Сборщик трафика Azure ExpressRoute
Сборщик трафика ExpressRoute включает выборку сетевых потоков, отправленных по каналам ExpressRoute. Журналы потоков отправляются в рабочую область Log Analytics, где можно создавать собственные запросы журналов для дальнейшего анализа. Вы также можете экспортировать данные в любой инструмент визуализации или SIEM (сведения о безопасности и управление событиями) выбранного варианта. Журналы потоков можно включить как для частного пиринга, так и для пиринга Майкрософт с помощью сборщика трафика ExpressRoute.
Случаи использования
Журналы потоков помогут вам ознакомиться с различными аналитическими сведениями о трафике. Ниже приведены некоторые распространенные варианты использования.
Мониторинг сетей
- Мониторинг трафика частного пиринга Azure и пиринга Майкрософт
- Просмотр сведений о пропускной способности сети и производительности почти в реальном времени
- Выполнение диагностики сети
- Прогнозирование емкости
Мониторинг использования сети и оптимизация затрат
- Анализ тенденций трафика путем фильтрации примеров потоков по IP-адресу, порту или приложениям
- Наиболее активные источники трафика по исходному IP-адресу, целевому IP-адресу или приложениям
- Оптимизация расходов на сетевой трафик путем анализа тенденций трафика
Криминалистический анализ сети
- Определение скомпрометированных IP-адресов путем анализа всех связанных сетевых потоков
- Экспорт журналов потоков в средство SIEM (управление информационной безопасностью и событиями) для мониторинга, сопоставления событий, создания оповещений системы безопасности
Сбор и выборка журналов потоков
Журналы потоков собираются каждые 1 минуту. Все пакеты, собранные для данного потока, объединяются и импортируются в рабочую область Log Analytics для дальнейшего анализа. Во время сбора потоков не каждый пакет записывается в собственную запись потока. Агрегатор дорожного движения ExpressRoute использует частоту выборки 1:4096, то есть запись создается для 1 из каждых 4096. Таким образом, скорость выборки коротких потоков (в общей байтах) может не собираться. Выборка такого размера не влияет на анализ сетевого трафика, если данные агрегируются в течение более длительного периода времени. Время сбора потоков и частота выборки являются фиксированными, изменить их не удастся.
Поддерживаемые каналы ExpressRoute
Сборщик трафика ExpressRoute поддерживает каналы, управляемые поставщиком, и каналы ExpressRoute Direct. В настоящее время сборщик трафика ExpressRoute поддерживает только каналы с пропускной способностью 1 Гбит/с или выше.
Схема журнала потоков
| Column | Type | Описание |
|---|---|---|
| ATCRegion | строка | Регион развертывания Агрегатора дорожного движения ExpressRoute (ATC). |
| ATCResourceId | строка | Идентификатор ресурса Azure Агрегатора дорожного движения ExpressRoute (ATC). |
| BgpNextHop | строка | Следующий прыжок протокола BGP, как определено в таблице маршрутизации. |
| DestinationIp | строка | Конечный IP-адрес. |
| Порт назначения | INT | Целевой порт TCP. |
| Dot1qCustomerVlanId | INT | Dot1q Customer VlanId. |
| Dot1qVlanId | INT | Dot1q VlanId. |
| DstAsn | INT | Номер целевой автономной системы (ASN). |
| DstMask | INT | Маска целевой подсети. |
| DstSubnet | строка | Целевая виртуальная сеть целевого IP-адреса. |
| ExRCircuitDirectPortId | строка | Идентификатор ресурса Azure прямого порта канала Express Route. |
| ExRCircuitId | строка | Идентификатор ресурса Azure канала Express Route. |
| ExRCircuitServiceKey | строка | Ключ службы канала Express Route. |
| FlowRecordTime | datetime | Метка времени (UTC) при отправке этой записи потока каналом Express Route. |
| Flowsequence | длинный | Последовательность потоков этого потока. |
| IcmpType | INT | Тип протокола, указанный в заголовке IP. |
| IpClassOfService | INT | Класс службы IP, указанный в заголовке IP. |
| IpProtocolIdentifier | INT | Тип протокола, указанный в заголовке IP. |
| IpVerCode | INT | Версия протокола IP, определенная в заголовке IP. |
| MaxTtl | INT | Максимальное время жизни (TTL), как определено в заголовке IP. |
| MinTtl | INT | Минимальное время жизни (TTL), как определено в заголовке IP. |
| Следующий прыжок | строка | Следующий прыжок в таблице пересылки. |
| NumberOfBytes | длинный | Общее количество байтов пакетов, захваченных в этом потоке. |
| NumberOfPackets | длинный | Общее количество пакетов, захваченных в этом потоке. |
| OperationName | строка | Конкретная операция Агрегатора дорожного движения ExpressRoute, создающая эту запись потока. |
| PeeringType | строка | Тип пиринга канала ExpressRoute. |
| Протокол | INT | Тип протокола, указанный в заголовке IP. |
| _ResourceId | строка | Уникальный идентификатор ресурса, с которым связана запись. |
| SchemaVersion | строка | Версия схемы записи потока. |
| SourceIp | строка | Исходный IP-адрес. |
| SourcePort | INT | Исходный порт. |
| SourceSystem | строка | |
| SrcAsn | INT | Номер исходной автономной системы (ASN). |
| SrcMask | INT | Маска исходной подсети. |
| SrcSubnet | строка | Исходная виртуальная сеть исходного IP-адреса. |
| _SubscriptionId | строка | Уникальный идентификатор подписки, с которой связана запись |
| TcpFlag | INT | Флаг TCP, определенный в заголовке TCP. |
| TenantId | строка | |
| TimeGenerated | datetime | Метка времени (UTC) при отправке этой записи потока Агрегатором дорожного движения ExpressRoute. |
| Тип | строка | Имя таблицы. |
Доступность по регионам
Агрегатор дорожного движения ExpressRoute поддерживается в следующих регионах:
Примечание. Если нужный регион еще не поддерживается, вы можете развернуть сборщик трафика ExpressRoute в другом регионе в том же географическом регионе, что и канал ExpressRoute.
| Область/регион | Имя региона |
|---|---|
| Северная Америка n |
|
| Южная Америка |
|
| Европа |
|
| Азия |
|
| Африка |
|
| Тихоокеанский регион |
|
Цены
| Зона | Время простоя экземпляра сборщика | Данные, обработанные на ГБ |
|---|---|---|
| Зона 1 | $0,60/час | $0,10/ГБ |
| Зона 2 | $0,80/час | $0,20/ГБ |
| Зона 3 | $0,80/час | $0,20/ГБ |