in de stroom behoort.	Alleen van toepassing op FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow en UnknownPrivate flow-typen (stroomtypen waarbij slechts één kant Azure is).
Region1_s	Azure-regio	Azure-regio van virtueel netwerk / netwerkinterface / virtuele machine waartoe het bron-IP-adres in de stroom behoort.
Region2_s	Azure-regio	Azure-regio van het virtuele netwerk waartoe het doel-IP-adres in de stroom behoort.
NIC_s	<resourcegroup_Name>/<NetwerkInterfaceNaam>	NIC gekoppeld aan de VM die het verkeer verzendt of ontvangt.
NIC1_s	<resourcegroup_Name>/<NetwerkInterfaceNaam>	NIC die is gekoppeld aan het bron-IP-adres in de gegevensstroom.
NIC2_s	<resourcegroup_Name>/<NetwerkInterfaceNaam>	NIC die is gekoppeld aan het doel-IP-adres in de datastroom.
VM_s	<resourcegroup_Name>/<NetwerkInterfaceNaam>	Virtuele machine die is gekoppeld aan de netwerkinterface NIC_s.
VM1_s	<resourcegroup_Name>/<VirtueleMachineNaam>	Virtuele machine die is gekoppeld aan het bron-IP-adres in de stroom.
VM2_s	<resourcegroup_Name>/<VirtueleMachineNaam>	Virtuele machine die is gekoppeld aan het doel-IP-adres in de stroom.
Subnet_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet dat is gekoppeld aan de NIC_s.
Subnet1_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet dat is gekoppeld aan het bron-IP-adres in de stroom.
Subnet2_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet dat is gekoppeld aan het doel-IP-adres in de stroom.
ApplicationGateway1_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Toepassingsgateway die is gekoppeld aan het bron-IP-adres in de stroom.
ApplicationGateway2_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Toepassingsgateway die is gekoppeld aan het doel-IP-adres in de stroom.
ExpressRouteCircuit1_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-circuit-id: wanneer de stroom vanaf de site wordt verzonden via ExpressRoute.
ExpressRouteCircuit2_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-circuit-id: wanneer de stroom door ExpressRoute uit de cloud wordt ontvangen.
ExpressRouteCircuitPeeringType_s	- AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering	ExpressRoute-peeringtype dat betrokken is bij de stroom.
LoadBalancer1_s	<SubscriptionID/><ResourceGroupName>/<LoadBalancerName>	Load balancer gekoppeld aan het bron-IP-adres in de stroom.
LoadBalancer2_s	<SubscriptionID/><ResourceGroupName>/<LoadBalancerName>	Load balancer gekoppeld aan het doel-IP-adres in de stroom.
LocalNetworkGateway1_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Lokale netwerkgateway die is gekoppeld aan het bron-IP-adres in de stroom.
LocalNetworkGateway2_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Lokale netwerkgateway die is gekoppeld aan het doel-IP-adres in de stroom.
ConnectionType_s	- VNetPeering - VpnGateway - Express-route	Het verbindingstype.
ConnectionName_s	<SubscriptionID>/<ResourceGroupName>/<ConnectionName>	De naam van de verbinding. Voor het stroomtype P2S wordt het geformatteerd als <gateway name>_<VPN Client IP>.
ConnectingVNets_s	Door ruimte gescheiden lijst met namen van virtuele netwerken	In het geval van hub-and-spoke-topologie worden virtuele hub-netwerken hier ingevuld.
Country_s	Tweeletterige landcode (ISO 3166-1 alpha-2)	Ingevuld voor stroomtype ExternalPublic. Alle IP-adressen in PublicIPs_s veld delen dezelfde landcode.
AzureRegion_s	Locaties in Azure-regio	Ingevuld voor stroomtype AzurePublic. Alle IP-adressen in PublicIPs_s veld delen de Azure-regio.
ToegestaneInstromen_d		Aantal inkomende stromen die zijn toegestaan, wat het aantal stromen vertegenwoordigt dat hetzelfde viervoudige inkomende verkeer deelde naar de netwerkinterface waarop de stroom werd vastgelegd.
DeniedInFlows_d		Aantal inkomende stromen die zijn geweigerd. (Inkomend naar de netwerkinterface waarop de stroom is vastgelegd).
ToegestaneUitstromen_d		Aantal uitgaande stromen die zijn toegestaan (uitgaand naar de netwerkinterface waarop de stroom is vastgelegd).
DeniedOutFlows_d		Aantal uitgaande stromen die zijn geweigerd (Uitgaand naar de netwerkinterface waarop de stroom is vastgelegd).
FlowCount_d	Afgeschreven Totale stromen die overeenkwamen met hetzelfde viertupel. In het geval van de stroomtypen ExternalPublic en AzurePublic omvat de telling ook de stromen van verschillende PublicIP-adressen.
InboundPackets_d	Vertegenwoordigt pakketten die van de bestemming naar de bron van de stroom worden verzonden	Alleen ingevuld voor versie 2 van het stroomlogboekschema van de netwerkbeveiligingsgroep.
OutboundPackets_d	Vertegenwoordigt pakketten die worden verzonden van de bron naar de bestemming van de stroom	Alleen ingevuld voor versie 2 van het stroomlogboekschema van de netwerkbeveiligingsgroep.
InboundBytes_d	Vertegenwoordigt bytes die worden verzonden van de bestemming naar de bron van de stroom	Alleen ingevuld voor versie 2 van het stroomlogboekschema van de netwerkbeveiligingsgroep.
OutboundBytes_d	Vertegenwoordigt bytes die worden verzonden van de bron naar de bestemming van de stroom	Alleen ingevuld voor versie 2 van het stroomlogboekschema van de netwerkbeveiligingsgroep.
CompletedFlows_d		Alleen gevuld met een niet-nulwaarde voor versie 2 van het stroomlogboekschema voor netwerkbeveiligingsgroepen.
PublicIPs_s	< >PUBLIC_IP |<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES |<INBOUND_BYTES>	Ingangen gescheiden door balken.
SrcPublicIPs_s	< >SOURCE_PUBLIC_IP |<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES |<INBOUND_BYTES>	Ingangen gescheiden door balken.
DestPublicIPs_s	< >DESTINATION_PUBLIC_IP |<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES |<INBOUND_BYTES>	Ingangen gescheiden door balken.
IsFlowCapturedAtUDRHop_b	-Waar -Vals	Als de stroom is vastgelegd bij een UDR-hop, is de waarde True.

Belangrijk

Het schema voor verkeersanalyse is bijgewerkt op 22 augustus 2019. Het nieuwe schema biedt bron- en doel-IP's afzonderlijk, waardoor het niet meer nodig is om het FlowDirection veld te parseren, zodat query's eenvoudiger zijn. Het bijgewerkte schema had de volgende wijzigingen:

• FASchemaVersion_s Bijgewerkt van 1 naar 2.
• Afgeschafte velden: VMIP_s, Subscription_g, Region_s, , NSGRules_sSubnet_s, VM_sNIC_s, PublicIPs_s,FlowCount_d
• Nieuwe velden: SrcPublicIPs_s, DestPublicIPs_s, NSGRule_s

Schema voor openbare IP-gegevens

Verkeersanalyse biedt WHOIS-gegevens en geografische locatie voor alle openbare IP's in uw omgeving. Voor een schadelijk IP-adres biedt traffic analytics DNS-domein, bedreigingstype en threadbeschrijvingen zoals geïdentificeerd door Oplossingen voor beveiligingsinformatie van Microsoft. IP-gegevens worden gepubliceerd in uw Log Analytics-werkruimte, zodat u aangepaste query's kunt maken en er waarschuwingen op kunt plaatsen. U kunt ook vooraf ingevulde query's openen via het dashboard voor verkeersanalyse.

Verkeerslogboeken voor virtuele netwerken

De volgende tabel bevat informatie over het openbare IP-schema. Zie NTAIpDetails voor meer informatie.

Veld	Formaat	Opmerkingen
TableName-	NTAIpDetails	Tabel die gegevens over IP-gegevens voor verkeersanalyse bevat.
Subtype	Stroom Logboek	Subtype voor de stroomlogboeken. Gebruik alleen FlowLog. Andere waarden van SubType zijn voor de interne werking van het product.
FASchema-versie	3	Schemaversie. Geeft de versie van het logboek van de virtuele netwerkstroom niet weer.
FlowIntervalStartTime	Datum en tijd in UTC	Begintijd van het verwerkingsinterval van het stroomlogboek (de tijd vanaf wanneer het stroominterval wordt gemeten).
FlowIntervalEndTime	Datum en tijd in UTC	Eindtijd van het verwerkingsinterval voor stroomlogboeken.
Stroomtype	- AzurePublic - Extern Publiek - Kwaadaardige stroom	Zie Opmerkingen voor definities.
IP	Openbaar IP-adres	Openbaar IP-adres waarvan de gegevens in de record worden verstrekt.
PublicIPDetails	Informatie over IP	Voor AzurePublic IP: Azure-service die eigenaar is van het IP-adres of Microsoft Virtual Public IP voor het IP-adres 168.63.129.16. ExternalPublic/Malicious IP: WhoIS-informatie van het IP-adres.
Bedreigingstype	Dreiging van kwaadwillende IP	Alleen voor kwaadaardige IP's. Een van de bedreigingen uit de lijst met momenteel toegestane waarden. Zie Opmerkingen voor meer informatie.
DNSDomain	DNS-domein	Alleen voor kwaadaardige IP's. Domeinnaam die aan dit IP-adres is gekoppeld.
Beschrijving van de dreiging	Beschrijving van de dreiging	Alleen voor kwaadaardige IP's. Beschrijving van de dreiging die uitgaat van het kwaadaardige IP-adres.
Plaats	Locatie van het IP-adres	Voor Azure Public IP: Azure-regio van virtueel netwerk / netwerkinterface / virtuele machine waartoe het IP-adres behoort of Global voor IP 168.63.129.16. Voor extern openbaar IP-adres en kwaadaardig IP-adres: tweeletterige landcode (ISO 3166-1 alpha-2) waar het IP-adres zich bevindt.
URL	URL die overeenkomt met het kwaadaardige IP-adres	Alleen voor kwaadaardige IP's.
port	Poort die overeenkomt met het kwaadaardige IP-adres	Alleen voor kwaadaardige IP's.

Opmerking

• NTAIPDetails in stroomlogboeken van virtuele netwerken vervangt AzureNetworkAnalyticsIPDetails_CL die worden gebruikt in stroomlogboeken voor netwerkbeveiligingsgroepen.

• Verkeersanalyse kan elke kwaadaardige FQDN die aan het IP-adres is gekoppeld, registreren voor schadelijke stromen. Als u wilt filteren, gebruikt u de poort-, URL- en domeinvelden indien nodig.

Stroomlogboeken voor netwerkbeveiligingsgroepen

De volgende tabel bevat informatie over het openbare IP-schema.

Veld	Formaat	Opmerkingen
TableName-	AzureNetworkAnalyticsIPDetails_CL	Tabel die gegevens over IP-gegevens voor verkeersanalyse bevat.
SubType_s	Stroom Logboek	Subtype voor de stroomlogboeken. Gebruik alleen "FlowLog", andere waarden van SubType_s zijn voor de interne werking van het product.
FASchemaVersion_s	2	Schemaversie. Weerspiegelt niet de versie van het stroomlogboek van de netwerkbeveiligingsgroep.
FlowIntervalStartTime_t	Datum en tijd in UTC	Starttijd van het verwerkingsinterval van het stroomlogboek (tijd vanaf wanneer het stroominterval wordt gemeten).
FlowIntervalEndTime_t	Datum en tijd in UTC	Eindtijd van het verwerkingsinterval voor stroomlogboeken.
FlowType_s	- AzurePublic - Extern Publiek - Kwaadaardige stroom	Zie Opmerkingen voor definities.
IP	Openbaar IP-adres	Openbaar IP-adres waarvan de gegevens in de record worden verstrekt.
Plaats	Locatie van het IP-adres	- Voor Azure Public IP: Azure-regio van virtueel netwerk/netwerkinterface/virtuele machine waartoe het IP-adres behoort OF Global voor IP 168.63.129.16. - Voor extern openbaar IP-adres en kwaadwillig IP-adres: 2-letterige landcode waar het IP-adres zich bevindt (ISO 3166-1 alpha-2).
PublicIPDetails	Informatie over IP	- Voor AzurePublic IP: Azure-service die eigenaar is van het IP-adres of virtuele openbare IP-adressen van Microsoft voor 168.63.129.16. - ExternalPublic/Malicious IP: WhoIS-informatie van het IP-adres.
Bedreigingstype	Dreiging van kwaadwillende IP	Alleen voor schadelijke IP-adressen: een van de bedreigingen uit de lijst met momenteel toegestane waarden (zie Bedreigingstypen).
Beschrijving van de dreiging	Beschrijving van de dreiging	Alleen voor kwaadaardige IP's. Beschrijving van de dreiging die uitgaat van het kwaadaardige IP-adres.
DNSDomain	DNS-domein	Alleen voor kwaadaardige IP's. Domeinnaam die is gekoppeld aan het kwaadaardige IP-adres.
URL	URL die overeenkomt met het kwaadaardige IP-adres	Alleen voor kwaadaardige IP's.
port	Poort die overeenkomt met het kwaadaardige IP-adres	Alleen voor kwaadaardige IP's.

Bedreigingstypen

De volgende tabel bevat de momenteel toegestane waarden voor het ThreatType veld in het IP-detailsschema voor traffic analytics.

Waarde	Beschrijving
Botnet (netwerk van geïnfecteerde computers)	Indicator die een botnetknooppunt/lid detailleert.
C2	Indicator die een Command & Control-knooppunt van een botnet aangeeft.
CryptoMining	Verkeer met betrekking tot dit netwerkadres / URL is een indicatie van CyrptoMining / misbruik van bronnen.
DarkNet	Indicator van een Darknet-knooppunt/netwerk.
DDoS	Indicatoren met betrekking tot een actieve of aanstaande DDoS-campagne.
Kwaadwillige url	URL die malware weergeeft.
Malware (kwaadaardige software)	Indicator die een of meer schadelijke bestanden beschrijft.
Phishing	Indicatoren met betrekking tot een phishing-campagne.
Tussenpersoon	Indicator van een proxyservice.
PUA	Mogelijk ongewenste toepassing.
Volglijst	Een generieke bucket waarin indicatoren worden geplaatst wanneer niet precies kan worden vastgesteld wat de dreiging is of handmatige interpretatie vereist. WatchList Mag doorgaans niet worden gebruikt door partners die gegevens in het systeem indienen.

Opmerkingen

• In het geval van en AzurePublic stromen wordt het IP-adres van de virtuele Azure-machine dat eigendom is van ExternalPublic de klant ingevuld in VMIP_s het veld, terwijl de openbare IP-adressen in het PublicIPs_s veld worden ingevuld. Voor deze twee stroomtypen moet u de velden en VMIP_s in plaats van PublicIPs_s en SrcIP_s gebruikenDestIP_s. Voor AzurePublic- en ExternalPublic-IP-adressen worden we verder geaggregeerd, zodat het aantal records dat wordt opgenomen in de Log Analytics-werkruimte minimaal is. (Dit veld wordt afgeschaft. Gebruik SrcIP_s en DestIP_s, afhankelijk van of de virtuele machine de bron of de bestemming in de stroom was).
• Aan sommige veldnamen wordt een _s of _dtoegevoegd, die niet de bron en de bestemming aangeven, maar respectievelijk de gegevenstypen tekenreeks en decimaal aangeven.
• Op basis van de IP-adressen die betrokken zijn bij de stroom, categoriseren we de stromen in de volgende stroomtypen:
  • IntraVNet: Beide IP-adressen in de stroom bevinden zich in hetzelfde virtuele Azure-netwerk.
  • InterVNet: IP-adressen in de stroom bevinden zich in twee verschillende virtuele Azure-netwerken.
  • S2S (Site-To-Site): Een van de IP-adressen behoort tot een virtueel Azure-netwerk, terwijl het andere IP-adres behoort tot het klantnetwerk (Site) dat is verbonden met het virtuele netwerk via een VPN-gateway of ExpressRoute.
  • P2S (Punt-To-Site): Een van de IP-adressen behoort tot een virtueel Azure-netwerk, terwijl het andere IP-adres behoort tot het klantnetwerk (site) dat via een VPN-gateway is verbonden met het virtuele Azure-netwerk.
  • AzurePublic: Een van de IP-adressen behoort tot een virtueel Azure-netwerk, terwijl het andere IP-adres een openbaar Azure-IP-adres is dat eigendom is van Microsoft. Openbare IP-adressen die eigendom zijn van de klant, maken geen deel uit van dit stroomtype. Elke VM die eigendom is van de klant en die verkeer naar een Azure-service (opslageindpunt) verzendt, wordt bijvoorbeeld gecategoriseerd onder dit stroomtype.
  • ExternalPublic: Een van de IP-adressen behoort tot een virtueel Azure-netwerk, terwijl het andere IP-adres een openbaar IP-adres is dat niet eigendom is van Microsoft of een deel van een abonnement dat eigendom is van een klant die zichtbaar is voor traffic analytics en niet als schadelijk wordt gerapporteerd in de ASC-feeds die door traffic analytics worden gebruikt voor het verwerkingsinterval tussen FlowIntervalStartTime_t en FlowIntervalEndTime_t.
  • MaliciousFlow: Een van de IP-adressen behoort tot een virtueel Azure-netwerk, terwijl het andere IP-adres een openbaar IP-adres is dat niet eigendom is van Microsoft of deel uitmaakt van een abonnement dat zichtbaar is voor verkeersanalyse en wordt gerapporteerd als schadelijk in de ASC-feeds die traffic analytics verbruikt voor het verwerkingsinterval tussen FlowIntervalStartTime_t en FlowIntervalEndTime_t.
  • UnknownPrivate: Een van de IP-adressen behoort tot een virtueel Azure-netwerk, terwijl het andere IP-adres behoort tot het privé-IP-bereik dat is gedefinieerd in RFC 1918 en niet door verkeersanalyse kan worden toegewezen aan een site die eigendom is van de klant of een virtueel Azure-netwerk.
  • Unknown: Kan geen van de IP-adressen in de stroom toewijzen met de klanttopologie in Azure en on-premises (site).

Opmerking

Een abonnement is zichtbaar voor verkeersanalyse in een Log Analytics-werkruimte als het een stroomlogboek bevat dat is geconfigureerd voor die werkruimte.

Verwante inhoud

• Overzicht van Traffic Analytics
• Query's gebruiken in verkeersanalyse
• Gebruiksscenario's voor Traffic Analytics