Trafik analizi şeması ve veri toplama

Trafik analizi, bulut ağlarındaki kullanıcı ve uygulama etkinliğine görünürlük sağlayan bulut tabanlı bir çözümdür. Trafik analizi, Azure bulutunuzda trafik akışına ilişkin içgörüler sağlamak için Azure Ağ İzleyicisi akış günlüklerini analiz eder. Trafik analizi ile şunları yapabilirsiniz:

• Azure aboneliklerinizde ağ etkinliğini görselleştirin ve sık erişim noktalarını belirleyin.
• Açık bağlantı noktaları, İnternet erişimine çalışan uygulamalar ve hatalı ağlara bağlanan sanal makineler (VM) gibi bilgilerle güvenlik tehditlerini belirleyin ve ağınızın güvenliğini sağlayın.
• Ağ dağıtımınızı performans ve kapasite için iyileştirmek için Azure bölgeleri ve İnternet genelindeki trafik akışı desenlerini anlayın.
• Pinpoint ağ yanlış yapılandırmaları, ağınızda başarısız bağlantılara yol açar.
• Bayt, paket veya akış cinsinden ağ kullanımını öğrenin.

Veri toplama

Sanal ağ akış günlükleri

• FlowIntervalStartTime ile FlowIntervalEndTime arasındaki tüm akış günlükleri, bir dakikalık aralıklarla bir depolama hesabında blob olarak kaydedilir.
• Trafik analizinin varsayılan işleme aralığı 60 dakikadır; yani trafik analizi saatte bir toplama için depolama hesabından blobları seçer. Ancak 10 dakikalık bir işlem aralığı seçilirse trafik analizi bunun yerine 10 dakikada bir depolama hesabından bloblar seçer.
• Aynı Source IP, Destination IP, Destination port, NSG name, NSG rule, Flow Direction ve Transport layer protocol (TCP or UDP) içeren akışlar, trafik analizi tarafından tek bir akışta birleştirilir (Not: kaynak bağlantı noktası toplama işlemine dahil edilmez).
• Bu tek kayıt süslenmiştir (ayrıntılar aşağıdaki bölümde) ve trafik analizi aracılığıyla Azure Monitor günlüklerine alınır. Bu işlem 1 saate kadar sürebilir.
• FlowStartTime alanı, FlowIntervalStartTime ile FlowIntervalEndTime arasındaki akış günlüğü işleme aralığında bu tür bir toplu akışın (aynı dört-tuple) ilk oluşumunu gösterir.
• Trafik analizindeki herhangi bir kaynak için Azure portalında belirtilen akışlar, görülen toplam akışlardır, ancak Azure İzleyici günlüklerinde kullanıcı yalnızca tek ve azaltılmış kaydı görür. Tüm akışları görmek için, depolama alanından başvurulabilecek blob_id alanını kullanın. Bu kaydın toplam akış sayısı blobda görülen tek tek akışlarla eşleşir.

• FlowIntervalStartTime_t ve FlowIntervalEndTime_t arasındaki ağ güvenlik grubundaki tüm akış günlükleri, her bir dakikada bir depolama hesabında blob olarak kaydedilir.
• Trafik analizinin varsayılan işleme aralığı 60 dakikadır; yani trafik analizi saatte bir toplama için depolama hesabından blobları seçer. Ancak 10 dakikalık bir işlem aralığı seçilirse trafik analizi bunun yerine 10 dakikada bir depolama hesabından bloblar seçer.
• Aynı Source IP, Destination IP, Destination port, NSG name, NSG rule, Flow Direction ve Transport layer protocol (TCP or UDP) içeren akışlar trafik analizi tarafından tek bir akışta birleştirilir (Not: kaynak portu toplama için hariç tutulur).
• Bu tek kayıt zenginleştirilmiştir (ayrıntılar aşağıdaki bölümde) ve trafik analizi tarafından Azure İzleyici günlüğüne aktarılır. Bu işlem 1 saate kadar sürebilir.
• FlowStartTime_t alanı, FlowIntervalStartTime_t ve FlowIntervalEndTime_t arasındaki akış günlüğü işleme aralığında, bu tür bir toplu akışın (aynı dört tanımlama grubu) ilk kez oluşumunu gösterir.
• Trafik analizindeki herhangi bir kaynak için Azure portalında belirtilen akışlar, ağ güvenlik grubu tarafından görülen toplam akışlardır, ancak Azure İzleyici günlüklerinde kullanıcı yalnızca tek, azaltılmış kaydı görür. Tüm akışları görmek için, depolama alanından başvurulabilen blob_id alanını kullanın. Bu kaydın toplam akış sayısı blobda görülen tek tek akışlarla eşleşir.

Trafik analizi şeması

Trafik analizi, Azure İzleyici günlüklerinin üzerine kuruludur, böylece trafik analizi tarafından düzenlenmiş veriler üzerinde özel sorgular çalıştırabilir ve uyarılar ayarlayabilirsiniz.

Sanal ağ akış günlükleri

Aşağıdaki tabloda şemadaki alanlar ve sanal ağ akış günlükleri için neleri işaret ettikleri listelenmiştir. Daha fazla bilgi için bkz. NTANetAnalytics.

Alan	Biçim	Açıklamalar
Tablo Adı	NTANetAnalytics	Trafik analizi verileri tablosu.
Alt	Akış Kayıtları	Akış günlükleri için alt tür. Yalnızca FlowLog kullanın; Alt Türün diğer değerleri iç kullanım içindir.
FASchemaVersion	3	Şema sürümü. Sanal ağ akış günlüğü sürümünü yansıtmaz.
İşlenme Süresi	UTC olarak tarih ve saat	Trafik analizinin depolama hesabından ham akış günlüklerini işlediği zaman.
FlowIntervalStartTime	UTC olarak tarih ve saat	Akış günlüğü işleme aralığının başlangıç saati (akış aralığının ölçüldiği zaman).
FlowIntervalEndTime	UTC olarak tarih ve saat	Akış günlüğü işleme aralığının bitiş saati.
Akış Başlangıç Zamanı	UTC olarak tarih ve saat	ile arasındaki FlowIntervalStartTimeFlowIntervalEndTimeakış günlüğü işleme aralığında akışın ilk oluşumu (toplanır). Bu akış toplama mantığına göre toplanır.
Akış Bitiş Süresi	UTC olarak tarih ve saat	Akış günlüğü işleme aralığında FlowIntervalStartTime ile FlowIntervalEndTime arasındaki akışın son oluşumu (toplanan).
Akış Türü	- IntraVNet - InterVNet (İngilizce) - S2S (Sunucu-İstemci) - P2S (Noktadan Noktaya Servis) - AzureHerkese Açık - ExternalPublic (DışKamu) - Kötü Amaçlı Akış - Bilinmeyen Özel -Bilinmeyen	Bakınız Tanımlar için Notlar.
SrcIp	Kaynak IP adresi	AzurePublic ve ExternalPublic akışlarında boş.
DestIp	Hedef IP adresi	AzurePublic ve ExternalPublic akışlarında hiçbir değer yok.
TargetResourceId (HedefKaynak Kimliği)	ResourceGroupAdı/ResourceAdı	Akış günlüğünün ve trafik analizinin etkinleştirildiği kaynağın kimliği.
TargetResourceType (HedefKaynak Türü)	VirtualNetwork/Alt Ağ/Ağ Arabirimi	Akış günlüğünün ve trafik analizinin etkinleştirildiği kaynak türü (sanal ağ, alt ağ, NIC veya ağ güvenlik grubu).
FlowLogResourceId	KaynakGrupAdı/AğİzleyiciAdı/AkışGünlüğüAdı	Akış günlüğünün kaynak kimliği.
DestPort	Hedef Bağlantı Noktası	Trafiğin geldiği port.
L4 Protokolü	-T -U	Aktarım Protokolü. T = TCP U = UDP
L7 Protokolü	Protokol Adı	Hedef bağlantı noktasından türetilir.
Akış Yönü	- I = Gelen - O = 'Giden'	Akışın yönü: akış günlüğü başına hedef kaynağın içinde veya dışında.
Akış Durumu	- A = İzin Verildi - D = Reddedildi	Akışın durumu: Akış günlüğü başına hedef kaynak tarafından izin verilir veya reddedilir.
AclGroup	<SubscriptionID>/<resourcegroup_Name>/<NSG_Name>	Akışla ilişkili ağ güvenlik grubu.
AclRule	NSG_Rule_Name	Akışa izin veren veya akışı reddeden ağ güvenlik grubu kuralı.
MACAddress	MAC Adresi	Akışın yakalandığı NIC'nin MAC adresi.
SrcAbonelik	Abonelik Kimliği	Akıştaki kaynak IP'nin ait olduğu sanal ağın / ağ arabiriminin / sanal makinenin abonelik kimliği.
DestAboneliği	Abonelik Kimliği	Akıştaki hedef IP'nin ait olduğu sanal ağın / ağ arabiriminin / sanal makinenin abonelik kimliği.
SrcRegion	Azure Bölgesi	Akıştaki kaynak IP'nin ait olduğu sanal ağın / ağ arabiriminin / sanal makinenin Azure bölgesi.
DestRegion	Azure Bölgesi	Akıştaki hedef IP'nin ait olduğu sanal ağın Azure bölgesi.
SrcNic (İngilizce)	<resourcegroup_Name>/<NetworkInterfaceName>	Akıştaki kaynak IP ile ilişkili NIC.
DestNic	<resourcegroup_Name>/<NetworkInterfaceName>	Akıştaki hedef IP ile ilişkili NIC.
SrcVm	<resourcegroup_Name>/<VirtualMachineName>	Akıştaki kaynak IP ile ilişkilendirilmiş sanal makine.
DestVm	<resourcegroup_Name/><VirtualMachineName>	Akıştaki hedef IP ile ilişkilendirilmiş sanal makine.
Kaynak Alt Ağ	<ResourceGroup_Name>/<VirtualNetwork_Name>/<SubnetName>	Akıştaki kaynak IP ile ilişkilendirilmiş alt ağ.
DestAlt Ağ	<ResourceGroup_Name>/<VirtualNetwork_Name>/<SubnetName>	Akıştaki hedef IP ile ilişkilendirilmiş alt ağ.
SrcApplicationGateway (İngilizce)	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Akıştaki kaynak IP ile ilişkili uygulama ağ geçidi.
DestApplicationAğ Geçidi	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Akıştaki hedef IP ile ilişkili uygulama ağ geçidi.
SrcExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute devre kimliği - akış ExpressRoute aracılığıyla siteden gönderildiğinde.
DestExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute devre kimliği - akış ExpressRoute üzerinden buluttan alındığında.
ExpressRouteCircuitPeeringType	- AzurePrivatePeering {AzureÖzel Eşleme} - AzurePublicPeering - Microsoft Eşleme	Akışa dahil olan ExpressRoute eşleme türü.
SrcLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Yük dengeleyici, akıştaki kaynak IP ile ilişkilidir.
DestLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Akıştaki hedef IP ile ilişkili yük dengeleyici.
KaynakYerelAğ Geçidi	<SubscriptionID> / <ResourceGroupName> / <LocalNetworkGatewayName>	Akıştaki kaynak IP ile ilişkili yerel ağ geçidi.
DestLocalNetworkGateway	<SubscriptionID> / <ResourceGroupName> / <LocalNetworkGatewayName>	Akıştaki hedef IP ile ilişkili yerel ağ geçidi.
BağlantıTürü	- VNetEşleme - VpnAğ Geçidi - ExpressRoute (Ekspres Rota)	Bağlantı türü.
ConnectionName (Bağlantıadı)	<SubscriptionID>/<ResourceGroupName>/<ConnectionName>	Bağlantı adı. P2S akış türü için GatewayName<_>VPNClientIP olarak <biçimlendirilir>
VNet'leri Bağlama	Sanal ağ adlarının boşlukla ayrılmış listesi.	Hub and spoke topolojisinde hub sanal ağları burada oluşturulur.
Ülke	İki harfli ülke kodu (ISO 3166-1 alfa-2)	ExternalPublic akış türü için doldurulur. PublicIPs alanındaki tüm IP adresleri aynı ülke kodunu paylaşır.
AzureRegion	Azure bölge konumları	AzurePublic akış türü için veriler doldurulmaktadır. PublicIPs alanındaki tüm IP adresleri Azure bölgesini paylaşır.
İzin Verilen Giriş Akışları	-	İzin verilen gelen akışların sayısı, akışın yakalandığı ağ arabirimine doğru aynı dörtleme ile gelen akış sayısını temsil eder.
Reddedilen Akışlar	-	Reddedilen gelen akışların sayısı. (Akışın yakalandığı ağ arabirimine gelen).
İzin Verilen Akışlar	-	İzin verilen giden akışların sayısı (Akışın yakalandığı ağ arabirimine giden).
Reddedilen Akışlar	-	Reddedilen giden akışların sayısı (Akışın yakalandığı ağ arabirimine giden).
PacketsDestToSrc	-	Hedeften akışın kaynağına gönderilen paketleri temsil eder.
PaketlerSrcToDest	-	Kaynağından akışın hedefine gönderilen paketleri temsil eder.
BytesDestToSrc	-	Hedeften akışın kaynağına gönderilen baytları temsil eder.
BytesSrcToDest	-	Kaynaktan akışın hedefine gönderilen baytları temsil eder.
Tamamlanan Akışlar	-	Tamamlanan toplam akış sayısı (bir akış tamamlandı olayı aldığında sıfır olmayan değerle doldurulur).
SrcPublicIps	<KAYNAK_GENEL_IP>|<AKIŞ_BAŞLANGIÇ_SAYISI>|<AKIŞ_BİTİŞ_SAYISI>|<DIŞA_VERİLEN_PAKETLER>|<İÇERİ_ALINAN_PAKETLER>|<DIŞA_VERİLEN_BAYT>|<İÇERİ_ALINAN_BAYT>	Çubuklarla ayrılmış girişler.
DestPublicIps	<HEDEF_GENEL_IP>|<AKIŞ_BAŞLATILDI_SAYISI>|<AKIŞ_TAMAMLANDI_SAYISI>|<GİDEN_PAKETLER>|<GELEN_PAKETLER>|<GİDEN_BAYT>|<GELEN_BAYT>	Çubuklarla ayrılmış girişler.
Akış Şifrelemesi	-Şifrelenmiş -Şifrelenmemiş - Desteklenmeyen donanım - Yazılım hazır değil - Şifreleme olmadığından bırakma - Keşif desteklenmiyor - Aynı sunucuda hedef - Şifreleme olmadan geri dönün.	Akışların şifreleme düzeyi.
PrivateEndpointResourceId	<KaynakGrubu/özelBağlantıKaynağı>	Özel uç nokta kaynağının kaynak kimliği. Özel uç nokta kaynağına veya özel uç nokta kaynağından trafik akışı yapıldığında doldurulur.
PrivateLinkResourceId	<KaynakGrubu/KaynakTürü/özelBağlantıKaynağı>	Özel bağlantı hizmetinin kaynak kimliği. Özel uç nokta kaynağına veya özel uç nokta kaynağından trafik akışı yapıldığında doldurulur.
PrivateLinkResourceName (ÖzelLinkKaynakAdı)	Düz metin	Özel bağlantı hizmetinin kaynak adı. Özel uç nokta kaynağına veya özel uç nokta kaynağından trafik akışı gerçekleştiğinde doldurulur.
IsFlowCapturedAtUDRHop	-Doğru - Yanlış	Akış bir UDR atlamada yakalanırsa, değer True olur.

Not

Sanal ağ akış günlüklerindeki NTANetAnalytics, ağ güvenlik grubu akış günlüklerinde kullanılan AzureNetworkAnalytics_CL değiştirir.

Ağ güvenlik grubu akış günlükleri

Aşağıdaki tabloda şemadaki alanlar ve ağ güvenlik grubu akış günlükleri için neleri işaret ettikleri listelenmiştir.

Alan	Biçim	Açıklamalar
Tablo Adı	AzureNetworkAnalytics_CL	Trafik analizi verileri tablosu.
SubType_s	Akış Kayıtları	Akış günlükleri için alt tür. Yalnızca FlowLog kullanın; SubType_s diğer değerleri iç kullanım içindir.
FASchemaVersion_s	2	Şema sürümü. Ağ güvenlik grubu akış günlüğü sürümünü yansıtmaz.
TimeProcessed_t	UTC olarak tarih ve saat	Trafik analizinin depolama hesabından ham akış günlüklerini işlediği zaman.
FlowIntervalStartTime_t	UTC olarak tarih ve saat	Akış günlüğü işleme aralığının başlangıç saati (akış aralığının ölçüldiği zaman).
FlowIntervalEndTime_t	UTC olarak tarih ve saat	Akış günlüğü işleme aralığının bitiş saati.
FlowStartTime_t	UTC olarak tarih ve saat	ile arasındaki FlowIntervalStartTime_tFlowIntervalEndTime_takış günlüğü işleme aralığında akışın ilk oluşumu (toplanır). Bu akış toplama mantığına göre toplanır.
FlowEndTime_t	UTC olarak tarih ve saat	Akış günlüğü işleme aralığında FlowIntervalStartTime_t ile FlowIntervalEndTime_t arasındaki akışın son oluşumu (toplanan). V2 akış günlüğü açısından, bu alan aynı dört tanımlama grubuna sahip son akışın başlatılma zamanını içerir (ham akış kaydında B olarak işaretlenir).
FlowType_s	- IntraVNet - InterVNet (İngilizce) - S2S (Sunucu-İstemci) - P2S (Noktadan Noktaya Servis) - AzureHerkese Açık - ExternalPublic (DışKamu) - Kötü Amaçlı Akış - Bilinmeyen Özel -Bilinmeyen	Bakınız Tanımlar için Notlar.
SrcIP_s	Kaynak IP adresi	AzurePublic ve ExternalPublic akışlarında boş.
DestIP_s	Hedef IP adresi	AzurePublic ve ExternalPublic akışlarında boş.
VMIP_s	VM'nin IP'sini	AzurePublic ve ExternalPublic akışları için kullanılır.
DestPort_d	Hedef Bağlantı Noktası	Trafiğin geldiği port.
L4Protocol_s	-T -U	Aktarım Protokolü. T = TCP U = UDP.
L7Protocol_s	Protokol Adı	Hedef bağlantı noktasından türetilir.
FlowDirection_s	- I = Gelen - O = Giden	Akış yönü: Ağ güvenlik grubuna doğru veya dışına doğru, her akış günlüğü için.
FlowStatus_s	- A = İzin Verildi - D = Reddedildi	Her akış günlüğü için, ağ güvenlik grubu tarafından izin verilip verilmediği veya reddedildiği akışın durumu.
NSGList_s	<SubscriptionID>/<resourcegroup_Name>/<NSG_Name>	Akışla ilişkili ağ güvenlik grubu.
NSGRules_s	<Dizin değeri 0>|<NSG_Kural_Adı>|<Akış Yönü>|<Akış Durumu>|<Akış Sayısı Kurala Göre İşlendi>	Bu akışa izin veren veya bu akışı reddeden ağ güvenlik grubu kuralı.
NSGRule_s	NSG_Rule_Name	Bu akışa izin veren veya bu akışı reddeden ağ güvenlik grubu kuralı.
NSGRuleType_s	- Kullanıcı Tanımlı -Varsayılan	Akış tarafından kullanılan ağ güvenlik grubu kuralı türü.
MacAddress_s	MAC Adresi	Akışın yakalandığı NIC'nin MAC adresi.
Subscription_g	Azure sanal ağı / ağ arabirimi / sanal makine aboneliği bu alana doldurulur	Yalnızca FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow ve UnknownPrivate akış türleri (yalnızca bir tarafı Azure olan akış türleri) için geçerlidir.
Subscription1_g	Abonelik Kimliği	Akıştaki kaynak IP'nin ait olduğu sanal ağın / ağ arabiriminin / sanal makinenin abonelik kimliği.
Subscription2_g	Abonelik Kimliği	Akıştaki hedef IP'nin ait olduğu sanal ağın/ ağ arabiriminin / sanal makinenin abonelik kimliği.
Region_s	Akıştaki IP'nin ait olduğu sanal ağın / ağ arabiriminin / sanal makinenin Azure bölgesi.	Yalnızca FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow ve UnknownPrivate akış türleri (yalnızca bir tarafı Azure olan akış türleri) için geçerlidir.
Region1_s	Azure Bölgesi	Akıştaki kaynak IP'nin ait olduğu sanal ağın / ağ arabiriminin / sanal makinenin Azure bölgesi.
Region2_s	Azure Bölgesi	Akıştaki hedef IP'nin ait olduğu sanal ağın Azure bölgesi.
NIC_s	<resourcegroup_Name>/<NetworkInterfaceName>	Trafiği gönderen veya alan VM ile ilişkili Ağ Arayüz Kartı (NIC).
NIC1_s	<resourcegroup_Name>/<NetworkInterfaceName>	Akıştaki kaynak IP ile ilişkili NIC.
NIC2_s	<resourcegroup_Name>/<NetworkInterfaceName>	Akıştaki hedef IP ile ilişkili NIC.
VM_s	<resourcegroup_Name>/<NetworkInterfaceName>	Ağ arabirimi NIC_s ile ilişkilendirilmiş Sanal Makine.
VM1_s	<resourcegroup_Name/><VirtualMachineName>	Akıştaki kaynak IP ile ilişkilendirilmiş Sanal Makine.
VM2_s	<resourcegroup_Name/><VirtualMachineName>	Akıştaki hedef IP ile ilişkilendirilmiş Sanal Makine.
Subnet_s	<ResourceGroup_Name>/<VirtualNetwork_Name>/<SubnetName>	NIC_s ile ilişkilendirilmiş alt ağ.
Subnet1_s	<ResourceGroup_Name>/<VirtualNetwork_Name>/<SubnetName>	Akıştaki Kaynak IP ile ilişkilendirilmiş alt ağ.
Subnet2_s	<ResourceGroup_Name>/<VirtualNetwork_Name>/<SubnetName>	Akıştaki Hedef IP ile ilişkilendirilmiş alt ağ.
ApplicationGateway1_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Akıştaki Kaynak IP adresi ile ilişkili uygulama ağ geçidi.
ApplicationGateway2_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Akıştaki Hedef IP ile ilişkili uygulama ağ geçidi.
ExpressRouteCircuit1_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute devre kimliği - akış ExpressRoute aracılığıyla siteden gönderildiğinde.
ExpressRouteCircuit2_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute devre kimliği - akış ExpressRoute üzerinden buluttan alındığında.
ExpressRouteCircuitPeeringType_s	- AzurePrivatePeering {AzureÖzel Eşleme} - AzurePublicPeering - Microsoft Eşleme	Akışa dahil olan ExpressRoute eşleme türü.
LoadBalancer1_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Akıştaki Kaynak IP ile ilişkili yük dengeleyici.
LoadBalancer2_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Akıştaki Hedef IP ile ilişkili yük dengeleyici.
LocalNetworkGateway1_s	<SubscriptionID> / <ResourceGroupName> / <LocalNetworkGatewayName>	Akıştaki Kaynak IP ile ilişkili yerel ağ geçidi.
LocalNetworkGateway2_s	<SubscriptionID> / <ResourceGroupName> / <LocalNetworkGatewayName>	Akıştaki Hedef IP ile ilişkili yerel ağ geçidi.
ConnectionType_s	- VNetEşleme - VpnAğ Geçidi - ExpressRoute (Ekspres Rota)	Bağlantı Türü.
ConnectionName_s	<SubscriptionID>/<ResourceGroupName>/<ConnectionName>	Bağlantı Adı. P2S akış türü için ağ geçidi adı<_>VPN İstemci IP'si< olarak >biçimlendirilir.
ConnectingVNets_s	Sanal ağ adlarının boşlukla ayrılmış listesi	Merkez ve çomak topolojisi söz konusu olduğunda, merkez sanal ağları burada yerleştirilir.
Country_s	İki harfli ülke kodu (ISO 3166-1 alfa-2)	ExternalPublic akış türü için doldurulur. PublicIPs_s alanındaki tüm IP adresleri aynı ülke kodunu paylaşır.
AzureRegion_s	Azure bölge konumları	AzurePublic akış türü için veriler doldurulmaktadır. PublicIPs_s alanındaki tüm IP adresleri Azure bölgesini paylaşır.
İzin Verilen Akışlar_d		İzin verilen gelen akışların sayısı, akışın yakalandığı ağ arabirimine doğru aynı dörtleme ile gelen akış sayısını temsil eder.
DeniedInFlows_d		Reddedilen gelen akışların sayısı. (Akışın yakalandığı ağ arabirimine gelen).
İzin Verilen Çıkış Akışları_d		İzin verilen giden akışların sayısı (Akışın yakalandığı ağ arabirimine giden).
DeniedOutFlows_d		Reddedilen giden akışların sayısı (Akışın yakalandığı ağ arabirimine giden).
FlowCount_d	Kullanımdan kaldırıldı. Aynı dört-tuple ile eşleşen toplam akışlar. ExternalPublic ve AzurePublic akış türleri söz konusu olduğunda, sayı çeşitli PublicIP adreslerinden gelen akışları da içerir.
InboundPackets_d	Hedeften akışın kaynağına gönderilen paketleri temsil eder	Yalnızca ağ güvenlik grubu akış günlüğü şemasının Sürüm 2 için doldurulur.
OutboundPackets_d	Kaynaktan akışın hedefine gönderilen paketleri temsil eder	Yalnızca ağ güvenlik grubu akış günlüğü şemasının Sürüm 2 için doldurulur.
InboundBytes_d	Hedeften akışın kaynağına gönderilen baytları temsil eder	Yalnızca ağ güvenlik grubu akış günlüğü şemasının Sürüm 2 için doldurulur.
OutboundBytes_d	Kaynaktan akışın hedefine gönderilen baytları temsil eder	Yalnızca ağ güvenlik grubu akış günlüğü şemasının Sürüm 2 için doldurulur.
CompletedFlows_d		Yalnızca ağ güvenlik grubu akış günlüğü şemasının Sürüm 2 için sıfır olmayan değerle doldurulur.
PublicIPs_s	< >GENEL_IP|<>AKIŞ_BAŞLANGIÇ_SAYISI|<>AKIŞ_BİTİŞ_SAYISI|<>DIŞARI_GİDEN_PAKETLER|<>İÇERİ_GELEN_PAKETLER|<>DIŞARI_GİDEN_BAYTLAR|<İÇERİ_GELEN_BAYTLAR>	Çubuklarla ayrılmış girişler.
SrcPublicIPs_s	<KAYNAK_GENEL_IP>|<AKIŞ_BAŞLANGIÇ_SAYISI>|<AKIŞ_BİTİŞ_SAYISI>|<DIŞA_VERİLEN_PAKETLER>|<İÇERİ_ALINAN_PAKETLER>|<DIŞA_VERİLEN_BAYT>|<İÇERİ_ALINAN_BAYT>	Çubuklarla ayrılmış girişler.
DestPublicIPs_s	<HEDEF_GENEL_IP>|<AKIŞ_BAŞLATILDI_SAYISI>|<AKIŞ_TAMAMLANDI_SAYISI>|<GİDEN_PAKETLER>|<GELEN_PAKETLER>|<GİDEN_BAYT>|<GELEN_BAYT>	Çubuklarla ayrılmış girişler.
IsFlowCapturedAtUDRHop_b	-Doğru - Yanlış	Akış bir UDR atlamada yakalanırsa, değer True olur.

Önemli

Trafik analizi şeması 22 Ağustos 2019'da güncelleştirildi. Yeni şema, kaynak ve hedef IP'leri ayrı ayrı sağlayarak sorgular daha basit olması için alanı ayrıştırma FlowDirection gereksinimini ortadan kaldırır. Güncelleştirilmiş şemada aşağıdaki değişiklikler vardı:

• FASchemaVersion_s 1'den 2'ye güncelleştirildi.
• Kullanım dışı bırakılan alanlar: VMIP_s, Subscription_g, Region_s, NSGRules_s, Subnet_s, VM_s, NIC_s, PublicIPs_s, FlowCount_d
• Yeni alanlar: SrcPublicIPs_s, DestPublicIPs_s, NSGRule_s

Genel IP ayrıntıları şeması

Trafik analizi, ortamınızdaki tüm genel IP'ler için WHOIS verileri ve coğrafi konum sağlar. Trafik analizi, kötü amaçlı bir IP için Microsoft güvenlik zekası çözümleri tarafından tanımlanan DNS etki alanı, tehdit türü ve iş parçacığı açıklamaları sağlar. IP Ayrıntıları Log Analytics çalışma alanınızda yayımlanır, böylece özel sorgular oluşturabilir ve bunlara uyarılar yerleştirebilirsiniz. Trafik analizi panosundan önceden doldurulmuş sorgulara da erişebilirsiniz.

Sanal ağ akış günlükleri

Aşağıdaki tabloda genel IP şemasının ayrıntıları yer alır. Daha fazla bilgi için bkz. NTAIpDetails.

Alan	Biçim	Açıklamalar
Tablo Adı	NTAIpDetails (Detaylar)	Trafik analizi IP ayrıntıları verilerini içeren tablo.
Alt	Akış Kayıtları	Akış günlükleri için alt tür. Yalnızca FlowLog kullanın. Alt Türün diğer değerleri, ürünün iç çalışmalarına yöneliktir.
FaSchemaVersion	3	Şema sürümü. Sanal ağ akış günlüğü sürümünü yansıtmaz.
FlowIntervalStartTime	UTC olarak tarih ve saat	Akış günlüğü işleme aralığının başlangıç saati (akış aralığının ölçüldiği zaman).
FlowIntervalEndTime	UTC olarak tarih ve saat	Akış günlüğü işleme aralığının bitiş zamanı.
Akış Türü	- AzureHerkese Açık - ExternalPublic (DışKamu) - Kötü Amaçlı Akış	Bakınız Tanımlar için Notlar.
IP	Genel Kullanıma Açık IP Adresi	Kayıtta bilgileri sağlanan genel IP adresi.
PublicIPDetails	IP hakkında bilgi	AzurePublic IP için: IP 168.63.129.16'ya sahip Azure Hizmeti veya Microsoft Sanal Genel IP. ExternalPublic/Kötü Amaçlı IP: IP'nin WHOIS bilgisi.
Tehdit Türü	Kötü amaçlı IP tarafından ortaya konan tehdit	Yalnızca Kötü Amaçlı IP'ler için. şu anda izin verilen değerler listesindeki tehditlerden biri. Daha fazla bilgi için bkz . Notlar.
DNS Etki Alanı	DNS etki alanı	Yalnızca Kötü Amaçlı IP'ler için. Bu IP ile ilişkili etki alanı adı.
Tehdit Açıklaması	Tehdidin açıklaması	Yalnızca Kötü Amaçlı IP'ler için. Kötü amaçlı IP tarafından ortaya konan tehdidin açıklaması.
Konum	IP'nin konumu	Azure Genel IP için: IP'nin ait olduğu sanal ağın Azure bölgesi / ağ arayüzü / sanal makinesi veya IP 168.63.129.16 için Global. Dış Genel IP ve Kötü Amaçlı IP için: IP'nin bulunduğu iki harfli ülke kodu (ISO 3166-1 alfa-2).
URL	Kötü amaçlı IP'ye karşılık gelen URL	Yalnızca Kötü Amaçlı IP'ler için.
Bağlantı noktası	Kötü amaçlı IP'ye karşılık gelen bağlantı noktası	Yalnızca Kötü Amaçlı IP'ler için.

Not

• Sanal ağ akış günlüklerindeki NTAIPDetails, ağ güvenlik grubu akış günlüklerinde kullanılan AzureNetworkAnalyticsIPDetails_CL değiştirir.

• Trafik analizi, kötü amaçlı akışlar için IP ile ilişkili tüm kötü amaçlı FQDN'leri günlüğe kaydedebilir. Filtre uygulamak için bağlantı noktası, URL ve etki alanı alanlarını gerektiği gibi kullanın.

Ağ güvenlik grubu akış günlükleri

Aşağıdaki tabloda genel IP şemasının ayrıntıları yer alır.

Alan	Biçim	Açıklamalar
Tablo Adı	AzureNetworkAnalyticsIPDetails_CL	Trafik analizi IP ayrıntıları verilerini içeren tablo.
SubType_s	Akış Kayıtları	Akış günlükleri için alt tür. Yalnızca "FlowLog" kullanın, SubType_s diğer değerleri ürünün iç çalışmalarına yöneliktir.
FASchemaVersion_s	2	Şema sürümü. Ağ güvenlik grubu akış günlüğü sürümünü yansıtmaz.
FlowIntervalStartTime_t	UTC'de Tarih ve Saat	Akış günlüğü işleme aralığının başlangıç saati (akış aralığının ölçüldiği zaman).
FlowIntervalEndTime_t	UTC'de Tarih ve Saat	Akış günlüğü işleme aralığının bitiş zamanı.
FlowType_s	- AzureHerkese Açık - ExternalPublic (DışKamu) - Kötü Amaçlı Akış	Bkz Notlar tanımlar için.
IP	Genel Kullanıma Açık IP Adresi	Kayıtta bilgileri sağlanan genel IP adresi.
Konum	IP'nin konumu	- Azure Genel IP için: IP'nin ait olduğu sanal ağın/ağ arabiriminin/sanal makinenin Azure bölgesi VEYA IP 168.63.129.16 için Genel. - Dış Genel IP ve Kötü Amaçlı IP için: IP'nin bulunduğu 2 harfli ülke kodu (ISO 3166-1 alfa-2).
PublicIPDetails	IP hakkında bilgi	- AzurePublic IP için: Azure hizmetinin sahip olduğu IP veya 168.63.129.16 için Microsoft sanal genel IP. - ExternalPublic/Kötü Amaçlı IP: IP'nin WhoIS bilgileri.
Tehdit Türü	Kötü amaçlı IP tarafından ortaya konan tehdit	Yalnızca Kötü Amaçlı IP'ler için: şu anda izin verilen değerler listesindeki tehditlerden biri (bkz . Tehdit türleri).
Tehdit Açıklaması	Tehdidin açıklaması	Yalnızca Kötü Amaçlı IP'ler için. Kötü amaçlı IP tarafından ortaya konan tehdidin açıklaması.
DNS Etki Alanı	DNS etki alanı	Yalnızca Kötü Amaçlı IP'ler için. Kötü amaçlı IP ile ilişkili etki alanı adı.
URL	Kötü amaçlı IP'ye karşılık gelen URL	Yalnızca Kötü Amaçlı IP'ler için.
Bağlantı noktası	Kötü amaçlı IP'ye karşılık gelen bağlantı noktası	Yalnızca Kötü Amaçlı IP'ler için.

Tehdit türleri

Aşağıdaki tabloda, trafik analizi IP ayrıntıları şemasında alan için ThreatType şu anda izin verilen değerler listelenmiştir.

Değer	Açıklama
Botnet (Botnet)	Botnet düğümünü/üyesini gösteren gösterge.
C2	Botnet'in Komut ve Denetim düğümünü gösteren gösterge.
Kripto Madenciliği	Bu ağ adresini / URL'yi içeren trafik CyrptoMining / Kaynak kötüye kullanımı göstergesidir.
DarkNet	Bir Darknet düğümünün/ağının göstergesi.
DDoS	Etkin veya yaklaşan bir DDoS kampanyasıyla ilgili göstergeler.
Kötü Amaçlı Url	Kötü amaçlı yazılım sunan URL.
Kötü amaçlı yazılım	Kötü amaçlı bir dosyayı veya dosyaları açıklayan gösterge.
Kimlik avı	Kimlik avı kampanyasıyla ilgili göstergeler.
Vekil Sunucu	Ara sunucu hizmetinin göstergesi.
PUA	İstenmeyebilecek Uygulama.
Gözetim Listesi	Tehdidin tam olarak ne olduğu belirlenemediğinde veya el ile yorumlama gerektirdiğinde göstergelerin yerleştirildiği genel bir demet. WatchList genellikle sisteme veri gönderen iş ortakları tarafından kullanılmamalıdır.

Notlar

• AzurePublic ve ExternalPublic akışları söz konusu olduğunda, müşterinin sahip olduğu Azure sanal makine IP'si VMIP_s alanına doldurulurken, Genel IP adresleri PublicIPs_s alanına doldurulur. Bu iki akış türü için SrcIP_s ve DestIP_s alanları yerine VMIP_s ve PublicIPs_s kullanmanız gerekir. AzurePublic ve ExternalPublic IP adresleri için, Log Analytics çalışma alanına alınan kayıt sayısının çok az olması için daha fazla toplama yapıyoruz. (Bu alan kullanım dışı bırakılacak. Sanal makinenin kaynak mı yoksa akıştaki hedef mi olmasına bağlı olarak SrcIP_s ve DestIP_s kullanın).
• Bazı alan adlarına _s veya _d eklenir, bu da kaynak ve hedefi belirtmez; sırasıyla string ve decimal veri türlerini gösterir.
• Akışta yer alan IP adreslerine bağlı olarak, akışları aşağıdaki akış türlerine kategorilere ayırırız:
  • IntraVNet: Akıştaki her iki IP adresi de aynı Azure sanal ağında bulunur.
  • InterVNet: Akıştaki IP adresleri iki farklı Azure sanal ağında bulunur.
  • S2S (Siteden Siteye): IP adreslerinden biri bir Azure sanal ağına, diğer IP adresi ise VPN ağ geçidi veya ExpressRoute aracılığıyla sanal ağa bağlı müşteri ağına (Site) aittir.
  • P2S(Noktadan Siteye): IP adreslerinden biri bir Azure sanal ağına, diğer IP adresi ise VPN ağ geçidi üzerinden Azure Sanal Ağ bağlı müşteri ağına (Site) aittir.
  • AzurePublic: IP adreslerinden biri bir Azure sanal ağına aitken, diğer IP adresi Microsoft'un sahip olduğu bir Azure Genel IP adresidir. Müşteriye ait Genel IP adresleri bu akış türünün bir parçası değildir. Örneğin, bir Azure hizmetine (Depolama uç noktası) trafik gönderen müşteriye ait tüm VM'ler bu akış türü altında kategorilere ayrılır.
  • ExternalPublic: IP adreslerinden biri bir Azure sanal ağına aitken, diğer IP adresi Microsoft'a ait olmayan ve trafik analizinin kullandığı ASC tarafından alınan akışlarda kötü amaçlı olarak rapor edilmeyen halka açık bir IP adresidir. Bu adres, FlowIntervalStartTime_t ve FlowIntervalEndTime_t arasındaki işlem aralığında trafik analitiğine görünür ancak bir müşteri tarafından sahip olunan abone grubunun parçası değildir.
  • MaliciousFlow: IP adreslerinden biri bir Azure sanal ağına aitken, diğer IP adresi Microsoft'a ait olmayan bir genel IP adresi veya trafik analizi tarafından görülebilen müşteriye ait bir aboneliğin parçası olan ve ile arasındaki FlowIntervalStartTime_tFlowIntervalEndTime_tişlem aralığı için trafik analizinin kullandığı ASC akışlarında kötü amaçlı olarak bildirilir.
  • UnknownPrivate: IP adreslerinden biri bir Azure sanal ağına aitken, diğer IP adresi RFC 1918'de tanımlanan özel IP aralığına aittir ve trafik analizi tarafından müşteriye ait bir siteye veya Azure sanal ağına eşlenemez.
  • Unknown: Akıştaki IP adreslerinden herhangi biri Azure ve şirket içi (site) içindeki müşteri topolojisiyle eşlenemiyor.

Not

Bir abonelik, o çalışma alanına yapılandırılmış bir akış günlüğü içeriyorsa, Log Analytics çalışma alanındaki trafik analizlerine dahil edilir.

İlgili içerik

• Trafik analizine genel bakış
• Trafik analizinde sorguları kullanma
• Trafik analizi kullanım senaryoları