Compartilhar via

Coletor de Tráfego do Azure ExpressRoute

  • Artigo

O Coletor de Tráfego do ExpressRoute permite que você faça amostras de fluxos de rede nos seus circuitos do ExpressRoute. Esses logs de fluxo são enviados a um destino de exportação para análise mais detalhada usando consultas de log personalizadas. Os destinos com suporte incluem Log Analytics, Hubs de Eventos e Contas de Armazenamento. Também poderá exportar os dados para qualquer ferramenta de visualização ou SIEM (gerenciamento de eventos e informações de segurança) de sua escolha. O logs de fluxo pode ser habilitado para emparelhamento privado e emparelhamento da Microsoft com o Coletor de Tráfego do ExpressRoute.

Diagrama do Coletor de Tráfego do ExpressRoute em um ambiente do Azure.

Casos de uso

Os logs de fluxo fornecem insights sobre vários padrões de tráfego. Os casos de uso comuns incluem:

Monitoramento de rede

  • Monitorar o tráfego do emparelhamento privado do Azure e do emparelhamento da Microsoft
  • Obtenha visibilidade quase em tempo real da taxa de transferência e do desempenho da rede
  • Executar diagnóstico de rede
  • Preveja as necessidades de capacidade

Monitorar o uso da rede e a otimização de custos

  • Analise as tendências de tráfego filtrando fluxos amostrados por IP, porta ou aplicativos
  • Identifique os principais comunicadores para um IP de origem, IP de destino ou aplicativos
  • Otimizar as despesas de tráfego de rede analisando tendências de tráfego

Análise forense de rede

  • Identifique IPs comprometidos analisando os fluxos de rede associados
  • Exporte logs de fluxo para uma ferramenta SIEM para monitorar, correlacionar eventos e gerar alertas de segurança

Coleta e amostragem de logs de fluxo

Os logs de fluxo são coletados a cada 1 minuto. Todos os pacotes de um determinado fluxo são agregados e importados para um workspace do Log Analytics para análise. O Coletor de Tráfego do ExpressRoute usa uma taxa de amostragem de 1:4096, o que significa que 1 de cada 4.096 pacotes é capturado. Essa taxa de amostragem pode resultar na não coleta de fluxos curtos (em bytes totais). No entanto, isso não afeta a análise de tráfego de rede quando os dados amostrados são agregados por um período mais longo. O tempo de coleta de fluxo e a taxa de amostragem são fixos e não podem ser alterados.

Para obter mais informações, consulte os limites do ExpressRoute para o número máximo de fluxos.

Circuitos do ExpressRoute com suporte

O Coletor de Tráfego do ExpressRoute dá suporte a circuitos gerenciados pelo provedor e a circuitos do ExpressRoute Direct. Atualmente, dá suporte apenas a circuitos com largura de banda de 1Gbps ou superior.

Esquema de log de fluxo

Coluna Type Descrição
ATCRegion string Região de implantação do ATC (Coletor de Tráfego do ExpressRoute).
ATCResourceId string ID de recurso do Azure do Coletor de Tráfego do ExpressRoute (ATC).
BgpNextHop string Próximo salto do BGP (Border Gateway Protocol), conforme definido na tabela de roteamento.
DestinationIp string Endereço IP de destino.
DestinationPort INT A porta TCP de destino.
Dot1qCustomerVlanId INT VlanId Cliente Dot1q.
Dot1qVlanId INT VlanId Dot1q.
DstAsn INT ASN (Número do Sistema Autônomo) de destino.
DstMask INT Máscara da sub-rede de destino.
DstSubnet string Rede virtual de destino do IP de destino.
ExRCircuitDirectPortId string ID do recurso do Azure da porta direta do ExpressRoute.
ExRCircuitId string ID do recurso do Azure do ExpressRoute.
ExRCircuitServiceKey string Chave de serviço do Circuito do ExpressRoute.
FlowRecordTime DATETIME Carimbo de data/hora (UTC) quando o Circuito do ExpressRoute emitiu esse registro de fluxo.
Flowsequence long Sequência de fluxo desse fluxo.
IcmpType INT Tipo de protocolo, conforme especificado no cabeçalho IP.
IpClassOfService INT Classe de serviço IP, conforme especificado no cabeçalho IP.
IpProtocolIdentifier INT Tipo de protocolo, conforme especificado no cabeçalho IP.
IpVerCode INT Versão do IP conforme definido no cabeçalho IP.
MaxTtl INT TTL (tempo máximo de vida), conforme definido no cabeçalho IP.
MinTtl INT TTL (tempo mínimo de vida), conforme definido no cabeçalho IP.
NextHop string Próximo salto de acordo com a tabela de encaminhamento.
NumberOfBytes long Número total de bytes de pacotes capturados nesse fluxo.
NumberOfPackets long Número total de pacotes capturados nesse fluxo.
OperationName string A operação específica do Coletor de Tráfego do ExpressRoute que emitia esse registro de fluxo.
PeeringType string Tipo de emparelhamento do circuito do ExpressRoute.
Protocolo INT Tipo de protocolo, conforme especificado no cabeçalho IP.
_ResourceId string Identificador exclusivo do recurso ao qual o registro está associado
schemaVersion string Versão do esquema de registro de fluxo.
SourceIp string Endereço IP de origem.
SourcePort INT A porta TCP de origem.
SourceSystem string
SrcAsn INT ASN (Número de Sistema Autônomo) de origem.
SrcMask INT Máscara da sub-rede de origem.
SrcSubnet string Rede virtual de origem do IP de origem.
_SubscriptionId string Identificador exclusivo da assinatura à qual o registro está associado
TcpFlag INT Sinalizador TCP conforme definido no cabeçalho TCP.
TenantId string
TimeGenerated DATETIME Carimbo de data/hora (UTC) quando o Coletor de Tráfego do ExpressRoute emitiu esse registro de fluxo.
Type string O nome da tabela

Disponibilidade de região

Há suporte para o Coletor de Tráfego do ExpressRoute nas seguintes regiões:

Observação

Se a região desejada ainda não for compatível, você poderá implantar o Coletor de Tráfego do ExpressRoute em outra região na mesma região geopolítica que o Circuito do ExpressRoute.

Region Nome da Região
América do Norte
  • Leste do Canadá
  • Canadá Central
  • Centro dos EUA
  • EUA Central EUAP
  • Centro-Norte dos EUA
  • Centro-Sul dos Estados Unidos
  • Centro-Oeste dos EUA
  • Leste dos EUA
  • Leste dos EUA 2
  • Oeste dos EUA
  • Oeste dos EUA 2
  • Oeste dos EUA 3
América do Sul
  • Sul do Brasil
  • Sudeste do Brasil
Europa
  • Europa Ocidental
  • Norte da Europa
  • Sul do Reino Unido
  • Oeste do Reino Unido
  • França Central
  • Sul da França
  • Norte da Alemanha
  • Centro-Oeste da Alemanha
  • Suécia Central
  • Sul da Suécia
  • Norte da Suíça
  • Oeste da Suíça
  • Leste da Noruega
  • Oeste da Noruega
  • Norte da Itália
  • Polônia Central
Ásia
  • Leste da Ásia
  • Sudeste Asiático
  • Índia Central
  • Sul da Índia
  • Oeste do Japão
  • Sul da Coreia
  • Norte dos EAU
  • EAU Central
África
  • Norte da África do Sul
  • Oeste da África do Sul
Pacífico
  • Austrália Central
  • Austrália Central 2
  • Leste da Austrália
  • Australia Southeast

Preços

Zona Tempo de atividade da instância do coletor Dados processados por GB
Zona 1 $ 0,60/hora $ 0,10/GB
Zona 2 $ 0,80/hora $ 0,20/GB
Zona 3 $ 0,80/hora $ 0,20/GB

Próximas etapas