Azure ExpressRoute Traffic Collector
ExpressRoute Traffic Collector ermöglicht das Sampling von Netzwerkflows, die über Ihre ExpressRoute-Leitungen gesendet werden. Datenflussprotokolle werden an einen Log Analytics-Arbeitsbereich gesendet, in dem Sie eigene Protokollabfragen zur weiteren Analyse erstellen können. Sie können die Daten auch in ein beliebiges Visualisierungstool oder SIEM (Security Information and Event Management) Ihrer Wahl exportieren. Die Datenflussprotokolle können sowohl für privates Peering als auch für Microsoft-Peering mit ExpressRoute Traffic Collector aktiviert werden.
Anwendungsfälle
Datenflussprotokolle können Ihnen helfen, verschiedene Einblicke in den Datenverkehr zu erhalten. Einige häufige Anwendungsfälle sind:
Netzwerküberwachung
- Überwachen des Datenverkehrs von privatem Azure-Peering und Microsoft-Peering
- Einsicht in Netzwerkdurchsatz und -leistung in Quasi-Echtzeit
- Ausführen von Netzwerkdiagnose
- Kapazitätsprognose
Überwachen der Netzwerknutzung und Kostenoptimierung
- Analysieren von Datenverkehrstrends durch Filtern von Datenflussstichproben nach IP, Port oder Anwendungen
- Top-Talker für eine Quell-IP, Ziel-IP oder Anwendungen
- Optimieren von Netzwerkdatenverkehrskosten durch Analyse von Verkehrstrends
Forensische Netzwerkanalyse
- Identifizieren von kompromittierten IPs durch Analysieren aller zugeordneten Netzwerkflüsse
- Exportieren von Datenflussprotokollen in ein SIEM-Tools (Security Information and Event Management) zum Überwachen und Korrelieren von Ereignissen sowie zum Generieren von Sicherheitswarnungen
Datenflussprotokollsammlung und Sampling
Datenflussprotokolle werden in einem Intervall von 1 Minute gesammelt. Alle für einen bestimmten Datenfluss gesammelten Pakete werden aggregiert und zur weiteren Analyse in einen Log Analytics-Arbeitsbereich importiert. Während der Datenflusssammlung wird nicht jedes Paket in seinem eigenen Flussdatensatz erfasst. ExpressRoute Traffic Collector verwendet eine Samplingrate von 1:4096, was bedeutet, dass 1 von 4096 Paketen erfasst wird. Daher werden mit dieser Samplingrate kurze Datenflüsse (bei Bytes insgesamt) möglicherweise nicht erfasst. Diese Samplinggröße wirkt sich nicht auf die Analyse des Netzwerkdatenverkehrs aus, wenn Datenstichproben über einen längeren Zeitraum aggregiert werden. Die Datenflusssammlungszeit und die Samplingrate sind festgelegt und können nicht geändert werden.
ExpressRoute-Leitungen unterstützt
ExpressRoute Traffic Collector unterstützt sowohl vom Anbieter verwaltete Schaltkreise als auch ExpressRoute Direct-Schaltkreise. Derzeit unterstützt ExpressRoute Traffic Collector nur Schaltkreise ab einer Bandbreite von 1 Gb/s.
Datenflussschema
| Spalte | Type | BESCHREIBUNG |
|---|---|---|
| ATCRegion | Zeichenfolge | Bereitstellungsregion des ExpressRoute Traffic Collector (ATC). |
| ATCResourceId | Zeichenfolge | Azure-Ressourcen-ID des ExpressRoute Traffic Collector (ATC). |
| BgpNextHop | string | Nächster Hop des Border Gateway Protocol (BGP) wie in der Routingtabelle definiert. |
| DestinationIp | Zeichenfolge | Ziel-IP-Adresse |
| DestinationPort | INT | TCO-Zielport |
| Dot1qCustomerVlanId | INT | Dot1q Customer VlanId. |
| Dot1qVlanId | INT | Dot1q VlanId. |
| DstAsn | INT | ASN-Nummer (Destination Autonomous System) |
| DstMask | INT | Maske des Zielsubnetzes. |
| DstSubnet | string | Zielsubnetz der Ziel-IP. |
| ExRCircuitDirectPortId | string | Azure-Ressourcen-ID des Direktanschlusses von Express Route Circuit. |
| ExRCircuitId | string | Azure-Ressourcen-ID von Express Route Circuit. |
| ExRCircuitServiceKey | string | Dienstschlüssel von Express Route Circuit. |
| FlowRecordTime | datetime | Zeitstempel (UTC), wenn Express Route Circuit diesen Flussdatensatz ausgegeben hat. |
| Flowsequence | long | Flusssequenz dieses Datenflusses. |
| IcmpType | INT | Protokolltyp wie im IP-Header angegeben. |
| IpClassOfService | INT | IP-Dienstklasse wie im IP-Header angegeben. |
| IpProtocolIdentifier | INT | Protokolltyp wie im IP-Header angegeben. |
| IpVerCode | INT | IP-Version gemäß der Definition im IP-Header. |
| MaxTtl | INT | Maximale Lebenszeit (time to live, TTL) gemäß der Definition im IP-Header. |
| MinTtl | INT | Minimale Lebenszeit (time to live, TTL) gemäß der Definition im IP-Header. |
| NextHop | string | Nächster Hop gemäß Weiterleitungstabelle. |
| NumberOfBytes | long | Gesamtbytezahl der in diesem Fluss erfassten Pakete. |
| NumberOfPackets | long | Gesamtzahl der in diesem Fluss erfassten Pakete. |
| Vorgangsname | Zeichenfolge | Der spezifische Vorgang des ExpressRoute Traffic Collector, der diesen Datenflussdatensatz ausgegeben hat. |
| PeeringType | string | ExpressRoute-Leitungspeering |
| Protocol | INT | Protokolltyp wie im IP-Header angegeben. |
| _ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
| SchemaVersion | string | Version des Flussdatensatzschemas. |
| SourceIp | string | Quell-IP-Adresse. |
| SourcePort | INT | TCP-Quellport. |
| SourceSystem | Zeichenfolge | |
| SrcAsn | INT | Quell-ASN-Nummer (Autonomous System Number). |
| SrcMask | INT | Maske des Quellsubnetzs. |
| SrcSubnet | string | Quellsubnetz der Quell-IP. |
| _SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
| TcpFlag | INT | TCP-Flag wie im TCP-Header definiert. |
| TenantId | Zeichenfolge | |
| TimeGenerated | datetime | Zeitstempel (UTC), wann der ExpressRoute Traffic Collector diesen Flussdatensatz ausgegeben hat. |
| type | Zeichenfolge | Der Name der Tabelle. |
Regionale Verfügbarkeit
ExpressRoute Traffic Collector wird in den folgenden Regionen unterstützt:
| Region | Name der Region |
|---|---|
| Nordamerika |
|
| Südamerika |
|
| Europa |
|
| Asien |
|
| Afrika |
|
| Pacific |
|
Preisberechnung
| Zone | Gateway pro Stunde | Verarbeitete Daten pro GB |
|---|---|---|
| Zone 1 | 0,60 USD/Stunde | 0,10 USD/GB |
| Zone 2 | 0,80 USD/Stunde | 0,20 USD/GB |
| Zone 3 | 0,80 USD/Stunde | 0,20 USD/GB |
Nächste Schritte
- Erfahren Sie, wie Sie ExpressRoute Traffic Collector einrichten.
- ExpressRoute Traffic Collector – FAQ.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für