Azure ExpressRoute-trafikinsamlare
ExpressRoute Traffic Collector möjliggör sampling av nätverksflöden som skickas via dina ExpressRoute Direct-kretsar. Flödesloggar skickas till en Log Analytics-arbetsyta där du kan skapa egna loggfrågor för ytterligare analys. Du kan också exportera data till valfritt visualiseringsverktyg eller siem (säkerhetsinformation och händelsehantering) som du väljer. Flödesloggar kan aktiveras för både privat peering och Microsoft-peering med ExpressRoute Traffic Collector.
Användningsfall
Flödesloggar kan hjälpa dig att titta på olika trafikinsikter. Några vanliga användningsfall är:
Nätverksövervakning
- Övervaka privat peering i Azure och Microsoft-peeringtrafik
- Nästan realtidssynlighet i nätverkets dataflöde och prestanda
- Utföra nätverksdiagnos
- Kapacitetsprognoser
Övervaka nätverksanvändning och kostnadsoptimering
- Analysera trafiktrender genom att filtrera exempelflöden efter IP, port eller program
- De främsta talarna för en käll-IP, mål-IP eller program
- Optimera kostnader för nätverkstrafik genom att analysera trafiktrender
Analys av nätverkstekniska
- Identifiera komprometterade IP-adresser genom att analysera alla associerade nätverksflöden
- Exportera flödesloggar till ett SIEM-verktyg (säkerhetsinformation och händelsehantering) för att övervaka, korrelera händelser, generera säkerhetsaviseringar
Insamling och sampling av flödesloggar
Flödesloggar samlas in med ett intervall på var 1 minut. Alla paket som samlas in för ett visst flöde aggregeras och importeras till en Log Analytics-arbetsyta för ytterligare analys. Under flödesinsamlingen samlas inte alla paket in i sin egen flödespost. ExpressRoute Traffic Collector använder en samplingsfrekvens på 1:4096, vilket innebär att 1 av 4 096 paket samlas in. Därför kanske samplingshastighetens korta flöden (totalt antal byte) inte samlas in. Den här samplingsstorleken påverkar inte nätverkstrafikanalysen när exempeldata aggregeras under en längre tidsperiod. Tid och samplingsfrekvens för flödesinsamling är fasta och kan inte ändras.
Schema för flödeslogg
Column | Type | Beskrivning |
---|---|---|
ATCRegion | sträng | Distributionsregion för ExpressRoute Traffic Collector (ATC). |
ATCResourceId | sträng | Azure-resurs-ID för ExpressRoute Traffic Collector (ATC). |
BgpNextHop | sträng | BGP (Border Gateway Protocol) nästa hopp enligt definitionen i routningstabellen. |
DestinationIp | sträng | Mål-IP-adress. |
DestinationPort | heltal | TCP-målport. |
Dot1qCustomerVlanId | heltal | Dot1q Customer VlanId. |
Dot1qVlanId | heltal | Dot1q VlanId. |
DstAsn | heltal | Destination Autonomt systemnummer (ASN). |
DstMask | heltal | Mask för målundernätet. |
DstSubnet | sträng | Målundernät för mål-IP. |
ExRCircuitDirectPortId | sträng | Azure-resurs-ID för Express Route Circuits direktport. |
ExRCircuitId | sträng | Azure-resurs-ID för Express Route Circuit. |
ExRCircuitServiceKey | sträng | Tjänstnyckel för Express Route Circuit. |
FlowRecordTime | datetime | Tidsstämpel (UTC) när Express Route Circuit avgav den här flödesposten. |
Flowsequence | lång | Flödessekvens för det här flödet. |
IcmpType | heltal | Protokolltyp som anges i IP-huvudet. |
IpClassOfService | heltal | IP-tjänstklass som anges i IP-huvudet. |
IpProtocolIdentifier | heltal | Protokolltyp som anges i IP-huvudet. |
IpVerCode | heltal | IP-version enligt definitionen i IP-huvudet. |
MaxTtl | heltal | Maximal tid att leva (TTL) enligt definitionen i IP-huvudet. |
MinTtl | heltal | Minsta tid att leva (TTL) enligt definitionen i IP-huvudet. |
NextHop | sträng | Nästa hopp enligt tabellen för vidarebefordring. |
NumberOfBytes | lång | Totalt antal byte med paket som samlats in i det här flödet. |
NumberOfPackets | lång | Totalt antal paket som samlats in i det här flödet. |
OperationName | sträng | Den specifika ExpressRoute Traffic Collector-åtgärd som släppte den här flödesposten. |
PeeringType | sträng | Express Route Circuit-peeringtyp. |
Protokoll | heltal | Protokolltyp som anges i IP-huvudet. |
_ResourceId | sträng | En unik identifierare för resursen som posten är associerad med |
SchemaVersion | sträng | Schemaversion för flödespost. |
SourceIp | sträng | Källans IP-adress. |
SourcePort | heltal | TCP-källport. |
SourceSystem | sträng | |
SrcAsn | heltal | Källnummer för autonomt system (ASN). |
SrcMask | heltal | Maskering av källundernät. |
SrcSubnet | sträng | Källundernät för käll-IP. |
_SubscriptionId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
TcpFlag | heltal | TCP-flagga enligt definitionen i TCP-huvudet. |
TenantId | sträng | |
TimeGenerated | datetime | Tidsstämpel (UTC) när ExpressRoute Traffic Collector avgav den här flödesposten. |
Typ | sträng | Namnet på tabellen |
Region tillgänglighet
ExpressRoute Traffic Collector stöds i följande regioner:
Region | Regionsnamn |
---|---|
Nordamerika n |
|
Sydamerika |
|
Europa |
|
Asien |
|
Afrika |
|
Stillahavsområdet |
|
Prissättning
Zon | Gateway per timme | Data som bearbetas per GB |
---|---|---|
Zon 1 | 0,60 USD/timme | 0,10 USD/GB |
Zon 2 | 0,80 USD/timme | 0,20 USD/GB |
Zon 3 | 0,80 USD/timme | 0,20 USD/GB |
Nästa steg
- Lär dig hur du konfigurerar ExpressRoute Traffic Collector.
- Vanliga frågor och svar om ExpressRoute Traffic Collector.