Partager via

Azure ExpressRoute Traffic Collector

  • Article

ExpressRoute Traffic Collector vous permet d’échantillonner les flux réseau sur vos circuits ExpressRoute. Ces journaux de flux sont envoyés à une destination d’exportation pour une analyse plus approfondie à l’aide de requêtes de journal personnalisées. Les destinations prises en charge incluent Log Analytics, Event Hubs et les comptes de stockage. Vous pouvez également exporter les données vers n’importe quel outil de visualisation ou SIEM (Security Information and Event Management) de votre choix. La journalisation des flux peut être activée pour le peering privé et le peering Microsoft avec ExpressRoute Traffic Collector.

Diagramme d’ExpressRoute Traffic Collector dans un environnement Azure

Cas d’utilisation

Les journaux de flux fournissent des aperçus sur différents modèles de trafic. Les cas d’utilisation courants sont les suivants :

Analyse du réseau

  • Surveiller le peering privé Azure et le trafic de peering Microsoft
  • Obtenir une visibilité en quasi-temps réel du débit et des performances du réseau
  • Effectuer un diagnostic réseau
  • Prévoir les besoins en capacité

Surveiller l’utilisation du réseau et l’optimisation des coûts

  • Analyser les tendances du trafic en filtrant les flux échantillonnés par adresse IP, port ou applications
  • Identifier les principaux consommateurs pour une adresse IP source, une adresse IP de destination ou des applications
  • Optimiser les dépenses de trafic réseau en analysant les tendances du trafic

Analyse forensique du réseau

  • Identifier les adresses IP compromises en analysant les flux réseau associés
  • Exporter les journaux de flux vers un outil SIEM pour surveiller, mettre en corrélation des événements et générer des alertes de sécurité

Collecte et échantillonnage des journaux de flux

Les journaux de flux sont collectés chaque minute. Tous les paquets d’un flux donné sont agrégés et importés dans un espace de travail Log Analytics à des fins d’analyse. ExpressRoute Traffic Collector utilise un taux d’échantillonnage de 1:4096, ce qui signifie que 1 paquet sur 4096 est capturé. En raison de ce taux d’échantillonnage, il est possible que les flux courts (en nombre total d’octets) ne soient pas collectés. Toutefois, cela n’affecte pas l’analyse du trafic lorsque les données échantillonnées sont agrégées sur une plus longue période. Le temps de collecte de flux et le taux d’échantillonnage sont fixes et ne peuvent pas être modifiés.

Pour plus d’informations, consultez les limites ExpressRoute pour connaître le nombre maximal de flux.

Circuits ExpressRoute pris en charge

ExpressRoute Traffic Collector prend en charge les circuits gérés par le fournisseur et les circuits ExpressRoute Direct. Actuellement, seuls les circuits avec une bande passante de 1 Gbits/s ou supérieure sont pris en charge.

Schéma du journal de flux

Colonne Type Description
ATCRegion chaîne Région de déploiement d’ExpressRoute Traffic Collector (ATC).
ATCResourceId string ID de ressource Azure d’ExpressRoute Traffic Collector (ATC).
BgpNextHop string Tronçon suivant BGP (Border Gateway Protocol) tel que défini dans la table de routage.
DestinationIp string Adresse IP de destination.
DestinationPort int Port de destination TCP.
Dot1qCustomerVlanId int VlanId du client Dot1q.
Dot1qVlanId int VlanId de Dot1q.
DstAsn int Numéro de système autonome (ASN) de destination.
DstMask int Masque du sous-réseau de destination.
DstSubnet string Réseau virtuel de destination de l'IP de destination.
ExRCircuitDirectPortId chaîne ID de ressource Azure du port direct du circuit ExpressRoute.
ExRCircuitId chaîne ID de ressource Azure du circuit ExpressRoute.
ExRCircuitServiceKey chaîne Clé de service du circuit ExpressRoute.
FlowRecordTime DATETIME Horodatage (UTC) du moment où le circuit ExpressRoute a émis cet enregistrement de flux.
Flowsequence long Séquence de flux de ce flux.
IcmpType int Type de protocole tel que spécifié dans l’en-tête IP.
IpClassOfService int Classe IP du service telle que spécifiée dans l’en-tête IP.
IpProtocolIdentifier int Type de protocole tel que spécifié dans l’en-tête IP.
IpVerCode int Version IP telle que définie dans l’en-tête IP.
MaxTtl int Durée maximale de vie (TTL) telle que définie dans l’en-tête IP.
MinTtl int Durée minimale de vie (TTL) telle que définie dans l’en-tête IP.
NextHop chaîne Tronçon suivant selon la table de transfert.
NumberOfBytes long Nombre total d’octets de paquets capturés dans ce flux.
NumberOfPackets long Nombre total de paquets capturés dans ce flux.
NomOpération string Opération ExpressRoute Traffic Collector spécifique qui a émis cet enregistrement de flux.
PeeringType chaîne Type de peering du circuit ExpressRoute.
Protocol int Type de protocole tel que spécifié dans l’en-tête IP.
_ResourceId string Un identificateur unique de la ressource à laquelle l’enregistrement est associé
SchemaVersion string Version du schéma d’enregistrement de flux.
SourceIp chaîne Adresse IP source.
SourcePort int Port source TCP.
SourceSystem string
SrcAsn int Numéro de système autonome (ASN) source.
SrcMask int Masque du sous-réseau source.
SrcSubnet string Réseau virtuel source de l'IP source.
_SubscriptionId string Un identificateur unique de l’abonnement auquel l’enregistrement est associé
TcpFlag int Indicateur TCP tel que défini dans l’en-tête TCP.
TenantId string
TimeGenerated DATETIME Horodatage (UTC) du moment où ExpressRoute Traffic Collector a émis cet enregistrement de flux.
Type string Le nom de la table

Disponibilité des régions

ExpressRoute Traffic Collector est pris en charge dans les régions suivantes :

Remarque

Si la région de votre choix n’est pas encore prise en charge, vous pouvez déployer ExpressRoute Traffic Collector dans une autre région dans la même région géopolitique que votre circuit ExpressRoute.

Région Nom de la région
Amérique du Nord
  • Est du Canada
  • Centre du Canada
  • USA Centre
  • EUAP USA Centre
  • Centre-Nord des États-Unis
  • États-Unis - partie centrale méridionale
  • Centre-USA Ouest
  • USA Est
  • USA Est 2
  • USA Ouest
  • USA Ouest 2
  • USA Ouest 3
Amérique du Sud
  • Brésil Sud
  • Brésil Sud-Est
Europe
  • Europe Ouest
  • Europe Nord
  • Sud du Royaume-Uni
  • Ouest du Royaume-Uni
  • France Centre
  • France Sud
  • Allemagne Nord
  • Allemagne Centre-Ouest
  • Suède Centre
  • Suède Sud
  • Suisse Nord
  • Suisse Ouest
  • Norvège Est
  • Norvège Ouest
  • Italie Nord
  • Pologne Centre
Asie
  • Asie Est
  • Asie Sud-Est
  • Inde centrale
  • Inde Sud
  • OuJapon Est
  • Corée du Sud
  • Émirats arabes unis Nord
  • Émirats arabes unis Centre
Afrique
  • Afrique du Sud Nord
  • Afrique du Sud Ouest
Pacifique
  • Centre de l’Australie
  • Centre de l’Australie 2
  • Australie Est
  • Sud-Australie Est

Tarification

Zone Durée de bon fonctionnement d’une instance de collecteur Données traitées par Go
Zone 1 0,60 $/heure 0,10 $/Go
Zone 2 0,80 $/heure 0,20 $/Go
Zone 3 0,80 $/heure 0,20 $/Go

Étapes suivantes