Схема аналитики трафика и агрегирование данных

"Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. Аналитика трафика анализирует журналы сетевых потоков Наблюдателя сети Azure для предоставления сведений о потоке трафика в облаке Azure. Решение "Аналитика трафика" позволяет выполнять следующее:

• Визуализировать сетевую активность в подписках Azure и определять самые активные узлы.
• Определите угрозы безопасности и защитите сеть, используя такие сведения, как открытые порты, приложения, пытающиеся получить доступ к Интернету, и виртуальные машины (виртуальные машины), подключающиеся к изгойным сетям.
• Понять шаблоны потока трафика в регионах Azure и Интернете, чтобы оптимизировать развертывание сети для лучшей производительности и эффективного использования емкости.
• Обнаружьте неправильные конфигурации сети, приводящие к ошибкам подключения.
• Сведения об использовании сети в байтах, пакетах или потоках.

Агрегация данных

Журналы потоков виртуальной сети

• Все журналы потоков между FlowIntervalStartTime и FlowIntervalEndTime записываются с интервалом в одну минуту в виде объектов Blob в учетной записи хранения.
• По умолчанию интервал обработки аналитики трафика составляет 60 минут, то есть каждый час аналитика трафика выбирает блобы из хранилища для агрегирования. Однако, если выбран интервал обработки в 10 минут, анализ трафика будет выбирать объекты BLOB из учетной записи хранилища каждые 10 минут.
• Потоки с одинаковыми Source IP, Destination IP, Destination port, NSG name, NSG rule, Flow Direction и Transport layer protocol (TCP or UDP) объединяются в один поток аналитикой трафика (Примечание: исходный порт исключается для агрегирования).
• Эта отдельная запись обработана (подробные сведения в приведенном ниже разделе) и загружается в журналы Azure Monitor средствами анализа трафика. Этот процесс может занять до 1 часа.
• FlowStartTime поле указывает на первое вхождение такого агрегатного потока (одного и того же четырехкомпонентного кортежа) в интервал обработки журнала потоков между FlowIntervalStartTime и FlowIntervalEndTime.
• Для любого ресурса в аналитике трафика потоки, указанные в портале Azure, являются полными потоками, но в журналах Azure Monitor пользователь видит только одну, упрощённую запись. Чтобы просмотреть все потоки, используйте blob_id поле, на которое можно ссылаться из хранилища. Общее количество потоков для этой записи соответствует отдельным потокам, представленным в объекте BLOB.

Журналы потоков группы безопасности сети

• Все журналы потоков в группе безопасности сети между FlowIntervalStartTime_t и FlowIntervalEndTime_t записываются с интервалом в одну минуту в виде блобов в учетной записи хранения.
• По умолчанию интервал обработки аналитики трафика составляет 60 минут, то есть каждый час аналитика трафика выбирает BLOB-объекты из учетной записи хранения данных для агрегирования. Однако если выбран интервал обработки в 10 минут, аналитика трафика будет выбирать блобы из учетной записи хранения каждые 10 минут.
• Потоки с одинаковыми Source IP, Destination IP, Destination port, NSG name, NSG rule, Flow Direction и Transport layer protocol (TCP or UDP) объединяются в один поток с помощью аналитики трафика (Примечание: исходный порт исключается для агрегирования).
• Эта отдельная запись обработана (подробные сведения в приведенном ниже разделе) и включается в журналы Azure Monitor аналитикой трафика. Этот процесс может занять до 1 часа.
• FlowStartTime_t поле обозначает первое появление такого агрегатного потока (одного и того же четырехкортежа) в интервале обработки журнала потоков между FlowIntervalStartTime_t и FlowIntervalEndTime_t.
• Для любого ресурса в аналитике трафика потоки, указанные в портале Azure, являются суммарными потоками, которые отображаются группой безопасности сети, но в логах Azure Monitor пользователь видит только одну, сокращенную запись. Чтобы просмотреть все потоки, используйте blob_id поле, на которое можно ссылаться из хранилища. Общее число потоков для этой записи соответствует отдельным потокам, отображаемым в большом двоичном объекте.

Схема аналитики трафика

Аналитика трафика основана на журналах Azure Monitor, поэтому вы можете выполнять пользовательские запросы к данным, украшенным аналитикой трафика и задавать оповещения.

Журналы потоков виртуальной сети

В следующей таблице перечислены поля схемы и то, что они указывают для журналов потоков виртуальной сети. Дополнительные сведения см. в разделе NTANetAnalytics.

Поле	Формат	Комментарии
ИмяТаблицы	Аналитика NTANetAnalytics	Таблица для данных аналитики трафика.
Подтип	FlowLog	Подтип для журналов потоков. Используйте только FlowLog, другие значения подтипа предназначены для внутреннего использования.
FASchemaVersion	3	Версия схемы. Не отражает версию журнала потоков виртуальной сети.
TimeProcessed	Дата и время (в формате UTC).	Время, в котором аналитика трафика обработала необработанные журналы потоков из учетной записи хранения.
Время Начала Интервала Потока	Дата и время (в формате UTC).	Время начала интервала обработки журнала потока (время измерения интервала потока).
Время окончания интервала потока	Дата и время (в формате UTC).	Время окончания интервала обработки журнала потока.
FlowStartTime (Время начала потока)	Дата и время (в формате UTC).	Первое вхождение потока (которое агрегируется) в интервале обработки журнала потоков между FlowIntervalStartTime и FlowIntervalEndTime. Этот поток агрегируется на основе логики агрегирования.
FlowEndTime (Время окончания потока)	Дата и время (в формате UTC).	Последнее вхождение потока (которое агрегируется) в интервале обработки журнала потоков между FlowIntervalStartTime и FlowIntervalEndTime.
Тип потока	— IntraVNet — InterVNet - С2С -P2S — AzurePublic — ExternalPublic — Вредоносный трафик - Неизвестный частный - Неизвестно	См. примечания для определений.
SrcIp	Исходный IP-адрес	Пустое значение в потоках AzurePublic и ExternalPublic.
DestIp	IP-адрес назначения	Пустое значение в потоках AzurePublic и ExternalPublic.
TargetResourceId (Идентификатор целевого ресурса)	ИмяГруппы ресурсов/ИмяРесурса	Идентификатор ресурса, в котором включена ведение журнала потоков и аналитика трафика.
TargetResourceType (Тип целевого ресурса)	Виртуальная сеть/Подсеть/Сетевой интерфейс	Тип ресурса, в котором включена ведение журнала потоков и аналитика трафика (виртуальная сеть, подсеть, сетевая карта или группа безопасности сети).
FlowLogResourceId (Идентификатор ресурса)	ResourceGroupName/NetworkWatcherName/FlowLogName	Идентификатор ресурса журнала потоков.
DestPort	Конечный порт	Порт, через который проходит входящий трафик.
Протокол L4	- Т - U	Транспортный протокол: T = TCP U = UDP
Протокол L7	Имя протокола	Производный от порта назначения.
FlowDirection (Направление потока)	- I = входящий трафик - O = Исходящий	Направление потока: внутрь или наружу целевого ресурса по каждому журналу потоков.
FlowStatus (СтатусПотока)	- A = разрешено - D = отказано	Состояние потока: разрешено или запрещено целевым ресурсом для каждого журнала потока.
AclGroup	<SubscriptionID>/<resourcegroup_Name>/<NSG_Name>	Группа безопасности сети, связанная с потоком.
AclRule	NSG_Rule_Name	Правило группы безопасности сети, которое позволяло или запрещало поток.
MACAddress	MAC-адрес	MAC-адрес сетевого адаптера, по которому был записан поток.
SrcПодписка	ID подписки	Идентификатор подписки виртуальной сети, сетевого интерфейса или виртуальной машины, к которой принадлежит исходный IP-адрес потока.
DestSubscription	ID подписки	Идентификатор подписки виртуальной сети, сетевого интерфейса или виртуальной машины, к которой принадлежит IP-адрес назначения в потоке.
SrcRegion	Регион Azure	Регион Azure виртуальной сети, сетевой интерфейс или виртуальная машина, к которой принадлежит исходный IP-адрес потока.
ДестРегион	Регион Azure	Регион виртуальной сети Azure, к которому принадлежит целевой IP-адрес потока.
SrcNic	< >resourcegroup_Name/<NetworkInterfaceName>	Сетевой адаптер, связанный с исходным IP-адресом в потоке.
DestNic	< >resourcegroup_Name/<NetworkInterfaceName>	Сетевой интерфейсный контроллер, связанный с IP-адресом назначения в потоке.
SrcVm	<resourcegroup_Name>/<ИмяВиртуальной Машины>	Виртуальная машина, связанная с исходным IP-адресом в сетевом потоке.
DestVm	<resourcegroup_Name>/<ИмяВиртуальной Машины>	Виртуальная машина, связанная с целевым IP-адресом в потоке.
SrcSubnet (SrcSubnet)	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Подсеть, связанная с IP-адресом источника в потоке.
DestSubnet	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Подсеть, связанная с IP-адресом назначения в потоке.
SrcApplicationGateway	<SubscriptionID/><ResourceGroupName>/<ApplicationGatewayName>	Шлюз приложений, связанный с исходным IP-адресом в потоке.
DestApplicationGateway	<SubscriptionID/><ResourceGroupName>/<ApplicationGatewayName>	Шлюз прикладных программ, связанный с целевым IP-адресом в сетевом потоке.
SrcExpressRouteCircuit (Маршрутная цепь)	<SubscriptionID/><ResourceGroupName>/<ExpressRouteCircuitName>	Идентификатор канала ExpressRoute — при отправке потока с сайта через ExpressRoute.
DestExpressRouteCircuit	<SubscriptionID/><ResourceGroupName>/<ExpressRouteCircuitName>	Идентификатор цепи ExpressRoute — при поступлении потока из облака на ExpressRoute.
ExpressRouteCircuitPeeringType (Тип пиринга)	— AzurePrivatePeering — AzurePublicPeering — MicrosoftPeering	Тип пиринга ExpressRoute, участвующий в потоке.
SrcLoadBalancer (Балансировщик грузов)	<SubscriptionID/><ResourceGroupName>/<LoadBalancerName>	Балансировщик нагрузки, связанный с исходным IP-адресом потока.
DestLoadBalancer	<SubscriptionID/><ResourceGroupName>/<LoadBalancerName>	Подсистема балансировки нагрузки, связанная с IP-адресом назначения в потоке.
SrcLocalNetworkGateway	<SubscriptionID/><ResourceGroupName>/<LocalNetworkGatewayName>	Шлюз локальной сети, связанный с исходным IP-адресом в потоке.
DestLocalNetworkGateway	<SubscriptionID/><ResourceGroupName>/<LocalNetworkGatewayName>	Шлюз локальной сети, связанный с IP-адресом назначения в потоке.
Тип подключения	— VNetPeering — VpnGateway — ExpressRoute	Тип подключения.
ConnectionName (ИмяСоединения)	<SubscriptionID/><ResourceGroupName>/<ConnectionName>	Имя подключения. Для типа потока P2S форматируется как <GatewayName>_<VPNClientIP>
Подключение VNet	Разделенный пробелами список имен виртуальных сетей.	В топологии концентратора и периферийной топологии виртуальные сети концентратора заполняются здесь.
Страна/регион	Код страны с двумя буквами (ISO 3166-1 alpha-2)	Заполнено для типа потока ExternalPublic. Все IP-адреса в поле PublicIPs используют один и тот же код страны.
AzureRegion	Расположения регионов Azure	Заполняется для потоков типа AzurePublic. Все IP-адреса в полях PublicIPs используют регион Azure.
Разрешенные потоки	-	Количество разрешенных потоков входящего трафика, представляющее количество потоков, которые совместно используют один и тот же четырёхкортеж, входящих в сетевой интерфейс, на котором были захвачены эти потоки.
DeniedInFlows	-	Количество запрещенных входящих потоков. (Входящий трафик к сетевому интерфейсу, по которому был записан поток).
Разрешенные исходящие потоки	-	Количество разрешенных исходящих потоков (исходящий трафик к сетевому интерфейсу, на котором был зафиксирован поток).
DeniedOutFlows	-	Количество исходящих потоков, которые были отклонены (исходящий трафик к сетевому интерфейсу, по которому был записан поток).
PacketsDestToSrc	-	Представляет пакеты, отправленные из назначения в источник потока.
ПакетыSrcToDest	-	Представляет пакеты, отправленные из источника в место назначения потока.
BytesDestToSrc	-	Представляет байты, отправленные из назначения в источник потока.
BytesSrcToDest	-	Представляет байты, отправленные из источника в место назначения потока.
Завершенные потоки	-	Общее количество завершенных потоков (заполняется ненулевым значением, когда поток получает событие завершения).
SrcPublicIps	<SOURCE_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES>	Записи, разделенные полосами.
DestPublicIps	<ПУБЛИЧНЫЙ IP-АДРЕС НАЗНАЧЕНИЯ>|<КОЛИЧЕСТВО НАЧАТЫХ ПОТОКОВ>|<КОЛИЧЕСТВО ЗАКОНЧЕННЫХ ПОТОКОВ>|<ИСХОДЯЩИЕ ПАКЕТЫ>|<ВХОДЯЩИЕ ПАКЕТЫ>|<ИСХОДЯЩИЕ БАЙТЫ>|<ВХОДЯЩИЕ БАЙТЫ>	Записи, разделенные полосами.
Шифрование потока	-Зашифрованные -Незашифрованные — неподдерживаемое оборудование — программное обеспечение не готово — удаление из-за отсутствия шифрования Обнаружение не поддерживается Цель на том же сервере — вернуться к отсутствию шифрования.	Уровень шифрования потоков.
PrivateEndpointResourceId (Идентификатор ресурса)	<ГруппаРесурсов/РесурсЧастнойТочкиПодключения>	Идентификатор ресурса частной конечной точки. Заполняется, когда трафик направляется к ресурсу частной конечной точки или от него.
PrivateLinkResourceId (Идентификатор ресурса)	<ResourceGroup/ResourceType/privateLinkResource>	Идентификатор ресурса службы приватного подключения. Заполняется, когда происходит поток трафика к ресурсу приватной конечной точки или от него.
Имя_ресурса_PrivateLink	Обычный текст	Имя ресурса службы приватного соединения. Заполняется при передаче трафика в ресурс частной конечной точки или из него.
Фиксируется ли поток на этапе UDR	- Истина -Ложный	Если поток был зафиксирован на этапе UDR, значение равно True.

Примечание.

NTANetAnalytics в журналах потоков виртуальной сети заменяет AzureNetworkAnalytics_CL , используемых в журналах потоков группы безопасности сети.

Журналы потоков группы безопасности сети

В следующей таблице перечислены поля схемы и то, что они указывают для журналов потоков группы безопасности сети.

Поле	Формат	Комментарии
ИмяТаблицы	AzureNetworkAnalytics_CL	Таблица для данных аналитики трафика.
SubType_s	FlowLog	Подтип для журналов потоков. Используйте только FlowLog, другие значения SubType_s предназначены для внутреннего использования.
FASchemaVersion_s	2	Версия схемы. Не отображает версию журнала потоков группы безопасности сети.
TimeProcessed_t	Дата и время (в формате UTC).	Время, в котором аналитика трафика обработала необработанные журналы потоков из учетной записи хранения.
FlowIntervalStartTime_t	Дата и время (в формате UTC).	Время начала интервала обработки журнала потока (время измерения интервала потока).
FlowIntervalEndTime_t	Дата и время (в формате UTC).	Время окончания интервала обработки журнала потока.
FlowStartTime_t	Дата и время (в формате UTC).	Первое вхождение потока (которое агрегируется) в интервале обработки журнала потоков между FlowIntervalStartTime_t и FlowIntervalEndTime_t. Этот поток агрегируется на основе логики агрегирования.
FlowEndTime_t	Дата и время (в формате UTC).	Последнее вхождение потока (которое агрегируется) в интервале обработки журнала потоков между FlowIntervalStartTime_t и FlowIntervalEndTime_t. С точки зрения журнала потоков версии 2 это поле содержит время, когда последний поток с тем же четырьмя кортежами запущен (помечен как B в записи необработанного потока).
FlowType_s	— IntraVNet — InterVNet - С2С -P2S — AzurePublic — ExternalPublic — Вредоносный трафик - Неизвестный частный - Неизвестно	См. примечания для определений.
SrcIP_s	Исходный IP-адрес	Пустое значение в потоках AzurePublic и ExternalPublic.
DestIP_s	IP-адрес назначения	Пустое значение в потоках AzurePublic и ExternalPublic.
VMIP_s	IP-адрес ВМ	Используется для потоков AzurePublic и ExternalPublic.
DestPort_d	Конечный порт	Порт, через который проходит входящий трафик.
L4Protocol_s	- Т - U	Транспортный протокол: T = TCP U = UDP.
L7Protocol_s	Имя протокола	Производный от порта назначения.
FlowDirection_s	- I = входящий трафик - O = исходящий трафик	Направление потока: в группе безопасности сети или из нее для каждого журнала потоков.
FlowStatus_s	- A = разрешено - D = отказано	Состояние потока, разрешаемого или запрещаемого группой безопасности сети по каждому журналу потока.
NSGList_s	<SubscriptionID>/<resourcegroup_Name>/<NSG_Name>	Группа безопасности сети, связанная с потоком.
NSGRules_s	<Значение индекса 0>|<NSG_Rule_Name>|<Направление потока>|<Состояние потока>|<Количество потоков, обработанных по правилу>	Правило группы безопасности сети, которое разрешало или блокировало этот поток.
NSGRule_s	NSG_Rule_Name	Правило группы сетевой безопасности, которое разрешало или блокировало этот поток.
NSGRuleType_s	— определяемый пользователем — По умолчанию	Тип правила группы безопасности сети, применяемого к потоку.
MacAddress_s	MAC-адрес	MAC-адрес сетевого адаптера, по которому был записан поток.
Subscription_g	Поле заполняется данными о подписках, интерфейсе сети и виртуальной машине Azure.	Применимо только для типов потоков FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow и UnknownPrivate (типы потоков, где только одна сторона — Azure).
Subscription1_g	Идентификатор подписки	Идентификатор подписки виртуальной сети, сетевого интерфейса или виртуальной машины, к которой принадлежит исходный IP-адрес потока.
Subscription2_g	ID подписки	Идентификатор подписки виртуальной сети, сетевого интерфейса или виртуальной машины, к которой принадлежит целевой IP-адрес потока.
Region_s	Регион Azure виртуальной сети, сетевого интерфейса или виртуальной машины, к которому принадлежит IP-адрес в потоке.	Применимо только для типов потоков FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow и UnknownPrivate (типы потоков, где только одна сторона — Azure).
Region1_s	Регион Azure	Регион Azure виртуальной сети, сетевой интерфейс или виртуальная машина, к которой принадлежит исходный IP-адрес потока.
Region2_s	Регион Azure	Регион виртуальной сети Azure, к которому принадлежит целевой IP-адрес потока.
NIC_s	< >resourcegroup_Name/<NetworkInterfaceName>	Сетевой адаптер, связанный с виртуальной машиной, который отправляет или получает трафик.
NIC1_s	<resourcegroup_Name>/<NetworkInterfaceName>	Сетевой адаптер, связанный с исходным IP-адресом в потоке.
NIC2_s	<resourcegroup_Name>/<NetworkInterfaceName>	Сетевой интерфейсный контроллер, связанный с IP-адресом назначения в потоке.
VM_s	<resourcegroup_Name>/<NetworkInterfaceName>	Виртуальная машина, связанная с сетевым интерфейсом NIC_s.
VM1_s	<resourcegroup_Name>/<ИмяВиртуальной Машины>	Виртуальная машина, связанная с IP-адресом источника в потоке.
VM2_s	<resourcegroup_Name>/<ИмяВиртуальной Машины>	Виртуальная машина, связанная с целевым IP-адресом в сетевом потоке.
Subnet_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Подсеть, связанная с NIC_s.
Subnet1_s	<ResourceGroup_Name>/<VirtualNetwork_Name>/<SubnetName>	Подсеть, связанная с IP-адресом источника потока.
Subnet2_s	<ResourceGroup_Name>/<VirtualNetwork_Name>/<SubnetName>	Подсеть, связанная с IP-адресом назначения в потоке.
ApplicationGateway1_s	<SubscriptionID/><ResourceGroupName>/<ApplicationGatewayName>	Шлюз приложений, связанный с исходным IP-адресом в сетевом потоке.
ApplicationGateway2_s	<SubscriptionID/><ResourceGroupName>/<ApplicationGatewayName>	Шлюз приложений, связанный с IP-адресом назначения в потоке.
ExpressRouteCircuit1_s	<SubscriptionID/><ResourceGroupName>/<ExpressRouteCircuitName>	Идентификатор канала ExpressRoute — при отправке потока с сайта через ExpressRoute.
ExpressRouteCircuit2_s	<SubscriptionID/><ResourceGroupName>/<ExpressRouteCircuitName>	Идентификатор цепи ExpressRoute — при поступлении потока из облака на ExpressRoute.
ExpressRouteCircuitPeeringType_s	— AzurePrivatePeering — AzurePublicPeering — MicrosoftPeering	Тип пиринга ExpressRoute, участвующий в потоке.
LoadBalancer1_s	<SubscriptionID/><ResourceGroupName>/<LoadBalancerName>	Балансировщик нагрузки, связанный с исходным IP-адресом в потоке.
LoadBalancer2_s	<SubscriptionID/><ResourceGroupName>/<LoadBalancerName>	Балансировщик нагрузки, связанный с IP-адресом назначения в потоке.
LocalNetworkGateway1_s	<SubscriptionID/><ResourceGroupName>/<LocalNetworkGatewayName>	Шлюз локальной сети, связанный с исходным IP-адресом в потоке.
LocalNetworkGateway2_s	<SubscriptionID/><ResourceGroupName>/<LocalNetworkGatewayName>	Шлюз локальной сети, связанный с IP-адресом назначения в потоке.
ConnectionType_s	— VNetPeering — VpnGateway — ExpressRoute	Тип подключения.
ConnectionName_s	<SubscriptionID/><ResourceGroupName>/<ConnectionName>	Имя подключения. Для типа потока P2S он форматируется как <IP-адрес> vpn-клиента< шлюза>.
ConnectingVNets_s	Список имен виртуальных сетей, разделенных пробелами	В случае топологии концентратор-периферия, виртуальные сети концентратора указываются здесь.
Country_s	Двухбуквенный код страны по ISO 3166-1 alpha-2.	Заполнено для типа потока ExternalPublic. Все IP-адреса в поле PublicIPs_s используют одинаковый код страны.
AzureRegion_s	Расположения регионов Azure	Заполняется для потоков типа AzurePublic. Все IP-адреса в поле PublicIPs_s совместно используют регион Azure.
РазрешённыеВходящиеПотоки_d		Количество разрешенных потоков входящего трафика, представляющее количество потоков, которые совместно используют один и тот же четырёхкортеж, входящих в сетевой интерфейс, на котором были захвачены эти потоки.
DeniedInFlows_d		Количество запрещенных входящих потоков. (Входящий трафик к сетевому интерфейсу, по которому был записан поток).
РазрешенныеОттоки_d		Количество разрешенных исходящих потоков (исходящий трафик к сетевому интерфейсу, на котором был зафиксирован поток).
DeniedOutFlows_d		Количество исходящих потоков, которые были отклонены (исходящий трафик к сетевому интерфейсу, по которому был записан поток).
FlowCount_d	Устарело. Общее количество потоков, соответствующих той же самой четверке. В случае типов потоков ExternalPublic и AzurePublic число также включает потоки из различных адресов PublicIP.
InboundPackets_d	Представляет пакеты, отправленные из назначения в источник потока	Заполнено только для схемы журнала потоков групп безопасности сети версии 2.
OutboundPackets_d	Представляет пакеты, отправленные из источника к адресату потока	Заполнено только для схемы журнала потоков групп безопасности сети версии 2.
InboundBytes_d	Представляет байты, отправленные из назначения в источник потока	Заполняется только для схемы журнала потоков групп безопасности сети версии 2.
OutboundBytes_d	Представляет байты, отправленные из источника в назначение потока	Заполнено только для схемы журнала потоков групп безопасности сети версии 2.
CompletedFlows_d		Только для версии 2 схемы журнала потоков группы безопасности сети предусмотрено заполнение ненулевым значением.
PublicIPs_s	<PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES>	Записи, разделенные полосами.
SrcPublicIPs_s;	<SOURCE_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES>	Записи, разделенные полосами.
DestPublicIPs_s	<ПУБЛИЧНЫЙ IP-АДРЕС НАЗНАЧЕНИЯ>|<КОЛИЧЕСТВО НАЧАТЫХ ПОТОКОВ>|<КОЛИЧЕСТВО ЗАКОНЧЕННЫХ ПОТОКОВ>|<ИСХОДЯЩИЕ ПАКЕТЫ>|<ВХОДЯЩИЕ ПАКЕТЫ>|<ИСХОДЯЩИЕ БАЙТЫ>|<ВХОДЯЩИЕ БАЙТЫ>	Записи, разделенные полосами.
IsFlowCapturedAtUDRHop_b	- Истина -Ложный	Если поток был зафиксирован на этапе UDR, значение равно True.

Внимание

Схема аналитики трафика была обновлена 22 августа 2019 г. Новая схема предоставляет ip-адреса источника и назначения отдельно, удаляя необходимость синтаксического анализа FlowDirection поля, чтобы запросы были проще. Обновленная схема имела следующие изменения:

• FASchemaVersion_s обновлено с 1 на 2.
• Устаревшие поля: VMIP_s, Subscription_g, Region_sNSGRules_sSubnet_sVM_s, , NIC_sPublicIPs_sFlowCount_d
• Новые поля: SrcPublicIPs_s, DestPublicIPs_sNSGRule_s

Схема сведений об общедоступном IP-адресе

Аналитика трафика предоставляет данные и географическое расположение WHOIS для всех общедоступных IP-адресов в вашей среде. Для вредоносного IP-адреса аналитика трафика предоставляет домен DNS, тип угроз и описания потоков, которые определяются решениями аналитики безопасности Майкрософт. Сведения о IP-адресах публикуются в рабочей области Log Analytics, чтобы создавать настраиваемые запросы и помещать оповещения на них. Вы также можете получить доступ к предварительно заполненным запросам на панели мониторинга аналитики трафика.

Журналы потоков виртуальной сети

В следующей таблице описана схема общедоступного IP-адреса. Дополнительные сведения см. в разделе NTAIpDetails.

Поле	Формат	Комментарии
ИмяТаблицы	Подробности NTAIp	Таблица, содержащая информацию об IP-адресах аналитики трафика.
Подтип	FlowLog	Подтип для журналов потоков. Используйте только FlowLog. Другие значения подтипа предназначены для внутренних работ продукта.
FaSchemaVersion	3	Версия схемы. Не отражает версию журнала потоков виртуальной сети.
Время Начала Интервала Потока	Дата и время (в формате UTC).	Время начала интервала обработки журнала потока (время измерения интервала потока).
Время окончания интервала потока	Дата и время (в формате UTC).	Время окончания интервала обработки журнала потоков.
Тип потока	— AzurePublic — ExternalPublic — MaliciousFlow	См. примечания для определений.
IP-адрес	Общедоступный IP-адрес	Общедоступный IP-адрес, сведения которого предоставляются в записи.
Детали публичного IP	Сведения об IP-адресе	Для общедоступного IP-адреса Azure: служба Azure, которой принадлежит этот IP-адрес, или виртуальному общедоступному IP-адресу Microsoft для IP-адреса 168.63.129.16. Внешний IP-адрес/Вредоносный IP: данные WhoIS об этом IP.
Тип угрозы	Угрозы, вызванные вредоносным IP-адресом	Только для вредоносных IP-адресов. Одна из угроз из списка текущих разрешенных значений. Дополнительные сведения см. в заметках.
DNSДомен	Домен DNS	Только для вредоносных IP-адресов. Доменное имя, связанное с этим IP-адресом.
Описание угрозы	Описание угрозы	Только для вредоносных IP-адресов. Описание угрозы, вызванной вредоносным IP-адресом.
Местонахождение	Расположение IP-адреса	Для публичного IP-адреса Azure: регион виртуальной сети / сетевой интерфейс / виртуальной машины, которому принадлежит IP-адрес, или Глобальный для IP-адреса 168.63.129.16. Для внешнего общедоступного IP-адреса и вредоносного IP-адреса: код страны с двумя буквами (ISO 3166-1 alpha-2), где находится IP-адрес.
URL-адрес	URL-адрес, соответствующий вредоносному IP-адресу	Только для вредоносных IP-адресов.
порт.	Порт, соответствующий вредоносному IP-адресу	Только для вредоносных IP-адресов.

Примечание.

• NTAIPDetails в журналах потоков виртуальной сети заменяет AzureNetworkAnalyticsIPDetails_CL , используемых в журналах потоков группы безопасности сети.

• Аналитика трафика может регистрировать любые вредоносные полностью квалифицированные доменные имена (FQDN), связанные с IP-адресом, с целью выявления вредоносных потоков. Чтобы отфильтровать, используйте поля порта, URL-адреса и домена по мере необходимости.

Журналы потоков группы безопасности сети

В следующей таблице описана схема общедоступного IP-адреса.

Поле	Формат	Комментарии
ИмяТаблицы	AzureNetworkAnalyticsIPDetails_CL	Таблица, содержащая информацию об IP-адресах аналитики трафика.
SubType_s	FlowLog	Подтип для журналов потоков. Используйте только FlowLog, другие значения SubType_s предназначены для внутренних работ продукта.
FASchemaVersion_s	2	Версия схемы. Не отображает версию журнала потоков группы безопасности сети.
FlowIntervalStartTime_t	Дата и время (в формате UTC).	Время начала интервала обработки журнала потока (время измерения интервала потока).
FlowIntervalEndTime_t	Дата и время (в формате UTC).	Время окончания интервала обработки журнала потоков.
FlowType_s	— AzurePublic — ExternalPublic — MaliciousFlow	См. примечания для определений.
IP-адрес	Общедоступный IP-адрес	Общедоступный IP-адрес, сведения которого предоставляются в записи.
Местонахождение	Расположение IP-адреса	— Для общедоступного IP-адреса Azure: регион виртуальной сети, сетевого интерфейса или виртуальной машины, к которой относится IP-адрес или глобальный для IP-адреса 168.63.129.16. — Для внешнего общедоступного IP-адреса и вредоносного IP-адреса: 2-буквенный код страны, где находится IP-адрес (ISO 3166-1 alpha-2).
Детали публичного IP	Сведения об IP-адресе	— Для IP-адреса AzurePublic: служба Azure, которой принадлежит IP-адрес, или виртуальный общедоступный IP-адрес Майкрософт для 168.63.129.16. — Внешний публичный IP-адрес или вредоносный IP-адрес: сведения о IP-адресе по данным WHOIS.
Тип угрозы	Угрозы, вызванные вредоносным IP-адресом	Только для вредоносных IP-адресов: одна из угроз из списка разрешенных значений (см. типы угроз).
Описание угрозы	Описание угрозы	Только для вредоносных IP-адресов. Описание угрозы, вызванной вредоносным IP-адресом.
DNSДомен	Домен DNS	Только для вредоносных IP-адресов. Доменное имя, связанное с вредоносным IP-адресом.
URL-адрес	URL-адрес, соответствующий вредоносному IP-адресу	Только для вредоносных IP-адресов.
порт.	Порт, соответствующий вредоносному IP-адресу	Только для вредоносных IP-адресов.

Типы угроз

В следующей таблице перечислены допустимые значения поля ThreatType в схеме ip-адресов аналитики трафика.

значение	Описание
Ботнет	Индикатор детализации узла или члена ботсети.
С2	Индикатор, детализирующий командно-контрольный узел ботнета.
Криптомайнинг	Трафик, связанный с этим сетевым адресом или URL-адресом, является признаком CryptoMining или злоупотребления ресурсами.
Даркнет	Индикатор узла или сети Darknet.
DDoS-атаки	Индикаторы, связанные с активной или предстоящей DDoS-кампанией.
Вредоносный URL-адрес	URL-адрес, обслуживающий вредоносные программы.
Вредоносная программа	Индикатор, описывающий вредоносный файл или файлы.
Фишинг	Индикаторы, связанные с фишинговой кампанией.
Прокси	Индикатор прокси-службы.
ПУА	Потенциально нежелательные приложения.
Список наблюдения	Универсальное ведро, в которое помещаются индикаторы, когда невозможно точно определить, какая угроза представлена или требуется ручная интерпретация. WatchList обычно не следует использовать партнерами, отправляющими данные в систему.

Примечания.

• В случае AzurePublic и ExternalPublic потоков, IP-адрес, принадлежащий виртуальной машине Azure клиента, заполняется в поле VMIP_s, а общедоступные IP-адреса заполняются в поле PublicIPs_s. Для этих двух типов потоков следует использовать VMIP_s и PublicIPs_s вместо SrcIP_sDestIP_s полей. Для IP-адресов AzurePublic и ExternalPublic мы дополнительно агрегируем, чтобы количество записей, попадающих в рабочую область Log Analytics, было минимально. (Это поле будет выведено из употребления. Используйте SrcIP_s и DestIP_s в зависимости от того, была ли виртуальная машина источником или получателем потока данных).
• Некоторые имена полей присоединены с помощью _s или _d, которые не характеризуют источник и назначение, а указывают типы данных строка и десятичное число соответственно.
• На основе IP-адресов, участвующих в потоке, мы классифицируем потоки на следующие типы потоков:
  • IntraVNet: оба IP-адреса в потоке находятся в одной виртуальной сети Azure.
  • InterVNet: IP-адреса в потоке находятся в двух разных виртуальных сетях Azure.
  • S2S (Межсайтовая): один из IP-адресов принадлежит виртуальной сети Azure, а другой IP-адрес принадлежит клиентской локальной сети, подключенной к виртуальной сети через VPN-шлюз или ExpressRoute.
  • P2S(Точка-к-сеть): один из IP-адресов принадлежит виртуальной сети Azure, а другой IP-адрес принадлежит клиентской сети (сайт), которая подключена к виртуальной сети Azure через VPN-шлюз.
  • AzurePublic: один из IP-адресов принадлежит виртуальной сети Azure, а другой IP-адрес — общедоступный IP-адрес Azure, принадлежащий корпорации Майкрософт. Общедоступные IP-адреса клиента не являются частью этого типа потока. Например, любая клиентская виртуальная машина, отправляя трафик в службу Azure (конечная точка хранилища), будет классифицироваться в соответствии с этим типом потока.
  • ExternalPublic: один из IP-адресов принадлежит виртуальной сети Azure, а другой IP-адрес является общедоступным IP-адресом, который не принадлежит корпорации Майкрософт или части клиентской подписки, видимой для аналитики трафика, и не сообщается как вредоносный в веб-каналах ASC, которые аналитика трафика использует для интервала обработки между FlowIntervalStartTime_t и FlowIntervalEndTime_t.
  • MaliciousFlow: один из IP-адресов принадлежит виртуальной сети Azure, а другой IP-адрес является общедоступным IP-адресом, который не принадлежит корпорации Майкрософт или части клиентской подписки, видимой для аналитики трафика и сообщается как вредоносный в веб-каналах ASC, которые аналитика трафика использует для интервала обработки между FlowIntervalStartTime_t и FlowIntervalEndTime_t.
  • UnknownPrivate: один из IP-адресов принадлежит виртуальной сети Azure, а другой IP-адрес принадлежит частному диапазону IP-адресов, определенному в RFC 1918, и не удалось сопоставить аналитику трафика с сайтом клиента или виртуальной сетью Azure.
  • Unknown: не удается сопоставить любой из IP-адресов в потоке с топологией клиента в Azure и локальной среде (сайт).

Примечание.

Подписка отображается для аналитики трафика в рабочей области Log Analytics, если она содержит журнал потоков, настроенный для этой рабочей области.

Связанный контент

• Общие сведения об аналитике трафика
• Использование запросов в аналитике трафика
• Сценарии использования аналитики трафика