Freigeben über

Azure ExpressRoute Traffic Collector

  • Artikel

Mit ExpressRoute Traffic Collector können Sie Netzwerkflüsse stichprobenartig über Ihre ExpressRoute-Verbindungen untersuchen. Diese Flussprotokolle werden mithilfe von benutzerdefinierten Protokollabfragen zur weiteren Analyse an ein Exportziel gesendet. Zu den unterstützten Zielen gehören Log Analytics, Event Hubs und Speicherkonten. Sie können die Daten auch in ein beliebiges Visualisierungstool oder SIEM (Security Information and Event Management) Ihrer Wahl exportieren. Die Datenflussprotokolle können sowohl für privates Peering als auch für Microsoft-Peering mit ExpressRoute Traffic Collector aktiviert werden.

DiagramM DES ExpressRoute Traffic Collector in einer Azure-Umgebung.

Anwendungsfälle

Flussprotokolle liefern Erkenntnisse zu verschiedenen Datenverkehrsmuster. Gängige Anwendungsfälle:

Netzwerküberwachung

  • Überwachen des Datenverkehrs von privatem Azure-Peering und Microsoft-Peering
  • Einsicht in Netzwerkdurchsatz und -leistung in Quasi-Echtzeit
  • Ausführen von Netzwerkdiagnose
  • Prognose des Kapazitätsbedarfs

Überwachen der Netzwerknutzung und Kostenoptimierung

  • Analysieren von Datenverkehrstrends durch Filtern von Datenflussstichproben nach IP, Port oder Anwendungen
  • Ermitteln der Top-Talker für eine Quell-IP, Ziel-IP oder Anwendungen
  • Optimieren von Netzwerkdatenverkehrskosten durch Analyse von Verkehrstrends

Forensische Netzwerkanalyse

  • Ermitteln von kompromittierten IPs durch Analysieren aller zugeordneten Netzwerkflüsse
  • Exportieren von Flussprotokollen in ein SIEM-Tool zum Überwachen, Korrelieren von Ereignissen und Generieren von Sicherheitswarnungen

Datenflussprotokollsammlung und Sampling

Flussprotokolle werden jede Minute erfasst. Alle Pakete eines bestimmten Datenflusses werden aggregiert und zur Analyse in einen Log Analytics-Arbeitsbereich importiert. ExpressRoute Traffic Collector verwendet eine Samplingrate von 1:4096, was bedeutet, dass 1 von 4.096 Paketen erfasst wird. Diese Samplingrate kann dazu führen, dass kurze Flüsse (in Gesamtbyte) nicht erfasst werden. Dies hat jedoch keine Auswirkungen auf die Analyse des Netzwerkdatenverkehrs, wenn Datenstichproben über einen längeren Zeitraum aggregiert werden. Die Datenflusssammlungszeit und die Samplingrate sind festgelegt und können nicht geändert werden.

Weitere Informationen zur maximalen Anzahl von Flüssen finden Sie unter ExpressRoute-Grenzwerte.

Unterstützte ExpressRoute-Verbindungen

ExpressRoute Traffic Collector unterstützt sowohl vom Anbieter verwaltete Schaltkreise als auch ExpressRoute Direct-Schaltkreise. Derzeit werden nur Verbindungen mit einer Bandbreite von 1 GBit/s oder höher unterstützt.

Datenflussschema

Spalte Typ BESCHREIBUNG
ATCRegion Zeichenfolge Bereitstellungsregion des ExpressRoute Traffic Collector (ATC).
ATCResourceId Zeichenfolge Azure-Ressourcen-ID des ExpressRoute Traffic Collector (ATC).
BgpNextHop string Nächster Hop des Border Gateway Protocol (BGP) wie in der Routingtabelle definiert.
DestinationIp Zeichenfolge Ziel-IP-Adresse
DestinationPort INT TCO-Zielport
Dot1qCustomerVlanId INT Dot1q Customer VlanId.
Dot1qVlanId INT Dot1q VlanId.
DstAsn INT ASN-Nummer (Destination Autonomous System)
DstMask INT Maske des Zielsubnetzes.
DstSubnet Zeichenfolge Ziel-VNet der Ziel-IP-Adresse
ExRCircuitDirectPortId string Azure-Ressourcen-ID des Direktanschlusses von Express Route Circuit.
ExRCircuitId string Azure-Ressourcen-ID von Express Route Circuit.
ExRCircuitServiceKey string Dienstschlüssel von Express Route Circuit.
FlowRecordTime datetime Zeitstempel (UTC), wenn Express Route Circuit diesen Flussdatensatz ausgegeben hat.
Flowsequence long Flusssequenz dieses Datenflusses.
IcmpType INT Protokolltyp wie im IP-Header angegeben.
IpClassOfService INT IP-Dienstklasse wie im IP-Header angegeben.
IpProtocolIdentifier INT Protokolltyp wie im IP-Header angegeben.
IpVerCode INT IP-Version gemäß der Definition im IP-Header.
MaxTtl INT Maximale Lebenszeit (time to live, TTL) gemäß der Definition im IP-Header.
MinTtl INT Minimale Lebenszeit (time to live, TTL) gemäß der Definition im IP-Header.
NextHop string Nächster Hop gemäß Weiterleitungstabelle.
NumberOfBytes long Gesamtbytezahl der in diesem Fluss erfassten Pakete.
NumberOfPackets long Gesamtzahl der in diesem Fluss erfassten Pakete.
Vorgangsname Zeichenfolge Der spezifische Vorgang des ExpressRoute Traffic Collector, der diesen Datenflussdatensatz ausgegeben hat.
PeeringType string ExpressRoute-Leitungspeering
Protocol INT Protokolltyp wie im IP-Header angegeben.
_ResourceId Zeichenfolge Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist.
SchemaVersion string Version des Flussdatensatzschemas.
SourceIp string Quell-IP-Adresse.
SourcePort INT TCP-Quellport.
SourceSystem Zeichenfolge
SrcAsn INT Quell-ASN-Nummer (Autonomous System Number).
SrcMask INT Maske des Quellsubnetzs.
SrcSubnet Zeichenfolge Quell-VNet der Quell-IP-Adresse
_SubscriptionId Zeichenfolge Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist.
TcpFlag INT TCP-Flag wie im TCP-Header definiert.
TenantId Zeichenfolge
TimeGenerated datetime Zeitstempel (UTC), wann der ExpressRoute Traffic Collector diesen Flussdatensatz ausgegeben hat.
type Zeichenfolge Der Name der Tabelle.

Regionale Verfügbarkeit

ExpressRoute Traffic Collector wird in den folgenden Regionen unterstützt:

Hinweis

Wenn Ihre gewünschte Region noch nicht unterstützt wird, können Sie Traffic Collector für ExpressRoute in einer anderen Region in derselben geopolitischen Region wie Ihre ExpressRoute-Verbindung bereitstellen.

Region Name der Region
Nordamerika
  • Kanada, Osten
  • Kanada, Mitte
  • USA (Mitte)
  • USA, Mitte (EUAP)
  • USA Nord Mitte
  • USA Süd Mitte
  • USA, Westen-Mitte
  • East US
  • USA (Ost) 2
  • USA (Westen)
  • USA, Westen 2
  • USA, Westen 3
Südamerika
  • Brazilien, Süden
  • Brazilien, Südosten
Europa
  • Europa, Westen
  • Nordeuropa
  • UK, Süden
  • UK, Westen
  • Frankreich, Mitte
  • Frankreich, Süden
  • Deutschland, Norden
  • Deutschland, Westen-Mitte
  • Schweden, Mitte
  • Schweden, Süden
  • Schweiz, Norden
  • Schweiz, Westen
  • Norwegen, Osten
  • Norwegen, Westen
  • Italien, Norden
  • Polen, Mitte
Asia
  • Asien, Osten
  • Asien, Südosten
  • Indien, Mitte
  • Indien (Süden)
  • Japan, Westen
  • Korea, Süden
  • Vereinigte Arabische Emirate, Norden
  • VAE, Mitte
Afrika
  • Südafrika, Norden
  • Südafrika, Westen
Pacific
  • Australien, Mitte
  • Australien, Mitte 2
  • Australien (Osten)
  • Australien, Südosten

Preisberechnung

Zone Collectorinstanz-Uptime Verarbeitete Daten pro GB
Zone 1 0,60 USD/Stunde 0,10 USD/GB
Zone 2 0,80 USD/Stunde 0,20 USD/GB
Zone 3 0,80 USD/Stunde 0,20 USD/GB

Nächste Schritte