Azure ExpressRoute Traffic Collector

ExpressRoute Traffic Collector を使用すると、ExpressRoute 回線経由のネットワーク フローのサンプリングが可能になります。 これらのフロー ログは、カスタム ログ クエリを使用してさらに分析するためにエクスポート先に送信されます。 サポートされている送信先には、Log Analytics、Event Hubs、ストレージ アカウントなどが含まれます。 任意の視覚化ツールまたは SIEM (セキュリティ情報イベント管理) にデータをエクスポートすることもできます。 フロー ログは、ExpressRoute Traffic Collector を使用したプライベート ピアリングと Microsoft ピアリングの両方で有効にすることができます。

ユース ケース

フロー ログから、さまざまなトラフィック パターンに関する分析情報が得られます。 一般的な使用用途は次のとおりです。

ネットワーク監視

• Azure プライベート ピアリングと Microsoft ピアリング トラフィックの監視
• ネットワークのスループットとパフォーマンスを凖リアルタイムで可視化する
• ネットワーク診断の実行
• 容量のニーズを予測する

ネットワークの使用状況とコストの最適化の監視

• サンプリングされたフローを IP、ポート、またはアプリケーションでフィルター処理してトラフィックの傾向を分析する
• 送信元 IP、送信先 IP、またはアプリケーションの上位トーカーを特定する
• トラフィックの傾向を分析してネットワーク トラフィックのコストを最適化する

ネットワーク フォレンジクス分析

• 関連するネットワーク フローを分析して、侵害された IP を特定する
• SIEM ツールにフロー ログをエクスポートして、監視、イベントの関連付け、セキュリティ アラートの生成を行う

フロー ログの収集とサンプリング

フロー ログは 1 分ごとに収集されます。 特定のフローのすべてのパケットが集計され、分析のために Log Analytics ワークスペースにインポートされます。 ExpressRoute Traffic Collector は 1:4096 のサンプリング レートを使用します。つまり、キャプチャされるパケットは 4,096 パケットごとに 1 つになります。 このサンプリング レートでは、短いフロー (合計バイト単位) は収集されない場合があります。 しかし、サンプリングされたデータが長期間にわたって集計される場合は、ネットワーク トラフィック分析に影響しません。 フローの収集時間とサンプリング レートは固定されており、変更することはできません。

詳細については、フローの最大数に関して「ExpressRoute の制限」を参照してください。

サポートされている ExpressRoute 回線

ExpressRoute Traffic Collector は、プロバイダーマネージド回線と ExpressRoute Direct 回線の両方をサポートしています。 現時点では、帯域幅が 1Gbps 以上の回線のみがサポートされています。

フロー ログ スキーマ

Column	タイプ	説明
ATCRegion	string	ExpressRoute Traffic Collector (ATC) デプロイ リージョン。
ATCResourceId	string	ExpressRoute Traffic Collector (ATC) の Azure リソース ID。
BgpNextHop	string	ルーティング テーブルで定義されている Border Gateway Protocol (BGP) の次ホップ。
DestinationIp	string	送信先 IP アドレス。
DestinationPort	INT	TCP 宛先ポート。
Dot1qCustomerVlanId	INT	Dot1qCustomerVlanId。
Dot1qVlanId	INT	Dot1q VlanId。
DstAsn	INT	宛先自律システム番号 (ASN)。
DstMask	INT	宛先サブネットのマスク。
DstSubnet	string	宛先 IP の宛先仮想ネットワーク。
ExRCircuitDirectPortId	string	Express Route 回線のダイレクト ポートの Azure リソース ID。
ExRCircuitId	string	Express Route 回線の Azure リソース ID。
ExRCircuitServiceKey	string	Express Route 回線のサービス キー。
FlowRecordTime	DATETIME	Express Route 回線がこのフロー レコードを出力したときのタイムスタンプ (UTC)。
Flowsequence	long	このフローのフロー シーケンス。
IcmpType	INT	IP ヘッダーで指定されているプロトコルの種類。
IpClassOfService	INT	IP ヘッダーで指定されているサービスの IP クラス。
IpProtocolIdentifier	INT	IP ヘッダーで指定されているプロトコルの種類。
IpVerCode	INT	IP ヘッダーで定義されている IP バージョン。
MaxTtl	INT	IP ヘッダーで定義されている最大有効期間 (TTL)。
MinTtl	INT	IP ヘッダーで定義されている最小有効期間 (TTL)。
NextHop	string	転送テーブルごとの次のホップ。
NumberOfBytes	long	このフローでキャプチャされたパケットの合計バイト数。
NumberOfPackets	long	このフローでキャプチャされたパケットの合計数。
OperationName	string	このフロー レコードを出力した特定の ExpressRoute Traffic Collector の操作。
PeeringType	string	ExpressRoute 回線ピアリングの種類。
Protocol	INT	IP ヘッダーで指定されているプロトコルの種類。
_ResourceId	string	レコードが関連付けられているリソースの一意識別子
SchemaVersion	string	フロー レコード スキーマのバージョン。
SourceIp	string	送信元 IP アドレス。
SourcePort	INT	TCP 送信元ポート。
SourceSystem	string
SrcAsn	INT	送信元自律システム番号 (ASN)。
SrcMask	INT	送信元サブネットのマスク。
SrcSubnet	string	ソース IP のソース仮想ネットワーク。
_SubscriptionId	string	レコードが関連付けられているサブスクリプションの一意識別子
TcpFlag	INT	TCP ヘッダーで定義されている TCP フラグ。
TenantId	string
TimeGenerated	DATETIME	ExpressRoute Traffic Collector がこのフロー レコードを出力したときのタイムスタンプ (UTC)。
Type	string	テーブルの名前

利用可能なリージョン

ExpressRoute Traffic Collector は、次のリージョンでサポートされています。

Note

目的のリージョンがまだサポートされていない場合は、ExpressRoute 回線と同じ地政学的リージョン内の別のリージョンに ExpressRoute Traffic Collector をデプロイできます。

リージョン	リージョン名
北米	カナダ東部 カナダ中部 米国中部 米国中部 EUAP 米国中北部 米国中南部 米国中西部 米国東部 米国東部 2 米国西部 米国西部 2 米国西部 3
南アフリカ	ブラジル南部 ブラジル南東部
欧州	西ヨーロッパ 北ヨーロッパ 英国南部 英国西部 フランス中部 フランス南部 ドイツ北部 ドイツ中西部 スウェーデン中部 スウェーデン南部 スイス北部 スイス西部 ノルウェー東部 ノルウェー西部 イタリア北部 ポーランド中部
アジア	東アジア 東南アジア インド中部 インド南部 西日本 韓国南部 アラブ首長国連邦北部 アラブ首長国連邦中部
アフリカ	南アフリカ北部 南アフリカ西部
太平洋	オーストラリア中部 オーストラリア中部 2 オーストラリア東部 オーストラリア南東部

価格

ゾーン	Collector インスタンスのアップタイム	GB 単位で処理されるデータ
ゾーン 1	$0.60/時	$0.10/GB
ゾーン 2	$0.80/時	$0.20/GB
ゾーン 3	$0.80/時	$0.20/GB

次のステップ

• ExpressRoute Traffic Collector を設定する方法について学習します。
• ExpressRoute Traffic Collector の FAQ。