Azure ExpressRoute Traffic Collector
ExpressRoute Traffic Collector を使用すると、ExpressRoute 回線経由で送信されるネットワーク フローのサンプリングが可能になります。 フロー ログは Log Analytics ワークスペースに送信され、そこで独自のログ クエリを作成して詳細な分析を行うことができます。 任意の視覚化ツールまたは SIEM (セキュリティ情報イベント管理) にデータをエクスポートすることもできます。 フロー ログは、ExpressRoute Traffic Collector を使用したプライベート ピアリングと Microsoft ピアリングの両方で有効にすることができます。
ユース ケース
フロー ログは、さまざまなトラフィック分析情報を調べるのに役立ちます。 一般的なユース ケースの一部は次のとおりです。
ネットワーク監視
- Azure プライベート ピアリングと Microsoft ピアリング トラフィックの監視
- ネットワークのスループットとパフォーマンスのほぼリアルタイムでの可視化
- ネットワーク診断の実行
- 容量予測
ネットワークの使用状況とコストの最適化の監視
- IP、ポート、またはアプリケーションでサンプリングされたフローをフィルター処理することでトラフィックの傾向を分析する
- 送信元 IP、宛先 IP、またはアプリケーションの上位トーカー
- トラフィックの傾向を分析してネットワーク トラフィックのコストを最適化する
ネットワーク フォレンジクス分析
- 関連するすべてのネットワーク フローを分析して侵害された IP を特定する
- SIEM (セキュリティ情報イベント管理) ツールにフロー ログをエクスポートして、監視、イベントの関連付け、セキュリティ アラートの生成を行う
フロー ログの収集とサンプリング
フロー ログは 1 分ごとに収集されます。 特定のフローに関して収集されたすべてのパケットが集計され、さらに分析するために Log Analytics ワークスペースにインポートされます。 フロー収集中に、すべてのパケットが独自のフロー レコードにキャプチャされるわけではありません。 ExpressRoute Traffic Collector は 1:4096 のサンプリング レートを使用します。つまり、キャプチャされるパケットは 4096 パケットごとに 1 つになります。 したがって、サンプリング レートの短いフロー (合計バイト単位) は収集されない場合があります。 サンプリングされたデータが長期間にわたって集計される場合、このサンプリング サイズはネットワーク トラフィック分析には影響しません。 フローの収集時間とサンプリング レートは固定されており、変更することはできません。
サポートされている ExpressRoute 回線
ExpressRoute Traffic Collector は、プロバイダーマネージド回線と ExpressRoute Direct 回線の両方をサポートしています。 現時点では、ExpressRoute Traffic Collector は、帯域幅が 1Gbps 以上の回線のみをサポートしています。
フロー ログ スキーマ
| Column | タイプ | 説明 |
|---|---|---|
| ATCRegion | string | ExpressRoute Traffic Collector (ATC) デプロイ リージョン。 |
| ATCResourceId | string | ExpressRoute Traffic Collector (ATC) の Azure リソース ID。 |
| BgpNextHop | string | ルーティング テーブルで定義されている Border Gateway Protocol (BGP) の次ホップ。 |
| DestinationIp | string | 送信先 IP アドレス。 |
| DestinationPort | INT | TCP 宛先ポート。 |
| Dot1qCustomerVlanId | INT | Dot1qCustomerVlanId。 |
| Dot1qVlanId | INT | Dot1q VlanId。 |
| DstAsn | INT | 宛先自律システム番号 (ASN)。 |
| DstMask | INT | 宛先サブネットのマスク。 |
| DstSubnet | string | 宛先 IP の宛先仮想ネットワーク。 |
| ExRCircuitDirectPortId | string | Express Route 回線のダイレクト ポートの Azure リソース ID。 |
| ExRCircuitId | string | Express Route 回線の Azure リソース ID。 |
| ExRCircuitServiceKey | string | Express Route 回線のサービス キー。 |
| FlowRecordTime | DATETIME | Express Route 回線がこのフロー レコードを出力したときのタイムスタンプ (UTC)。 |
| Flowsequence | long | このフローのフロー シーケンス。 |
| IcmpType | INT | IP ヘッダーで指定されているプロトコルの種類。 |
| IpClassOfService | INT | IP ヘッダーで指定されているサービスの IP クラス。 |
| IpProtocolIdentifier | INT | IP ヘッダーで指定されているプロトコルの種類。 |
| IpVerCode | INT | IP ヘッダーで定義されている IP バージョン。 |
| MaxTtl | INT | IP ヘッダーで定義されている最大有効期間 (TTL)。 |
| MinTtl | INT | IP ヘッダーで定義されている最小有効期間 (TTL)。 |
| NextHop | string | 転送テーブルごとの次のホップ。 |
| NumberOfBytes | long | このフローでキャプチャされたパケットの合計バイト数。 |
| NumberOfPackets | long | このフローでキャプチャされたパケットの合計数。 |
| OperationName | string | このフロー レコードを出力した特定の ExpressRoute Traffic Collector の操作。 |
| PeeringType | string | ExpressRoute 回線ピアリングの種類。 |
| Protocol | INT | IP ヘッダーで指定されているプロトコルの種類。 |
| _ResourceId | string | レコードが関連付けられているリソースの一意識別子 |
| SchemaVersion | string | フロー レコード スキーマのバージョン。 |
| SourceIp | string | 送信元 IP アドレス。 |
| SourcePort | INT | TCP 送信元ポート。 |
| SourceSystem | string | |
| SrcAsn | INT | 送信元自律システム番号 (ASN)。 |
| SrcMask | INT | 送信元サブネットのマスク。 |
| SrcSubnet | string | ソース IP のソース仮想ネットワーク。 |
| _SubscriptionId | string | レコードが関連付けられているサブスクリプションの一意識別子 |
| TcpFlag | INT | TCP ヘッダーで定義されている TCP フラグ。 |
| TenantId | string | |
| TimeGenerated | DATETIME | ExpressRoute Traffic Collector がこのフロー レコードを出力したときのタイムスタンプ (UTC)。 |
| Type | string | テーブルの名前 |
利用可能なリージョン
ExpressRoute Traffic Collector は、次のリージョンでサポートされています。
注: 目的のリージョンがまだサポートされていない場合は、ExpressRoute 回線と同じ地政学的リージョン内の別のリージョンに ExpressRoute Traffic Collector をデプロイできます。
| リージョン | リージョン名 |
|---|---|
| 北米 |
|
| 南アフリカ |
|
| 欧州 |
|
| アジア |
|
| アフリカ |
|
| 太平洋 |
|
価格
| ゾーン | Collector インスタンスのアップタイム | GB 単位で処理されるデータ |
|---|---|---|
| ゾーン 1 | $0.60/時 | $0.10/GB |
| ゾーン 2 | $0.80/時 | $0.20/GB |
| ゾーン 3 | $0.80/時 | $0.20/GB |