Compartilhar via

Coletor de Tráfego do Azure ExpressRoute

  • Artigo

O Coletor de Tráfego do ExpressRoute permite a amostragem de fluxos de rede enviados pelos circuitos do ExpressRoute. Os logs de fluxo são enviados para um workspace do Log Analytics, em que é possível criar suas próprias consultas de log para análise adicional. Também poderá exportar os dados para qualquer ferramenta de visualização ou SIEM (gerenciamento de eventos e informações de segurança) de sua escolha. O logs de fluxo pode ser habilitado para emparelhamento privado e emparelhamento da Microsoft com o Coletor de Tráfego do ExpressRoute.

Diagrama do Coletor de Tráfego do ExpressRoute em um ambiente do Azure.

Casos de uso

Os logs de fluxo podem ajudá-lo a analisar vários insights de tráfego. Alguns casos de uso comuns incluem:

Monitoramento de rede

  • Monitorar o tráfego do emparelhamento privado do Azure e do emparelhamento da Microsoft
  • Visibilidade quase em tempo real na taxa de transferência e no desempenho da rede
  • Executar diagnóstico de rede
  • Previsão de capacidade

Monitorar o uso da rede e a otimização de custos

  • Analisar tendências de tráfego filtrando fluxos amostrados por IP, porta ou por aplicativos
  • Principais locutores para um IP de origem, IP de destino ou aplicativos
  • Otimizar as despesas de tráfego de rede analisando tendências de tráfego

Análise forense de rede

  • Identificar IPs comprometidos analisando todos os fluxos de rede associados
  • Exportar logs de fluxo para uma ferramenta SIEM (Gerenciamento de Eventos e Informações de Segurança) para monitorar, correlacionar eventos e gerar alertas de segurança

Coleta e amostragem de logs de fluxo

Os logs de fluxo são coletados em um intervalo de cada 1 minuto. Todos os pacotes coletados para um determinado fluxo são agregados e importados em um workspace do Log Analytics para análise adicional. Durante a coleta de fluxo, nem todos os pacotes são capturados em seu próprio registro de fluxo. O Coletor de Tráfego do ExpressRoute usa uma taxa de amostragem de 1:4096, o que significa que 1 em cada 4.096 pacotes é capturado. Portanto, os fluxos curtos da taxa de amostragem (no total de bytes) podem não ser coletados. Esse tamanho de amostragem não afeta a análise de tráfego de rede quando dados amostrados são agregados por um período maior de tempo. O tempo de coleta de fluxo e a taxa de amostragem são fixos e não podem ser alterados.

Circuitos do ExpressRoute com suporte

O Coletor de Tráfego do ExpressRoute dá suporte a circuitos gerenciados pelo provedor e a circuitos do ExpressRoute Direct. No momento, o Coletor de Tráfego do ExpressRoute só dá suporte a circuitos com uma largura de banda de 1Gbps ou maior.

Esquema de log de fluxo

Coluna Type Descrição
ATCRegion string Região de implantação do ATC (Coletor de Tráfego do ExpressRoute).
ATCResourceId string ID de recurso do Azure do Coletor de Tráfego do ExpressRoute (ATC).
BgpNextHop string Próximo salto do BGP (Border Gateway Protocol), conforme definido na tabela de roteamento.
DestinationIp string Endereço IP de destino.
DestinationPort INT A porta TCP de destino.
Dot1qCustomerVlanId INT VlanId Cliente Dot1q.
Dot1qVlanId INT VlanId Dot1q.
DstAsn INT ASN (Número do Sistema Autônomo) de destino.
DstMask INT Máscara da sub-rede de destino.
DstSubnet string Rede virtual de destino do IP de destino.
ExRCircuitDirectPortId string ID do recurso do Azure da porta direta do ExpressRoute.
ExRCircuitId string ID do recurso do Azure do ExpressRoute.
ExRCircuitServiceKey string Chave de serviço do Circuito do ExpressRoute.
FlowRecordTime DATETIME Carimbo de data/hora (UTC) quando o Circuito do ExpressRoute emitiu esse registro de fluxo.
Flowsequence long Sequência de fluxo desse fluxo.
IcmpType INT Tipo de protocolo, conforme especificado no cabeçalho IP.
IpClassOfService INT Classe de serviço IP, conforme especificado no cabeçalho IP.
IpProtocolIdentifier INT Tipo de protocolo, conforme especificado no cabeçalho IP.
IpVerCode INT Versão do IP conforme definido no cabeçalho IP.
MaxTtl INT TTL (tempo máximo de vida), conforme definido no cabeçalho IP.
MinTtl INT TTL (tempo mínimo de vida), conforme definido no cabeçalho IP.
NextHop string Próximo salto de acordo com a tabela de encaminhamento.
NumberOfBytes long Número total de bytes de pacotes capturados nesse fluxo.
NumberOfPackets long Número total de pacotes capturados nesse fluxo.
OperationName string A operação específica do Coletor de Tráfego do ExpressRoute que emitia esse registro de fluxo.
PeeringType string Tipo de emparelhamento do circuito do ExpressRoute.
Protocolo INT Tipo de protocolo, conforme especificado no cabeçalho IP.
_ResourceId string Identificador exclusivo do recurso ao qual o registro está associado
schemaVersion string Versão do esquema de registro de fluxo.
SourceIp string Endereço IP de origem.
SourcePort INT A porta TCP de origem.
SourceSystem string
SrcAsn INT ASN (Número de Sistema Autônomo) de origem.
SrcMask INT Máscara da sub-rede de origem.
SrcSubnet string Rede virtual de origem do IP de origem.
_SubscriptionId string Identificador exclusivo da assinatura à qual o registro está associado
TcpFlag INT Sinalizador TCP conforme definido no cabeçalho TCP.
TenantId string
TimeGenerated DATETIME Carimbo de data/hora (UTC) quando o Coletor de Tráfego do ExpressRoute emitiu esse registro de fluxo.
Type string O nome da tabela

Disponibilidade de região

Há suporte para o Coletor de Tráfego do ExpressRoute nas seguintes regiões:

Observação: se a região desejada ainda não tiver suporte, você pode implantar o Coletor de Tráfego do ExpressRoute em outra região no mesmo território geopolítico que o seu Circuito do ExpressRoute.

Region Nome da Região
América do Norte
  • Leste do Canadá
  • Canadá Central
  • Centro dos EUA
  • EUA Central EUAP
  • Centro-Norte dos EUA
  • Centro-Sul dos Estados Unidos
  • Centro-Oeste dos EUA
  • Leste dos EUA
  • Leste dos EUA 2
  • Oeste dos EUA
  • Oeste dos EUA 2
  • Oeste dos EUA 3
América do Sul
  • Sul do Brasil
  • Sudeste do Brasil
Europa
  • Europa Ocidental
  • Norte da Europa
  • Sul do Reino Unido
  • Oeste do Reino Unido
  • França Central
  • Sul da França
  • Norte da Alemanha
  • Centro-Oeste da Alemanha
  • Suécia Central
  • Sul da Suécia
  • Norte da Suíça
  • Oeste da Suíça
  • Leste da Noruega
  • Oeste da Noruega
  • Norte da Itália
  • Polônia Central
Ásia
  • Leste da Ásia
  • Sudeste Asiático
  • Índia Central
  • Sul da Índia
  • Oeste do Japão
  • Sul da Coreia
  • Norte dos EAU
  • EAU Central
África
  • Norte da África do Sul
  • Oeste da África do Sul
Pacífico
  • Austrália Central
  • Austrália Central 2
  • Leste da Austrália
  • Australia Southeast

Preços

Zona Tempo de atividade da instância do coletor Dados processados por GB
Zona 1 $ 0,60/hora $ 0,10/GB
Zona 2 $ 0,80/hora $ 0,20/GB
Zona 3 $ 0,80/hora $ 0,20/GB

Próximas etapas