Kolektor provozu Azure ExpressRoute
Kolektor provozu ExpressRoute umožňuje vzorkovat síťové toky přes okruhy ExpressRoute. Tyto protokoly toku se posílají do cíle exportu pro další analýzu pomocí vlastních dotazů protokolu. Mezi podporované cíle patří Log Analytics, Event Hubs a účty úložiště. Data můžete také exportovat do libovolného vizualizačního nástroje nebo nástroje SIEM (Security Information and Event Management) podle vašeho výběru. Protokoly toku je možné povolit pro privátní partnerský vztah i partnerský vztah Microsoftu s kolektorem provozu ExpressRoute.
Případy použití
Protokoly toku poskytují přehled o různých vzorech provozu. Mezi běžné případy použití patří:
Monitorování sítě
- Monitorování privátního partnerského vztahu Azure a provozu partnerského vztahu Microsoftu
- Získání přehledu o propustnosti a výkonu sítě téměř v reálném čase
- Diagnostika sítě
- Prognózování potřeb kapacity
Monitorování využití sítě a optimalizace nákladů
- Analýza trendů provozu filtrováním ukázkových toků podle IP adres, portů nebo aplikací
- Identifikace hlavních talkerů pro zdrojovou IP adresu, cílovou IP adresu nebo aplikace
- Optimalizace nákladů na síťový provoz analýzou trendů provozu
Analýza forenzní analýzy sítě
- Identifikace ohrožených IP adres analýzou přidružených síťových toků
- Export protokolů toku do nástroje SIEM za účelem monitorování, korelace událostí a generování výstrah zabezpečení
Shromažďování a vzorkování protokolů toku
Protokoly toku se shromažďují každých 1 minutu. Všechny pakety pro daný tok se agregují a importují do pracovního prostoru služby Log Analytics pro účely analýzy. Kolektor provozu ExpressRoute používá vzorkovací frekvenci 1:4096, což znamená, že se zachytí 1 z každých 4 096 paketů. Tato vzorkovací frekvence může vést k tomu, že se neshromažďují krátké toky (v celkovém počtu bajtů). To ale nemá vliv na analýzu síťového provozu, pokud se vzorkovaná data agregují za delší dobu. Čas shromažďování toků a vzorkovací frekvence jsou pevné a nedá se změnit.
Další informace najdete v tématu Omezení ExpressRoute pro maximální počet toků.
Podporované okruhy ExpressRoute
Kolektor provozu ExpressRoute podporuje okruhy spravované poskytovatelem i okruhy ExpressRoute Direct. V současné době podporuje pouze okruhy s šířkou pásma 1 Gb/s nebo vyšší.
Schéma protokolu toku
| Column | Type | Popis |
|---|---|---|
| OBLAST ATC | string | Oblast nasazení Kolektoru provozu ExpressRoute (ATC). |
| ATCResourceId | string | ID prostředku Azure kolektoru provozu ExpressRoute (ATC). |
| BgpNextHop | string | Další segment směrování protokolu BGP (Border Gateway Protocol), jak je definováno ve směrovací tabulce. |
| DestinationIp | string | Cílová IP adresa. |
| DestinationPort | int | Cílový port TCP. |
| Dot1qCustomerVlanId | int | Dot1q Customer VlanId. |
| Dot1qVlanId | int | Dot1q VlanId. |
| DstAsn | int | Cílové číslo autonomního systému (ASN). |
| DstMask | int | Maska cílové podsítě |
| DstSubnet | string | Cílová virtuální síť cílové IP adresy |
| ExRCircuitDirectPortId | string | ID prostředku Azure pro přímý port okruhu ExpressRoute |
| ExRCircuitId | string | ID prostředku Azure okruhu ExpressRoute |
| ExRCircuitServiceKey | string | Klíč služby okruhu ExpressRoute |
| FlowRecordTime | datetime | Časové razítko (UTC) při vygenerovaném okruhu ExpressRoute tento záznam toku |
| Toky sekvencování | long | Posloupnost toku tohoto toku |
| IcmpType | int | Typ protokolu, jak je uvedeno v hlavičce PROTOKOLU IP. |
| IpClassOfService | int | Třída služby IP, jak je uvedeno v hlavičce IP. |
| IpProtocolIdentifier | int | Typ protokolu, jak je uvedeno v hlavičce PROTOKOLU IP. |
| IpVerCode | int | Verze PROTOKOLU IP definovaná v hlavičce IP. |
| MaxTtl | int | Maximální doba provozu (TTL) definovaná v hlavičce IP. |
| MinTtl | int | Minimální doba živého provozu (TTL) definovaná v hlavičce IP. |
| NextHop | string | Další segment směrování podle tabulky pro předávání |
| NumberOfBytes | long | Celkový počet bajtů paketů zachycených v tomto toku |
| NumberOfPackets | long | Celkový počet paketů zachycených v tomto toku |
| OperationName | string | Konkrétní operace kolektoru provozu ExpressRoute, která tento záznam toku vygenerovala. |
| PeeringType | string | Typ partnerského vztahu okruhu ExpressRoute |
| Protokol | int | Typ protokolu, jak je uvedeno v hlavičce PROTOKOLU IP. |
| _ResourceId | string | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| SchemaVersion | string | Verze schématu záznamu toku |
| SourceIp | string | Zdrojová IP adresa. |
| SourcePort | int | Zdrojový port TCP. |
| SourceSystem | string | |
| SrcAsn | int | Číslo autonomního systému zdroje (ASN). |
| SrcMask | int | Maska zdrojové podsítě |
| SrcSubnet | string | Zdrojová virtuální síť zdrojové IP adresy |
| _SubscriptionId | string | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| TcpFlag | int | Příznak TCP definovaný v hlavičce TCP. |
| TenantId | string | |
| TimeGenerated | datetime | Časové razítko (UTC) při vygenerovanému kolektoru provozu ExpressRoute tento záznam toku |
| Typ | string | Název tabulky |
Regionální dostupnost
Kolektor provozu ExpressRoute se podporuje v následujících oblastech:
Poznámka:
Pokud vaše požadovaná oblast ještě není podporovaná, můžete službu ExpressRoute Traffic Collector nasadit do jiné oblasti ve stejné geografické oblasti jako okruh ExpressRoute.
| Oblast | Název oblasti |
|---|---|
| Severní Amerika n |
|
| Jižní Amerika |
|
| Evropě |
|
| Asie |
|
| Afrika |
|
| Tichomoří |
|
Ceny
| Zóna | Doba provozu instance kolektoru | Zpracovávaná data za GB |
|---|---|---|
| Zóna 1 | $0,60 za hodinu | $0,10/GB |
| Zóna 2 | 0,80 USD za hodinu | $0,20/GB |
| Zóna 3 | 0,80 USD za hodinu | $0,20/GB |
Další kroky
- Zjistěte, jak nastavit kolektor provozu ExpressRoute.
- Nejčastější dotazy ke kolektoru provozu ExpressRoute