Сборщик трафика Azure ExpressRoute
Сборщик трафика ExpressRoute позволяет образец сетевых потоков через каналы ExpressRoute. Эти журналы потоков отправляются в место экспорта для дальнейшего анализа с помощью пользовательских запросов журналов. Поддерживаемые назначения включают Log Analytics, Центры событий и учетные записи хранения. Вы также можете экспортировать данные в любой инструмент визуализации или SIEM (сведения о безопасности и управление событиями) выбранного варианта. Журналы потоков можно включить как для частного пиринга, так и для пиринга Майкрософт с помощью сборщика трафика ExpressRoute.
Случаи использования
Журналы потоков предоставляют аналитические сведения о различных шаблонах трафика. Типичные примеры такой ситуации:
Мониторинг сетей
- Мониторинг трафика частного пиринга Azure и пиринга Майкрософт
- Получение почти в режиме реального времени видимости сетевой пропускной способности и производительности
- Выполнение диагностики сети
- Прогнозирование потребностей в емкости
Мониторинг использования сети и оптимизация затрат
- Анализ тенденций трафика путем фильтрации примеров потоков по IP-адресу, порту или приложениям
- Определение основных бесед для исходного IP-адреса, целевого IP-адреса или приложений
- Оптимизация расходов на сетевой трафик путем анализа тенденций трафика
Криминалистический анализ сети
- Определение скомпрометированных IP-адресов путем анализа связанных сетевых потоков
- Экспорт журналов потоков в средство SIEM для отслеживания, сопоставления событий и создания оповещений системы безопасности
Сбор и выборка журналов потоков
Журналы потоков собираются каждые 1 минуту. Все пакеты для данного потока агрегируются и импортируются в рабочую область Log Analytics для анализа. Сборщик трафика ExpressRoute использует частоту выборки 1:4096, то есть 1 из каждых 4096 пакетов фиксируется. Эта скорость выборки может привести к тому, что короткие потоки (в общей байтах) не собираются. Однако это не влияет на анализ сетевого трафика, если выборка данных агрегируется в течение более длительного периода. Время сбора потоков и частота выборки являются фиксированными, изменить их не удастся.
Дополнительные сведения см. в разделе "Ограничения ExpressRoute" для максимального количества потоков.
Поддерживаемые каналы ExpressRoute
Сборщик трафика ExpressRoute поддерживает каналы, управляемые поставщиком, и каналы ExpressRoute Direct. В настоящее время она поддерживает только каналы с пропускной способностью 1 Гбит/с или выше.
Схема журнала потоков
| Column | Type | Описание |
|---|---|---|
| ATCRegion | строка | Регион развертывания Агрегатора дорожного движения ExpressRoute (ATC). |
| ATCResourceId | строка | Идентификатор ресурса Azure Агрегатора дорожного движения ExpressRoute (ATC). |
| BgpNextHop | строка | Следующий прыжок протокола BGP, как определено в таблице маршрутизации. |
| DestinationIp | строка | Конечный IP-адрес. |
| Порт назначения | INT | Целевой порт TCP. |
| Dot1qCustomerVlanId | INT | Dot1q Customer VlanId. |
| Dot1qVlanId | INT | Dot1q VlanId. |
| DstAsn | INT | Номер целевой автономной системы (ASN). |
| DstMask | INT | Маска целевой подсети. |
| DstSubnet | строка | Целевая виртуальная сеть целевого IP-адреса. |
| ExRCircuitDirectPortId | строка | Идентификатор ресурса Azure прямого порта канала Express Route. |
| ExRCircuitId | строка | Идентификатор ресурса Azure канала Express Route. |
| ExRCircuitServiceKey | строка | Ключ службы канала Express Route. |
| FlowRecordTime | datetime | Метка времени (UTC) при отправке этой записи потока каналом Express Route. |
| Flowsequence | длинный | Последовательность потоков этого потока. |
| IcmpType | INT | Тип протокола, указанный в заголовке IP. |
| IpClassOfService | INT | Класс службы IP, указанный в заголовке IP. |
| IpProtocolIdentifier | INT | Тип протокола, указанный в заголовке IP. |
| IpVerCode | INT | Версия протокола IP, определенная в заголовке IP. |
| MaxTtl | INT | Максимальное время жизни (TTL), как определено в заголовке IP. |
| MinTtl | INT | Минимальное время жизни (TTL), как определено в заголовке IP. |
| Следующий прыжок | строка | Следующий прыжок в таблице пересылки. |
| NumberOfBytes | длинный | Общее количество байтов пакетов, захваченных в этом потоке. |
| NumberOfPackets | длинный | Общее количество пакетов, захваченных в этом потоке. |
| OperationName | строка | Конкретная операция Агрегатора дорожного движения ExpressRoute, создающая эту запись потока. |
| PeeringType | строка | Тип пиринга канала ExpressRoute. |
| Протокол | INT | Тип протокола, указанный в заголовке IP. |
| _ResourceId | строка | Уникальный идентификатор ресурса, с которым связана запись. |
| SchemaVersion | строка | Версия схемы записи потока. |
| SourceIp | строка | Исходный IP-адрес. |
| SourcePort | INT | Исходный порт. |
| SourceSystem | строка | |
| SrcAsn | INT | Номер исходной автономной системы (ASN). |
| SrcMask | INT | Маска исходной подсети. |
| SrcSubnet | строка | Исходная виртуальная сеть исходного IP-адреса. |
| _SubscriptionId | строка | Уникальный идентификатор подписки, с которой связана запись |
| TcpFlag | INT | Флаг TCP, определенный в заголовке TCP. |
| TenantId | строка | |
| TimeGenerated | datetime | Метка времени (UTC) при отправке этой записи потока Агрегатором дорожного движения ExpressRoute. |
| Тип | строка | Имя таблицы. |
Доступность по регионам
Агрегатор дорожного движения ExpressRoute поддерживается в следующих регионах:
Примечание.
Если нужный регион еще не поддерживается, вы можете развернуть сборщик трафика ExpressRoute в другом регионе в том же географическом регионе, что и канал ExpressRoute.
| Область/регион | Имя региона |
|---|---|
| Северная Америка n |
|
| Южная Америка |
|
| Европа |
|
| Азия |
|
| Африка |
|
| Тихоокеанский регион |
|
Цены
| Зона | Время простоя экземпляра сборщика | Данные, обработанные на ГБ |
|---|---|---|
| Зона 1 | $0,60/час | $0,10/ГБ |
| Зона 2 | $0,80/час | $0,20/ГБ |
| Зона 3 | $0,80/час | $0,20/ГБ |