Azure ExpressRoute-trafikinsamlare

  • Artikel

ExpressRoute Traffic Collector möjliggör sampling av nätverksflöden som skickas via dina ExpressRoute Direct-kretsar. Flödesloggar skickas till en Log Analytics-arbetsyta där du kan skapa egna loggfrågor för ytterligare analys. Du kan också exportera data till valfritt visualiseringsverktyg eller siem (säkerhetsinformation och händelsehantering) som du väljer. Flödesloggar kan aktiveras för både privat peering och Microsoft-peering med ExpressRoute Traffic Collector.

Diagram of ExpressRoute traffic collector in an Azure environment.

Användningsfall

Flödesloggar kan hjälpa dig att titta på olika trafikinsikter. Några vanliga användningsfall är:

Nätverksövervakning

  • Övervaka privat peering i Azure och Microsoft-peeringtrafik
  • Nästan realtidssynlighet i nätverkets dataflöde och prestanda
  • Utföra nätverksdiagnos
  • Kapacitetsprognoser

Övervaka nätverksanvändning och kostnadsoptimering

  • Analysera trafiktrender genom att filtrera exempelflöden efter IP, port eller program
  • De främsta talarna för en käll-IP, mål-IP eller program
  • Optimera kostnader för nätverkstrafik genom att analysera trafiktrender

Analys av nätverkstekniska

  • Identifiera komprometterade IP-adresser genom att analysera alla associerade nätverksflöden
  • Exportera flödesloggar till ett SIEM-verktyg (säkerhetsinformation och händelsehantering) för att övervaka, korrelera händelser, generera säkerhetsaviseringar

Insamling och sampling av flödesloggar

Flödesloggar samlas in med ett intervall på var 1 minut. Alla paket som samlas in för ett visst flöde aggregeras och importeras till en Log Analytics-arbetsyta för ytterligare analys. Under flödesinsamlingen samlas inte alla paket in i sin egen flödespost. ExpressRoute Traffic Collector använder en samplingsfrekvens på 1:4096, vilket innebär att 1 av 4 096 paket samlas in. Därför kanske samplingshastighetens korta flöden (totalt antal byte) inte samlas in. Den här samplingsstorleken påverkar inte nätverkstrafikanalysen när exempeldata aggregeras under en längre tidsperiod. Tid och samplingsfrekvens för flödesinsamling är fasta och kan inte ändras.

Schema för flödeslogg

Column Type Beskrivning
ATCRegion sträng Distributionsregion för ExpressRoute Traffic Collector (ATC).
ATCResourceId sträng Azure-resurs-ID för ExpressRoute Traffic Collector (ATC).
BgpNextHop sträng BGP (Border Gateway Protocol) nästa hopp enligt definitionen i routningstabellen.
DestinationIp sträng Mål-IP-adress.
DestinationPort heltal TCP-målport.
Dot1qCustomerVlanId heltal Dot1q Customer VlanId.
Dot1qVlanId heltal Dot1q VlanId.
DstAsn heltal Destination Autonomt systemnummer (ASN).
DstMask heltal Mask för målundernätet.
DstSubnet sträng Målundernät för mål-IP.
ExRCircuitDirectPortId sträng Azure-resurs-ID för Express Route Circuits direktport.
ExRCircuitId sträng Azure-resurs-ID för Express Route Circuit.
ExRCircuitServiceKey sträng Tjänstnyckel för Express Route Circuit.
FlowRecordTime datetime Tidsstämpel (UTC) när Express Route Circuit avgav den här flödesposten.
Flowsequence lång Flödessekvens för det här flödet.
IcmpType heltal Protokolltyp som anges i IP-huvudet.
IpClassOfService heltal IP-tjänstklass som anges i IP-huvudet.
IpProtocolIdentifier heltal Protokolltyp som anges i IP-huvudet.
IpVerCode heltal IP-version enligt definitionen i IP-huvudet.
MaxTtl heltal Maximal tid att leva (TTL) enligt definitionen i IP-huvudet.
MinTtl heltal Minsta tid att leva (TTL) enligt definitionen i IP-huvudet.
NextHop sträng Nästa hopp enligt tabellen för vidarebefordring.
NumberOfBytes lång Totalt antal byte med paket som samlats in i det här flödet.
NumberOfPackets lång Totalt antal paket som samlats in i det här flödet.
OperationName sträng Den specifika ExpressRoute Traffic Collector-åtgärd som släppte den här flödesposten.
PeeringType sträng Express Route Circuit-peeringtyp.
Protokoll heltal Protokolltyp som anges i IP-huvudet.
_ResourceId sträng En unik identifierare för resursen som posten är associerad med
SchemaVersion sträng Schemaversion för flödespost.
SourceIp sträng Källans IP-adress.
SourcePort heltal TCP-källport.
SourceSystem sträng
SrcAsn heltal Källnummer för autonomt system (ASN).
SrcMask heltal Maskering av källundernät.
SrcSubnet sträng Källundernät för käll-IP.
_SubscriptionId sträng En unik identifierare för prenumerationen som posten är associerad med
TcpFlag heltal TCP-flagga enligt definitionen i TCP-huvudet.
TenantId sträng
TimeGenerated datetime Tidsstämpel (UTC) när ExpressRoute Traffic Collector avgav den här flödesposten.
Typ sträng Namnet på tabellen

Region tillgänglighet

ExpressRoute Traffic Collector stöds i följande regioner:

Region Regionsnamn
Nordamerika n
  • Östra Kanada
  • Kanada, centrala
  • Central US
  • USA, centrala (EUAP)
  • USA, norra centrala
  • USA, södra centrala
  • Västra centrala USA
  • East US
  • USA, östra 2
  • USA, västra
  • USA, västra 2
  • USA, västra 3
Sydamerika
  • Brasilien, södra
  • Brasilien, sydöstra
Europa
  • Västeuropa
  • Europa, norra
  • Storbritannien, södra
  • Storbritannien, västra
  • Frankrike, centrala
  • Frankrike, södra
  • Tyskland, norra
  • Tyskland, västra
  • Sverige, centrala
  • Södra Sverige
  • Schweiz, norra
  • Schweiz, västra
  • Norge, östra
  • Norge, västra
Asien
  • Asien, östra
  • Sydostasien
  • Indien, centrala
  • Indien, södra
  • Västra Japan
  • Södra Korea
  • Förenade Arabemiraten, norra
Afrika
  • Sydafrika, norra
  • Sydafrika, västra
Stillahavsområdet
  • Australien, centrala
  • Australien, centrala 2
  • Australien, östra
  • Australien, sydöstra

Prissättning

Zon Gateway per timme Data som bearbetas per GB
Zon 1 0,60 USD/timme 0,10 USD/GB
Zon 2 0,80 USD/timme 0,20 USD/GB
Zon 3 0,80 USD/timme 0,20 USD/GB

Nästa steg