Azure ExpressRoute-trafikinsamlare
Med ExpressRoute Traffic Collector kan du sampla nätverksflöden över dina ExpressRoute-kretsar. Dessa flödesloggar skickas till ett exportmål för ytterligare analys med hjälp av anpassade loggfrågor. Mål som stöds är Log Analytics, Event Hubs och Lagringskonton. Du kan också exportera data till valfritt visualiseringsverktyg eller siem (säkerhetsinformation och händelsehantering) som du väljer. Flödesloggar kan aktiveras för både privat peering och Microsoft-peering med ExpressRoute Traffic Collector.
Användningsfall
Flödesloggar ger insikter om olika trafikmönster. Vanliga användningsfall är:
Nätverksövervakning
- Övervaka privat peering i Azure och Microsoft-peeringtrafik
- Få nästan realtidssynlighet i nätverkets dataflöde och prestanda
- Utföra nätverksdiagnos
- Prognostisera kapacitetsbehov
Övervaka nätverksanvändning och kostnadsoptimering
- Analysera trafiktrender genom att filtrera exempelflöden efter IP, port eller program
- Identifiera de främsta talarna för en käll-IP, mål-IP eller program
- Optimera kostnader för nätverkstrafik genom att analysera trafiktrender
Analys av nätverkstekniska
- Identifiera komprometterade IP-adresser genom att analysera associerade nätverksflöden
- Exportera flödesloggar till ett SIEM-verktyg för att övervaka, korrelera händelser och generera säkerhetsaviseringar
Insamling och sampling av flödesloggar
Flödesloggar samlas in var 1 minut. Alla paket för ett visst flöde aggregeras och importeras till en Log Analytics-arbetsyta för analys. ExpressRoute Traffic Collector använder en samplingsfrekvens på 1:4096, vilket innebär att 1 av 4 096 paket samlas in. Den här samplingsfrekvensen kan leda till att korta flöden (totalt antal byte) inte samlas in. Detta påverkar dock inte nätverkstrafikanalysen när exempeldata aggregeras under en längre period. Tid och samplingsfrekvens för flödesinsamling är fasta och kan inte ändras.
Mer information finns i ExpressRoute-gränser för det maximala antalet flöden.
ExpressRoute-kretsar som stöds
ExpressRoute Traffic Collector stöder både providerhanterade kretsar och ExpressRoute Direct-kretsar. För närvarande stöder den bara kretsar med en bandbredd på 1 Gbps eller större.
Schema för flödeslogg
| Column | Type | Beskrivning |
|---|---|---|
| ATCRegion | sträng | Distributionsregion för ExpressRoute Traffic Collector (ATC). |
| ATCResourceId | sträng | Azure-resurs-ID för ExpressRoute Traffic Collector (ATC). |
| BgpNextHop | sträng | BGP (Border Gateway Protocol) nästa hopp enligt definitionen i routningstabellen. |
| DestinationIp | sträng | Mål-IP-adress. |
| DestinationPort | heltal | TCP-målport. |
| Dot1qCustomerVlanId | heltal | Dot1q Customer VlanId. |
| Dot1qVlanId | heltal | Dot1q VlanId. |
| DstAsn | heltal | Destination Autonomt systemnummer (ASN). |
| DstMask | heltal | Mask för målundernätet. |
| DstSubnet | sträng | Mål virtuellt nätverk för mål-IP. |
| ExRCircuitDirectPortId | sträng | Azure-resurs-ID för Express Route Circuits direktport. |
| ExRCircuitId | sträng | Azure-resurs-ID för Express Route Circuit. |
| ExRCircuitServiceKey | sträng | Tjänstnyckel för Express Route Circuit. |
| FlowRecordTime | datetime | Tidsstämpel (UTC) när Express Route Circuit avgav den här flödesposten. |
| Flowsequence | lång | Flödessekvens för det här flödet. |
| IcmpType | heltal | Protokolltyp som anges i IP-huvudet. |
| IpClassOfService | heltal | IP-tjänstklass som anges i IP-huvudet. |
| IpProtocolIdentifier | heltal | Protokolltyp som anges i IP-huvudet. |
| IpVerCode | heltal | IP-version enligt definitionen i IP-huvudet. |
| MaxTtl | heltal | Maximal tid att leva (TTL) enligt definitionen i IP-huvudet. |
| MinTtl | heltal | Minsta tid att leva (TTL) enligt definitionen i IP-huvudet. |
| NextHop | sträng | Nästa hopp enligt tabellen för vidarebefordring. |
| NumberOfBytes | lång | Totalt antal byte med paket som samlats in i det här flödet. |
| NumberOfPackets | lång | Totalt antal paket som samlats in i det här flödet. |
| OperationName | sträng | Den specifika ExpressRoute Traffic Collector-åtgärd som släppte den här flödesposten. |
| PeeringType | sträng | Express Route Circuit-peeringtyp. |
| Protokoll | heltal | Protokolltyp som anges i IP-huvudet. |
| _ResourceId | sträng | En unik identifierare för resursen som posten är associerad med |
| SchemaVersion | sträng | Schemaversion för flödespost. |
| SourceIp | sträng | Källans IP-adress. |
| SourcePort | heltal | TCP-källport. |
| SourceSystem | sträng | |
| SrcAsn | heltal | Källnummer för autonomt system (ASN). |
| SrcMask | heltal | Maskering av källundernät. |
| SrcSubnet | sträng | Källvirt virtuellt nätverk med käll-IP. |
| _SubscriptionId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
| TcpFlag | heltal | TCP-flagga enligt definitionen i TCP-huvudet. |
| TenantId | sträng | |
| TimeGenerated | datetime | Tidsstämpel (UTC) när ExpressRoute Traffic Collector avgav den här flödesposten. |
| Typ | sträng | Namnet på tabellen |
Region tillgänglighet
ExpressRoute Traffic Collector stöds i följande regioner:
Kommentar
Om din önskade region ännu inte stöds kan du distribuera ExpressRoute Traffic Collector till en annan region i samma geopolitiska region som ExpressRoute-kretsen.
| Region | Regionsnamn |
|---|---|
| Nordamerika n |
|
| Sydamerika |
|
| Europa |
|
| Asien |
|
| Afrika |
|
| Stillahavsområdet |
|
Prissättning
| Zon | Insamlarinstansens drifttid | Data som bearbetas per GB |
|---|---|---|
| Zon 1 | 0,60 USD/timme | 0,10 USD/GB |
| Zon 2 | 0,80 USD/timme | 0,20 USD/GB |
| Zon 3 | 0,80 USD/timme | 0,20 USD/GB |
Nästa steg
- Lär dig hur du konfigurerar ExpressRoute Traffic Collector.
- Vanliga frågor och svar om ExpressRoute Traffic Collector.