你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure ExpressRoute 流量收集器
ExpressRoute 流量收集器支持对通过 ExpressRoute 线路发送的网络流进行采样。 流日志将发送到 Log Analytics 工作区,你可以在其中创建自己的日志查询以便进一步分析。 还可以将数据导出到所选的任何可视化工具或 SIEM(安全信息和事件管理)。 可以使用 ExpressRoute 流量收集器为专用对等互连和 Microsoft 对等互连启用流日志。
用例
流日志可帮助你深入查看各种流量见解。 常见用例包括:
网络监视
- 监视 Azure 专用对等互连和 Microsoft 对等互连流量
- 准实时地了解网络吞吐量和性能
- 执行网络诊断
- 容量预测
监视网络使用情况和成本优化
- 通过按 IP、端口或应用程序筛选采样流来分析流量趋势
- 源 IP、目标 IP 或应用程序最活跃的通信方
- 通过分析流量趋势优化网络流量费用
网络取证分析
- 通过分析所有相关的网络流来识别被入侵的 IP
- 将流日志导出到 SIEM(安全信息和事件管理)工具以监视、关联事件、生成安全警报
流日志收集和采样
流日志每隔 1 分钟收集一次。 为给定流收集的所有数据包都会聚合并导入 Log Analytics 工作区以便进一步分析。 在流收集期间,并非每个数据包都被捕获到自己的流记录中。 ExpressRoute 流量收集器使用 1:4096 的采样率,这意味着每 4096 个数据包中就有 1 个被捕获。 因此,可能无法收集采样率短流(以总字节计)。 当采样数据在较长时间段内聚合时,此采样大小不会影响网络流量分析。 流采集时间和采样率是固定的,不能更改。
支持的 ExpressRoute 线路
ExpressRoute 流量收集器支持提供程序管理的线路和 ExpressRoute Direct 线路。 目前,ExpressRoute 流量收集器仅支持带宽为 1 Gbps 或更大的线路。
流日志架构
| 列 | 类型 | 说明 |
|---|---|---|
| ATCRegion | 字符串 | ExpressRoute 流量收集器 (ATC) 部署区域。 |
| ATCResourceId | 字符串 | ExpressRoute 流量收集器 (ATC) 的 Azure 资源 ID。 |
| BgpNextHop | 字符串 | 路由表中定义的边界网关协议 (BGP) 下一个跃点。 |
| DestinationIp | 字符串 | 目标 IP 地址。 |
| DestinationPort | int | TCP 目标端口。 |
| Dot1qCustomerVlanId | int | Dot1q 客户 VlanId。 |
| Dot1qVlanId | int | Dot1q VlanId。 |
| DstAsn | int | 目标自治系统编号 (ASN)。 |
| DstMask | int | 目标子网掩码。 |
| DstSubnet | string | 目标 IP 的目标虚拟网络。 |
| ExRCircuitDirectPortId | 字符串 | Express Route 线路的直接端口的 Azure 资源 ID。 |
| ExRCircuitId | 字符串 | Express Route 线路的 Azure 资源 ID。 |
| ExRCircuitServiceKey | 字符串 | Express Route 线路的服务密钥。 |
| FlowRecordTime | datetime | Express Route 线路发出此流记录时的时间戳 (UTC)。 |
| Flowsequence | long | 此流的流序列。 |
| IcmpType | int | IP 标头中指定的协议类型。 |
| IpClassOfService | int | IP 标头中指定的 IP 服务类。 |
| IpProtocolIdentifier | int | IP 标头中指定的协议类型。 |
| IpVerCode | int | IP 标头中定义的 IP 版本。 |
| MaxTtl | int | IP 标头中定义的最大生存时间 (TTL)。 |
| MinTtl | int | IP 标头中定义的最短生存时间 (TTL)。 |
| NextHop | 字符串 | 根据转发表的下一跃点。 |
| NumberOfBytes | long | 此流中捕获的数据包的总字节数。 |
| NumberOfPackets | long | 此流中捕获的数据包总数。 |
| OperationName | string | 发出此流记录的特定 ExpressRoute 流量收集器操作。 |
| PeeringType | 字符串 | Express Route 线路对等互连类型。 |
| 协议 | int | IP 标头中指定的协议类型。 |
| _ResourceId | 字符串 | 与记录关联的资源的唯一标识符 |
| schemaVersion | 字符串 | 流记录架构版本。 |
| SourceIp | 字符串 | 源 IP 地址。 |
| SourcePort | int | TCP 源端口。 |
| SourceSystem | 字符串 | |
| SrcAsn | int | 源自治系统编号 (ASN)。 |
| SrcMask | int | 源子网的掩码。 |
| SrcSubnet | string | 源 IP 的源虚拟网络。 |
| _SubscriptionId | 字符串 | 与记录关联的订阅的唯一标识符 |
| TcpFlag | int | TCP 标头中定义的 TCP 标志。 |
| TenantId | string | |
| TimeGenerated | datetime | ExpressRoute 流量收集器发出此流记录时的时间戳 (UTC)。 |
| 类型 | 字符串 | 表的名称 |
上市区域
以下区域支持 ExpressRoute 流量收集器:
注意:如果所需的区域尚不受支持,你可以将 ExpressRoute 流量收集器部署到 ExpressRoute 线路所在的同一地缘政治区域中的另一个区域。
| 区域 | 区域名称 |
|---|---|
| 北美 |
|
| 南美洲 |
|
| 欧洲 |
|
| 亚洲 |
|
| 非洲 |
|
| 太平洋地区 |
|
定价
| 区域 | 收集器实例运行时间 | 每 GB 数据处理费 |
|---|---|---|
| 区域 1 | 0.60 美元/小时 | 0.10 美元/GB |
| 区域 2 | 0.80 美元/小时 | 0.20 美元/GB |
| 区域 3 | 0.80 美元/小时 | 0.20 美元/GB |