Traffic Analytics-schema en -gegevensaggregatie

Traffic Analytics is een cloudoplossing die inzicht biedt in gebruikers- en toepassingsactiviteiten in cloudnetwerken. Traffic Analytics analyseert Azure Network Watcher-stroomlogboeken om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Met verkeersanalyse kunt u het volgende doen:

• Visualiseer netwerkactiviteit in uw Azure-abonnementen en identificeer hotspots.
• Identificeer beveiligingsrisico's en beveilig uw netwerk, met informatie zoals open poorten, toepassingen die toegang proberen te krijgen tot internet en virtuele machines (VM's) die verbinding maken met rogue netwerken.
• Inzicht in verkeersstroompatronen tussen Azure-regio's en internet om uw netwerkimplementatie te optimaliseren voor prestaties en capaciteit.
• Onjuiste netwerkconfiguraties aanwijzen die leiden tot mislukte verbindingen in uw netwerk.
• Netwerkgebruik kennen in bytes, pakketten of stromen.

Gegevensaggregatie

Stroomlogboeken voor netwerkbeveiligingsgroepen

• Alle stroomlogboeken in een netwerkbeveiligingsgroep tussen FlowIntervalStartTime_t en FlowIntervalEndTime_t worden vastgelegd met intervallen van één minuut als blobs in een opslagaccount.
• Het standaardverwerkingsinterval van verkeersanalyse is 60 minuten, wat betekent dat verkeersanalyse elk uur blobs uit het opslagaccount kiest voor aggregatie. Als er echter een verwerkingsinterval van 10 minuten is geselecteerd, kiest traffic analytics elke 10 minuten blobs uit het opslagaccount.
• Stromen met dezelfdeSource IP, Destination IP, Destination port, , NSG name, , NSG ruleen worden Transport layer protocol (TCP or UDP)Flow Directiongekoppeld aan één stroom door verkeersanalyse (Opmerking: bronpoort wordt uitgesloten voor aggregatie).
• Deze enkele record is ingericht (details in de onderstaande sectie) en opgenomen in Azure Monitor-logboeken door traffic analytics. Dit proces kan maximaal 1 uur duren.
• FlowStartTime_t veld geeft het eerste exemplaar aan van een dergelijke geaggregeerde stroom (dezelfde vier tuple) in het verwerkingsinterval van het stroomlogboek tussen FlowIntervalStartTime_t en FlowIntervalEndTime_t.
• Voor elke resource in verkeersanalyses zijn de stromen die worden aangegeven in Azure Portal totale stromen die door de netwerkbeveiligingsgroep worden gezien, maar in Azure Monitor-logboeken ziet de gebruiker alleen de enkele, gereduceerde record. Als u alle stromen wilt zien, gebruikt u het blob_id veld waarnaar vanuit de opslag kan worden verwezen. Het totale aantal stromen voor die record komt overeen met de afzonderlijke stromen die in de blob worden weergegeven.

Stroomlogboeken voor virtuele netwerken

• Alle stroomlogboeken tussen FlowIntervalStartTime en FlowIntervalEndTime worden vastgelegd met intervallen van één minuut als blobs in een opslagaccount.
• Het standaardverwerkingsinterval van verkeersanalyse is 60 minuten, wat betekent dat verkeersanalyse elk uur blobs uit het opslagaccount kiest voor aggregatie. Als er echter een verwerkingsinterval van 10 minuten is geselecteerd, kiest traffic analytics elke 10 minuten blobs uit het opslagaccount.
• Stromen met dezelfdeSource IP, Destination IP, Destination port, , NSG name, , NSG ruleen worden Transport layer protocol (TCP or UDP)Flow Directiongekoppeld aan één stroom door verkeersanalyse (Opmerking: bronpoort wordt uitgesloten voor aggregatie).
• Deze enkele record is ingericht (details in de onderstaande sectie) en opgenomen in Azure Monitor-logboeken door traffic analytics. Dit proces kan maximaal 1 uur duren.
• FlowStartTime veld geeft het eerste exemplaar aan van een dergelijke geaggregeerde stroom (dezelfde vier tuple) in het verwerkingsinterval van het stroomlogboek tussen FlowIntervalStartTime en FlowIntervalEndTime.
• Voor elke resource in verkeersanalyse zijn de stromen die worden aangegeven in Azure Portal totale stromen te zien, maar in Azure Monitor-logboeken ziet de gebruiker alleen de enkele, gereduceerde record. Als u alle stromen wilt zien, gebruikt u het blob_id veld waarnaar vanuit de opslag kan worden verwezen. Het totale aantal stromen voor die record komt overeen met de afzonderlijke stromen die in de blob worden weergegeven.

Met de volgende query kunt u in de afgelopen 30 dagen alle subnetten bekijken die communiceren met niet-Azure openbare IP-adressen.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet1_s, Subnet2_s  

Gebruik de volgende query om het blobpad voor de stromen in de vorige query weer te geven:

let TableWithBlobId =
(AzureNetworkAnalytics_CL
   | where SubType_s == "Topology" and ResourceType == "NetworkSecurityGroup" and DiscoveryRegion_s == Region_s and IsFlowEnabled_b
   | extend binTime = bin(TimeProcessed_t, 6h),
            nsgId = strcat(Subscription_g, "/", Name_s),
            saNameSplit = split(FlowLogStorageAccount_s, "/")
   | extend saName = iif(arraylength(saNameSplit) == 3, saNameSplit[2], '')
   | distinct nsgId, saName, binTime)
| join kind = rightouter (
   AzureNetworkAnalytics_CL
   | where SubType_s == "FlowLog"  
   | extend binTime = bin(FlowEndTime_t, 6h)
) on binTime, $left.nsgId == $right.NSGList_s  
| extend blobTime = format_datetime(todatetime(FlowIntervalStartTime_t), "yyyy MM dd hh")
| extend nsgComponents = split(toupper(NSGList_s), "/"), dateTimeComponents = split(blobTime, " ")
| extend BlobPath = strcat("https://", saName,
                        "@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/", nsgComponents[0],
                        "/RESOURCEGROUPS/", nsgComponents[1],
                        "/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/", nsgComponents[2],
                        "/y=", dateTimeComponents[0], "/m=", dateTimeComponents[1], "/d=", dateTimeComponents[2], "/h=", dateTimeComponents[3],
                        "/m=00/macAddress=", replace(@"-", "", MACAddress_s),
                        "/PT1H.json")
| project-away nsgId, saName, binTime, blobTime, nsgComponents, dateTimeComponents;

TableWithBlobId
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s , BlobPath

Met de vorige query wordt een URL gemaakt om rechtstreeks toegang te krijgen tot de blob. De URL met tijdelijke aanduidingen is als volgt:

https://{storageAccountName}@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroup}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Traffic Analytics-schema

Traffic Analytics is gebouwd op basis van Azure Monitor-logboeken, zodat u aangepaste query's kunt uitvoeren op gegevens die zijn ingericht door traffic analytics en waarschuwingen kunt instellen.

Stroomlogboeken voor netwerkbeveiligingsgroepen

De volgende tabel bevat de velden in het schema en wat ze betekenen voor stroomlogboeken voor netwerkbeveiligingsgroepen.

Veld	Notatie	Opmerkingen
TableName	AzureNetworkAnalytics_CL	Tabel voor verkeersanalysegegevens.
SubType_s	FlowLog	Subtype voor de stroomlogboeken. Alleen FlowLog gebruiken, andere waarden van SubType_s zijn voor intern gebruik.
FASchemaVersion_s	2	Schemaversie. Komt niet overeen met de stroomlogboekversie van de netwerkbeveiligingsgroep.
TimeProcessed_t	Datum en tijd in UTC	Tijdstip waarop de verkeersanalyse de onbewerkte stroomlogboeken van het opslagaccount heeft verwerkt.
FlowIntervalStartTime_t	Datum en tijd in UTC	Begintijd van het verwerkingsinterval voor stroomlogboeken (tijd van waaruit het stroominterval wordt gemeten).
FlowIntervalEndTime_t	Datum en tijd in UTC	Eindtijd van het verwerkingsinterval voor stroomlogboeken.
FlowStartTime_t	Datum en tijd in UTC	Eerste exemplaar van de stroom (die wordt geaggregeerd) in het verwerkingsinterval van het stroomlogboek tussen FlowIntervalStartTime_t en FlowIntervalEndTime_t. Deze stroom wordt geaggregeerd op basis van aggregatielogica.
FlowEndTime_t	Datum en tijd in UTC	Laatste exemplaar van de stroom (die wordt geaggregeerd) in het verwerkingsinterval van het stroomlogboek tussen FlowIntervalStartTime_t en FlowIntervalEndTime_t. In termen van stroomlogboek v2 bevat dit veld de tijd waarop de laatste stroom met dezelfde vier tuple is gestart (gemarkeerd als B in de onbewerkte stroomrecord).
FlowType_s	- IntraVNet - InterVNet -S2S - P2S - AzurePublic - ExternalPublic - Schadelijke stroom - Onbekend privé -Onbekende	Zie Notities voor definities.
SrcIP_s	IP-adres van bron	Leeg in AzurePublic- en ExternalPublic-stromen.
DestIP_s	IP-adres van doel	Leeg in AzurePublic- en ExternalPublic-stromen.
VMIP_s	IP van de VIRTUELE machine	Wordt gebruikt voor AzurePublic- en ExternalPublic-stromen.
DestPort_d	Doelpoort	Poort waarop verkeer binnenkomt.
L4Protocol_s	-T -U	Transportprotocol. T = TCP U = UDP.
L7Protocol_s	Protocolnaam	Afgeleid van doelpoort.
FlowDirection_s	- I = Inkomend verkeer - O = Uitgaand	Richting van de stroom: in of uit netwerkbeveiligingsgroep per stroomlogboek.
FlowStatus_s	- A = Toegestaan - D = Geweigerd	Status van de stroom, ongeacht of dit is toegestaan of geweigerd door de netwerkbeveiligingsgroep per stroomlogboek.
NSGList_s	<SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME>	Netwerkbeveiligingsgroep die is gekoppeld aan de stroom.
NSGRules_s	<Indexwaarde 0> |<>NSG_RULENAME|<Stroomrichting> |<Stroomstatus> |<FlowCount ProcessedByRule>	Netwerkbeveiligingsgroepregel die deze stroom heeft toegestaan of geweigerd.
NSGRule_s	NSG_RULENAME	Netwerkbeveiligingsgroepregel die deze stroom heeft toegestaan of geweigerd.
NSGRuleType_s	- Door de gebruiker gedefinieerd -Standaard	Het type netwerkbeveiligingsgroepregel dat door de stroom wordt gebruikt.
MACAddress_s	MAC-adres	MAC-adres van de NIC waarop de stroom is vastgelegd.
Subscription_g	Het abonnement op het virtuele Azure-netwerk/de netwerkinterface/virtuele machine wordt in dit veld ingevuld	Alleen van toepassing op FlowType = S2S-, P2S-, AzurePublic-, ExternalPublic-, MaliciousFlow- en UnknownPrivate-stroomtypen (stroomtypen waarbij slechts één zijde Azure is).
Subscription1_g	Abonnements-id	Abonnements-id van virtueel netwerk/netwerkinterface/virtuele machine waartoe het bron-IP-adres in de stroom behoort.
Subscription2_g	Abonnements-id	Abonnements-id van virtueel netwerk/netwerkinterface/virtuele machine waartoe het doel-IP-adres in de stroom behoort.
Region_s	Azure-regio van virtueel netwerk/netwerkinterface/virtuele machine waartoe het IP-adres in de stroom behoort.	Alleen van toepassing op FlowType = S2S-, P2S-, AzurePublic-, ExternalPublic-, MaliciousFlow- en UnknownPrivate-stroomtypen (stroomtypen waarbij slechts één zijde Azure is).
Region1_s	Azure-regio	Azure-regio van virtueel netwerk/netwerkinterface/virtuele machine waartoe het bron-IP-adres in de stroom behoort.
Region2_s	Azure-regio	De Azure-regio van het virtuele netwerk waartoe het doel-IP-adres in de stroom behoort.
NIC_s	<>resourcegroup_Name/<NetworkInterfaceName>	NIC die is gekoppeld aan de VM die het verkeer verzendt of ontvangt.
NIC1_s	<>resourcegroup_Name/<NetworkInterfaceName>	NIC die is gekoppeld aan het bron-IP-adres in de stroom.
NIC2_s	<>resourcegroup_Name/<NetworkInterfaceName>	NIC die is gekoppeld aan het doel-IP-adres in de stroom.
VM_s	<>resourcegroup_Name/<NetworkInterfaceName>	Virtuele machine die is gekoppeld aan de netwerkinterface NIC_s.
VM1_s	<>resourcegroup_Name/<VirtualMachineName>	Virtuele machine die is gekoppeld aan het bron-IP-adres in de stroom.
VM2_s	<>resourcegroup_Name/<VirtualMachineName>	Virtuele machine die is gekoppeld aan het doel-IP-adres in de stroom.
Subnet_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet dat is gekoppeld aan de NIC_s.
Subnet1_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet dat is gekoppeld aan het bron-IP-adres in de stroom.
Subnet2_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet dat is gekoppeld aan het doel-IP in de stroom.
ApplicationGateway1_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Toepassingsgateway die is gekoppeld aan het bron-IP-adres in de stroom.
ApplicationGateway2_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Toepassingsgateway die is gekoppeld aan het doel-IP-adres in de stroom.
ExpressRouteCircuit1_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-circuit-id: wanneer de stroom wordt verzonden vanaf de site via ExpressRoute.
ExpressRouteCircuit2_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-circuit-id: wanneer de stroom wordt ontvangen van de cloud door ExpressRoute.
ExpressRouteCircuitPeeringType_s	- AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering	ExpressRoute-peeringtype dat betrokken is bij de stroom.
LoadBalancer1_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Load balancer die is gekoppeld aan het bron-IP-adres in de stroom.
LoadBalancer2_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Load balancer die is gekoppeld aan het doel-IP-adres in de stroom.
LocalNetworkGateway1_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Lokale netwerkgateway die is gekoppeld aan het bron-IP-adres in de stroom.
LocalNetworkGateway2_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Lokale netwerkgateway die is gekoppeld aan het doel-IP in de stroom.
Verbinding maken ionType_s	- VNetPeering - VpnGateway - ExpressRoute	Het type onnection.
Verbinding maken ionName_s	<SubscriptionID>/<ResourceGroupName>/<Verbinding maken ionName>	De verbindingsnaam. Voor stroomtype P2S is deze opgemaakt als <gatewaynaam-VPN-client-IP>><.
Verbinding maken ingVNets_s	Door ruimte gescheiden lijst met namen van virtuele netwerken	In het geval van hub- en spoke-topologie worden virtuele hubnetwerken hier ingevuld.
Country_s	Landcode van twee letters (ISO 3166-1 alfa-2)	Ingevuld voor stroomtype ExternalPublic. Alle IP-adressen in PublicIPs_s veld delen dezelfde landcode.
AzureRegion_s	Locaties van Azure-regio's	Ingevuld voor stroomtype AzurePublic. Alle IP-adressen in PublicIPs_s veld delen de Azure-regio.
AllowedInFlows_d		Het aantal binnenkomende stromen dat is toegestaan, wat het aantal stromen aangeeft dat dezelfde binnenkomende vier tuples heeft gedeeld met de netwerkinterface waarop de stroom is vastgelegd.
DeniedInFlows_d		Het aantal binnenkomende stromen dat is geweigerd. (Inkomend naar de netwerkinterface waarop de stroom is vastgelegd).
AllowedOutFlows_d		Het aantal uitgaande stromen dat is toegestaan (uitgaand naar de netwerkinterface waarop de stroom is vastgelegd).
DeniedOutFlows_d		Het aantal uitgaande stromen dat is geweigerd (uitgaand naar de netwerkinterface waarop de stroom is vastgelegd).
FlowCount_d	Afgeschaft. Totaal aantal stromen dat overeenkomt met dezelfde vier tuples. In het geval van stroomtypen ExternalPublic en AzurePublic bevat het aantal ook de stromen van verschillende PublicIP-adressen.
InboundPackets_d	Vertegenwoordigt pakketten die van de bestemming naar de bron van de stroom worden verzonden	Alleen ingevuld voor versie 2 van het stroomlogboekschema voor netwerkbeveiligingsgroepen.
OutboundPackets_d	Vertegenwoordigt pakketten die van de bron naar het doel van de stroom worden verzonden	Alleen ingevuld voor versie 2 van het stroomlogboekschema voor netwerkbeveiligingsgroepen.
InboundBytes_d	Vertegenwoordigt bytes die van de bestemming naar de bron van de stroom zijn verzonden	Alleen ingevuld voor versie 2 van het stroomlogboekschema voor netwerkbeveiligingsgroepen.
OutboundBytes_d	Vertegenwoordigt bytes die van de bron naar het doel van de stroom zijn verzonden	Alleen ingevuld voor versie 2 van het stroomlogboekschema voor netwerkbeveiligingsgroepen.
CompletedFlows_d		Alleen gevuld met niet-nulwaarde voor versie 2 van het stroomlogboekschema van de netwerkbeveiligingsgroep.
PublicIPs_s	<>PUBLIC_IP |<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES |<INBOUND_BYTES>	Vermeldingen gescheiden door balken.
SrcPublicIPs_s	<>SOURCE_PUBLIC_IP |<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES |<INBOUND_BYTES>	Vermeldingen gescheiden door balken.
DestPublicIPs_s	<>DESTINATION_PUBLIC_IP |<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES |<INBOUND_BYTES>	Vermeldingen gescheiden door balken.
IsFlowCapturedAtUDRHop_b	-Waar -Valse	Als de stroom is vastgelegd bij een UDR-hop, is de waarde Waar.

Belangrijk

Het traffic analytics-schema is bijgewerkt op 22 augustus 2019. Het nieuwe schema biedt bron- en doel-IP-adressen afzonderlijk, waardoor het niet meer nodig is om het FlowDirection veld te parseren, zodat query's eenvoudiger zijn. Het bijgewerkte schema had de volgende wijzigingen:

• FASchemaVersion_s bijgewerkt van 1 tot en met 2.
• Afgeschafte velden: , , , , , Subnet_s, VM_sNIC_sPublicIPs_sNSGRules_sRegion_sSubscription_gVMIP_sFlowCount_d
• Nieuwe velden: SrcPublicIPs_s, DestPublicIPs_sNSGRule_s

Stroomlogboeken voor virtuele netwerken

De volgende tabel bevat de velden in het schema en wat ze betekenen voor stroomlogboeken van virtuele netwerken.

Veld	Notatie	Opmerkingen
TableName	NTANetAnalytics	Tabel voor verkeersanalysegegevens.
Subtype	FlowLog	Subtype voor de stroomlogboeken. Alleen FlowLog gebruiken, andere waarden van SubType zijn voor intern gebruik.
FASchemaVersion	3	Schemaversie. Geeft geen versie van het virtuele netwerkstroomlogboek weer.
TimeProcessed	Datum en tijd in UTC	Tijdstip waarop de verkeersanalyse de onbewerkte stroomlogboeken van het opslagaccount heeft verwerkt.
FlowIntervalStartTime	Datum en tijd in UTC	Begintijd van het verwerkingsinterval voor stroomlogboeken (tijd van waaruit het stroominterval wordt gemeten).
FlowIntervalEndTime	Datum en tijd in UTC	Eindtijd van het verwerkingsinterval voor stroomlogboeken.
FlowStartTime	Datum en tijd in UTC	Eerste exemplaar van de stroom (die wordt geaggregeerd) in het verwerkingsinterval van het stroomlogboek tussen FlowIntervalStartTime en FlowIntervalEndTime. Deze stroom wordt geaggregeerd op basis van aggregatielogica.
FlowEndTime	Datum en tijd in UTC	Laatste exemplaar van de stroom (die wordt geaggregeerd) in het verwerkingsinterval van het stroomlogboek tussen FlowIntervalStartTime en FlowIntervalEndTime. In termen van stroomlogboek v2 bevat dit veld de tijd waarop de laatste stroom met dezelfde vier tuple is gestart (gemarkeerd als B in de onbewerkte stroomrecord).
FlowType	- IntraVNet - InterVNet -S2S - P2S - AzurePublic - ExternalPublic - Schadelijke stroom - Onbekend privé -Onbekende	Zie Notities voor definities.
SrcIP	IP-adres van bron	Leeg in AzurePublic- en ExternalPublic-stromen.
DestIP	IP-adres van doel	Leeg in AzurePublic- en ExternalPublic-stromen.
TargetResourceId	ResourceGroupName/ResourceName	De id van de resource waarvoor stroomlogboekregistratie en verkeersanalyse is ingeschakeld.
TargetResourceType	VirtualNetwork/Subnet/NetworkInterface	Type resource waarvoor stroomlogboekregistratie en verkeersanalyse is ingeschakeld (virtueel netwerk, subnet, NIC of netwerkbeveiligingsgroep).
FlowLogResourceId	ResourceGroupName/NetworkWatcherName/FlowLogName	De resource-id van het stroomlogboek.
DestPort	Doelpoort	Poort waarop verkeer binnenkomt.
L4Protocol	-T -U	Transportprotocol. T = TCP U = UDP
L7Protocol	Protocolnaam	Afgeleid van doelpoort.
FlowDirection	- I = Inkomend verkeer - O = Uitgaand	Richting van de stroom: in of uit de netwerkbeveiligingsgroep per stroomlogboek.
FlowStatus	- A = toegestaan - D = Geweigerd	Status van stroom: toegestaan of geweigerd door netwerkbeveiligingsgroep per stroomlogboek.
NSGList	<SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME>	Netwerkbeveiligingsgroep die is gekoppeld aan de stroom.
NSGRule	NSG_RULENAME	Regel voor netwerkbeveiligingsgroepen die de stroom heeft toegestaan of geweigerd.
NSGRuleType	- Door de gebruiker gedefinieerd -Standaard	Het type netwerkbeveiligingsgroepregel dat door de stroom wordt gebruikt.
MACAddress	MAC-adres	MAC-adres van de NIC waarop de stroom is vastgelegd.
SrcSubscription	Abonnements-id	Abonnements-id van virtueel netwerk/netwerkinterface/virtuele machine waartoe het bron-IP-adres in de stroom behoort.
DestSubscription	Abonnements-id	Abonnements-id van virtueel netwerk/netwerkinterface/virtuele machine waartoe het doel-IP-adres in de stroom behoort.
SrcRegion	Azure-regio	Azure-regio van virtueel netwerk/netwerkinterface/virtuele machine waartoe het bron-IP-adres in de stroom behoort.
DestRegion	Azure-regio	Azure-regio van het virtuele netwerk waartoe het doel-IP-adres in de stroom behoort.
SrcNIC	<>resourcegroup_Name/<NetworkInterfaceName>	NIC die is gekoppeld aan het bron-IP-adres in de stroom.
DestNIC	<>resourcegroup_Name/<NetworkInterfaceName>	NIC die is gekoppeld aan het doel-IP-adres in de stroom.
SrcVM	<>resourcegroup_Name/<VirtualMachineName>	Virtuele machine die is gekoppeld aan het bron-IP-adres in de stroom.
DestVM	<>resourcegroup_Name/<VirtualMachineName>	Virtuele machine die is gekoppeld aan het doel-IP-adres in de stroom.
SrcSubnet	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet dat is gekoppeld aan het bron-IP-adres in de stroom.
DestSubnet	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet dat is gekoppeld aan het doel-IP-adres in de stroom.
SrcApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Toepassingsgateway die is gekoppeld aan het bron-IP-adres in de stroom.
DestApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Toepassingsgateway die is gekoppeld aan het doel-IP-adres in de stroom.
SrcExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-circuit-id: wanneer de stroom wordt verzonden vanaf de site via ExpressRoute.
DestExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-circuit-id: wanneer de stroom wordt ontvangen van de cloud door ExpressRoute.
ExpressRouteCircuitPeeringType	- AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering	ExpressRoute-peeringtype dat betrokken is bij de stroom.
SrcLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Load balancer die is gekoppeld aan het bron-IP-adres in de stroom.
DestLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Load balancer die is gekoppeld aan het doel-IP-adres in de stroom.
SrcLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Lokale netwerkgateway die is gekoppeld aan het bron-IP-adres in de stroom.
DestLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Lokale netwerkgateway die is gekoppeld aan het doel-IP-adres in de stroom.
Verbinding maken ionType	- VNetPeering - VpnGateway - ExpressRoute	Het verbindingstype.
Verbinding maken ionName	<SubscriptionID>/<ResourceGroupName>/<Verbinding maken ionName>	De verbindingsnaam. Voor stroomtype P2S wordt deze opgemaakt als <GatewayName>_<VPNClientIP>
Verbinding maken ingVNets	Door ruimte gescheiden lijst met namen van virtuele netwerken.	In hub- en spoke-topologie worden virtuele hubnetwerken hier ingevuld.
Land	Landcode van twee letters (ISO 3166-1 alfa-2)	Ingevuld voor stroomtype ExternalPublic. Alle IP-adressen in het veld PublicIPs delen dezelfde landcode.
AzureRegio	Locaties van Azure-regio's	Ingevuld voor stroomtype AzurePublic. Alle IP-adressen in het veld PublicIPs delen de Azure-regio.
AllowedInFlows	-	Het aantal binnenkomende stromen dat is toegestaan, wat het aantal stromen aangeeft dat dezelfde binnenkomende vier tuples heeft gedeeld met de netwerkinterface waarop de stroom is vastgelegd.
DeniedInFlows	-	Het aantal binnenkomende stromen dat is geweigerd. (Inkomend naar de netwerkinterface waarop de stroom is vastgelegd).
AllowedOutFlows	-	Het aantal uitgaande stromen dat is toegestaan (uitgaand naar de netwerkinterface waarop de stroom is vastgelegd).
DeniedOutFlows	-	Het aantal uitgaande stromen dat is geweigerd (uitgaand naar de netwerkinterface waarop de stroom is vastgelegd).
PacketsDestToSrc	Vertegenwoordigt pakketten die van de bestemming naar de bron van de stroom worden verzonden	Alleen ingevuld voor versie 2 van het stroomlogboekschema voor netwerkbeveiligingsgroepen.
PacketsSrcToDest	Vertegenwoordigt pakketten die van de bron naar het doel van de stroom worden verzonden	Alleen ingevuld voor versie 2 van het stroomlogboekschema voor netwerkbeveiligingsgroepen.
BytesDestToSrc	Vertegenwoordigt bytes die van de bestemming naar de bron van de stroom zijn verzonden	Alleen ingevuld voor versie 2 van het stroomlogboekschema voor netwerkbeveiligingsgroepen.
BytesSrcToDest	Vertegenwoordigt bytes die van de bron naar het doel van de stroom zijn verzonden	Alleen ingevuld voor versie 2 van het stroomlogboekschema voor netwerkbeveiligingsgroepen.
CompletedFlows	-	Alleen gevuld met niet-nulwaarde voor het stroomlogboekschema van de netwerkbeveiligingsgroep versie 2.
SrcPublicIPs	<>SOURCE_PUBLIC_IP |<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES |<INBOUND_BYTES>	Vermeldingen gescheiden door balken.
DestPublicIPs	<>DESTINATION_PUBLIC_IP |<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES |<INBOUND_BYTES>	Vermeldingen gescheiden door balken.
FlowEncryption	-Gecodeerde -Ongecodeerde - Niet-ondersteunde hardware - Software niet gereed - Neerzetten vanwege geen versleuteling - Detectie wordt niet ondersteund - Bestemming op dezelfde host - Terugvallen op geen versleuteling.	Versleutelingsniveau van stromen.
IsFlowCapturedAtUDRHop	-Waar -Valse	Als de stroom is vastgelegd bij een UDR-hop, is de waarde Waar.

Notitie

NTANetAnalytics in stroomlogboeken voor virtuele netwerken vervangt AzureNetworkAnalytics_CL gebruikt in stroomlogboeken van netwerkbeveiligingsgroepen.

Schema voor openbare IP-details

Traffic Analytics biedt WHOIS-gegevens en geografische locatie voor alle openbare IP-adressen in uw omgeving. Voor een schadelijk IP-adres biedt verkeersanalyse DNS-domein, bedreigingstype en threadbeschrijvingen zoals geïdentificeerd door microsoft-oplossingen voor beveiligingsinformatie. IP-gegevens worden gepubliceerd naar uw Log Analytics-werkruimte, zodat u aangepaste query's kunt maken en er waarschuwingen op kunt plaatsen. U kunt ook vooraf ingevulde query's openen via het dashboard voor traffic analytics.

De volgende tabel bevat informatie over het openbare IP-schema:

Stroomlogboeken voor netwerkbeveiligingsgroepen

Veld	Notatie	Opmerkingen
TableName	AzureNetworkAnalyticsIPDetails_CL	Tabel met gegevens over IP-gegevens van traffic analytics.
SubType_s	FlowLog	Subtype voor de stroomlogboeken. Gebruik alleen FlowLog, andere waarden van SubType_s zijn voor interne werking van het product.
FASchemaVersion_s	2	Schemaversie. Komt niet overeen met de stroomlogboekversie van de netwerkbeveiligingsgroep.
FlowIntervalStartTime_t	Datum en tijd in UTC	Begintijd van het verwerkingsinterval voor stroomlogboeken (tijd van waaruit het stroominterval wordt gemeten).
FlowIntervalEndTime_t	Datum en tijd in UTC	Eindtijd van het verwerkingsinterval voor stroomlogboeken.
FlowType_s	- AzurePublic - ExternalPublic - Schadelijke stroom	Zie Notities voor definities.
IP	Openbare IP	Openbaar IP-adres waarvan de gegevens in de record worden verstrekt.
Location	Locatie van het IP-adres	- Voor openbaar Ip-adres van Azure: Azure-regio van virtuele netwerk-/netwerkinterface/virtuele machine waartoe het IP-adres behoort OF Global voor IP 168.63.129.16. - Voor extern openbaar IP-adres en schadelijk IP-adres: landcode van 2 letters waar IP zich bevindt (ISO 3166-1 alfa-2).
PublicIPDetails	Informatie over IP	- Voor AzurePublic IP: Azure Service die eigenaar is van het IP- of virtuele openbare IP-adres van Microsoft voor 168.63.129.16. - ExternalPublic/Malicious IP: Wie IS-gegevens van het IP-adres.
ThreatType	Bedreiging die wordt veroorzaakt door schadelijk IP-adres	Alleen voor schadelijke IP-adressen: een van de bedreigingen uit de lijst met momenteel toegestane waarden (beschreven in de volgende tabel).
ThreatDescription	Beschrijving van de bedreiging	Alleen voor schadelijke IP-adressen. Beschrijving van de bedreiging die wordt veroorzaakt door het schadelijke IP-adres.
DNSDomain	DNS-domein	Alleen voor schadelijke IP-adressen. Domeinnaam die is gekoppeld aan het schadelijke IP-adres.
Url	URL die overeenkomt met het schadelijke IP-adres	Alleen voor schadelijke IP-adressen
Poort	Poort die overeenkomt met het schadelijke IP-adres	Alleen voor schadelijke IP-adressen

Stroomlogboeken voor virtuele netwerken

Veld	Notatie	Opmerkingen
TableName	NTAIpDetails	Tabel met gegevens over IP-gegevens van traffic analytics.
Subtype	FlowLog	Subtype voor de stroomlogboeken. Alleen FlowLog gebruiken. Andere waarden van SubType zijn voor interne werking van het product.
FASchemaVersion	2	Schemaversie. Geeft geen versie van het virtuele netwerkstroomlogboek weer.
FlowIntervalStartTime	Datum en tijd in UTC	Begintijd van het verwerkingsinterval voor stroomlogboeken (de tijd van waaruit het stroominterval wordt gemeten).
FlowIntervalEndTime	Datum en tijd in UTC	Eindtijd van het verwerkingsinterval voor stroomlogboeken.
FlowType	- AzurePublic - ExternalPublic - Schadelijke stroom	Zie Notities voor definities.
IP	Openbare IP	Openbaar IP-adres waarvan de gegevens in de record worden verstrekt.
PublicIPDetails	Informatie over IP	Voor AzurePublic IP: Azure Service die eigenaar is van het IP-adres of het openbare IP-adres van Microsoft voor het IP-adres 168.63.129.16. ExternalPublic/Malicious IP: Wie IS-gegevens van het IP-adres.
ThreatType	Bedreiging die wordt veroorzaakt door schadelijk IP-adres	Alleen voor schadelijke IP-adressen. Een van de bedreigingen uit de lijst met momenteel toegestane waarden. Zie Notities voor meer informatie.
DNSDomain	DNS-domein	Alleen voor schadelijke IP-adressen. Domeinnaam die is gekoppeld aan dit IP-adres.
ThreatDescription	Beschrijving van de bedreiging	Alleen voor schadelijke IP-adressen. Beschrijving van de bedreiging die wordt veroorzaakt door het schadelijke IP-adres.
Location	Locatie van het IP-adres	Voor openbaar Ip-adres van Azure: Azure-regio van virtueel netwerk/netwerkinterface/virtuele machine waartoe het IP-adres behoort of globaal voor IP 168.63.129.16. Voor extern openbaar IP-adres en schadelijk IP-adres: landcode van twee letters (ISO 3166-1 alfa-2) waar IP zich bevindt.
Url	URL die overeenkomt met het schadelijke IP-adres	Alleen voor schadelijke IP-adressen .
Poort	Poort die overeenkomt met het schadelijke IP-adres	Alleen voor schadelijke IP-adressen.

Notitie

NTAIPDetails in stroomlogboeken voor virtuele netwerken vervangt AzureNetworkAnalyticsIPDetails_CL gebruikt in stroomlogboeken van netwerkbeveiligingsgroepen.

Lijst met bedreigingstypen:

Weergegeven als	Beschrijving
Botnet	Indicator voor een botnetknooppunt/lid.
C2	Indicator met details van een Command & Control-knooppunt van een botnet.
CryptoMining	Verkeer met dit netwerkadres/URL is een indicatie van CyrptoMining/Resource-misbruik.
DarkNet	Indicator van een Darknet-knooppunt/netwerk.
Ddos	Indicatoren met betrekking tot een actieve of aanstaande DDoS-campagne.
MaliciousUrl	URL die malware bedient.
Malware	Indicator die een schadelijk bestand of bestand beschrijft.
Phishing	Indicatoren met betrekking tot een phishingcampagne.
Proxy	Indicator van een proxyservice.
PUA	Mogelijk ongewenste toepassing.
Watchlist	Een algemene bucket waarin indicatoren worden geplaatst wanneer deze niet precies kunnen worden bepaald wat de bedreiging is of waarvoor handmatige interpretatie is vereist. WatchList mag doorgaans niet worden gebruikt door partners die gegevens naar het systeem verzenden.

Opmerkingen

• In het geval van en ExternalPublic stromen wordt het IP-adres van AzurePublic de virtuele Azure-machine van de klant ingevuldVMIP_s, terwijl de openbare IP-adressen in het PublicIPs_s veld worden ingevuld. Voor deze twee stroomtypen moet u deze gebruiken VMIP_s en PublicIPs_s in plaats van SrcIP_sDestIP_s velden. Voor Ip-adressen van AzurePublic en ExternalPublic voegen we verder samen, zodat het aantal records dat is opgenomen in de Log Analytics-werkruimte minimaal is. (Dit veld wordt afgeschaft. Gebruik SrcIP_ en DestIP_s, afhankelijk van of de virtuele machine de bron of het doel in de stroom was).
• Sommige veldnamen worden toegevoegd aan _s of _d, die niet de bron en het doel aangeven, maar de tekenreeks en het decimaalteken aangeven.
• Op basis van de IP-adressen die betrokken zijn bij de stroom, categoriseren we de stromen in de volgende stroomtypen:
  • IntraVNet: Beide IP-adressen in de stroom bevinden zich in hetzelfde virtuele Azure-netwerk.
  • InterVNet: IP-adressen in de stroom bevinden zich in twee verschillende virtuele Azure-netwerken.
  • S2S (Site-naar-site): Een van de IP-adressen behoort tot een virtueel Azure-netwerk, terwijl het andere IP-adres deel uitmaakt van het klantnetwerk (site) dat is verbonden met het virtuele netwerk via VPN-gateway of ExpressRoute.
  • P2S (Punt-naar-site): Een van de IP-adressen behoort tot een virtueel Azure-netwerk, terwijl het andere IP-adres deel uitmaakt van het klantnetwerk (site) dat is verbonden met het virtuele Azure-netwerk via VPN-gateway.
  • AzurePublic: Een van de IP-adressen behoort tot een virtueel Azure-netwerk, terwijl het andere IP-adres een openbaar Azure-IP-adres is dat eigendom is van Microsoft. Openbare IP-adressen van de klant maken geen deel uit van dit stroomtype. Elke vm die eigendom is van de klant, die verkeer naar een Azure-service (opslageindpunt) verzendt, wordt bijvoorbeeld gecategoriseerd onder dit stroomtype.
  • ExternalPublic: Een van de IP-adressen behoort tot een virtueel Azure-netwerk, terwijl het andere IP-adres een openbaar IP-adres is dat zich niet in Azure bevindt en niet als schadelijk wordt gerapporteerd in de ASC-feeds die verkeersanalyse gebruikt voor het verwerkingsinterval tussen 'FlowIntervalStartTime_t' en 'FlowIntervalEndTime_t'.
  • MaliciousFlow: Een van de IP-adressen behoort tot een virtueel Azure-netwerk, terwijl het andere IP-adres een openbaar IP-adres is dat zich niet in Azure bevindt en als schadelijk wordt gerapporteerd in de ASC-feeds die verkeersanalyse gebruikt voor het verwerkingsinterval tussen 'FlowIntervalStartTime_t' en 'FlowIntervalEndTime_t'.
  • UnknownPrivate: Een van de IP-adressen behoort tot een virtueel Azure-netwerk, terwijl het andere IP-adres deel uitmaakt van het privé-IP-bereik dat is gedefinieerd in RFC 1918 en niet kan worden toegewezen door verkeersanalyses aan een site die eigendom is van een klant of een virtueel Azure-netwerk.
  • Unknown: Kan geen van de IP-adressen in de stroom toewijzen met de klanttopologie in Azure en on-premises (site).

Gerelateerde inhoud

• Zie het overzicht van Traffic Analytics voor meer informatie over traffic analytics.
• Zie veelgestelde vragen over Traffic Analytics voor antwoorden op verkeersanalyses.