Partager via

Azure ExpressRoute Traffic Collector

  • Article

ExpressRoute Traffic Collector permet d’échantillonner les flux réseau envoyés sur vos circuits ExpressRoute. Les journaux de flux sont envoyés à un espace de travail Log Analytics où vous pouvez créer vos propres requêtes de journal pour une analyse plus approfondie. Vous pouvez également exporter les données vers n’importe quel outil de visualisation ou SIEM (Security Information and Event Management) de votre choix. La journalisation des flux peut être activée pour le peering privé et le peering Microsoft avec ExpressRoute Traffic Collector.

Diagramme d’ExpressRoute Traffic Collector dans un environnement Azure

Cas d’utilisation

Les journaux de flux peuvent vous aider à accéder à différents insights sur le trafic. Voici quelques cas d’utilisation courants :

Analyse du réseau

  • Surveiller le peering privé Azure et le trafic de peering Microsoft
  • Visibilité en quasi-temps réel du débit et des performances du réseau
  • Effectuer un diagnostic réseau
  • Prévision de capacité

Surveiller l’utilisation du réseau et l’optimisation des coûts

  • Analyser les tendances du trafic en filtrant les flux échantillonnés par adresse IP, port ou applications
  • Principaux consommateurs pour une adresse IP source, une adresse IP de destination ou des applications
  • Optimiser les dépenses de trafic réseau en analysant les tendances du trafic

Analyse forensique du réseau

  • Identifier les adresses IP compromises en analysant tous les flux réseau associés
  • Exporter les journaux de flux vers un outil SIEM (Security Information and Event Management) pour surveiller, mettre en corrélation les événements et générer des alertes de sécurité

Collecte et échantillonnage des journaux de flux

Les journaux de flux sont collectés à un intervalle de toutes les 1 minute. Tous les paquets collectés pour un flux donné sont agrégés et importés dans un espace de travail Log Analytics pour une analyse plus poussée. Pendant la collecte de flux, tous les paquets ne sont pas capturés dans leur propre enregistrement de flux. ExpressRoute Traffic Collector utilise un taux d’échantillonnage de 1:4096, ce qui signifie que 1 paquet sur 4096 est capturé. Par conséquent, les flux courts du taux d’échantillonnage (en octets totaux) peuvent ne pas être collectés. Cette taille d’échantillonnage n’affecte pas l’analyse du trafic réseau lorsque les données échantillonnées sont agrégées sur une plus longue période. Le temps de collecte de flux et le taux d’échantillonnage sont fixes et ne peuvent pas être modifiés.

Circuits ExpressRoute pris en charge

ExpressRoute Traffic Collector prend en charge les circuits gérés par le fournisseur et les circuits ExpressRoute Direct. À ce stade, ExpressRoute Traffic Collector prend uniquement en charge les circuits avec une bande passante de 1 Gbit/s ou plus.

Schéma du journal de flux

Colonne Type Description
ATCRegion chaîne Région de déploiement d’ExpressRoute Traffic Collector (ATC).
ATCResourceId string ID de ressource Azure d’ExpressRoute Traffic Collector (ATC).
BgpNextHop string Tronçon suivant BGP (Border Gateway Protocol) tel que défini dans la table de routage.
DestinationIp string Adresse IP de destination.
DestinationPort int Port de destination TCP.
Dot1qCustomerVlanId int VlanId du client Dot1q.
Dot1qVlanId int VlanId de Dot1q.
DstAsn int Numéro de système autonome (ASN) de destination.
DstMask int Masque du sous-réseau de destination.
DstSubnet string Réseau virtuel de destination de l'IP de destination.
ExRCircuitDirectPortId chaîne ID de ressource Azure du port direct du circuit ExpressRoute.
ExRCircuitId chaîne ID de ressource Azure du circuit ExpressRoute.
ExRCircuitServiceKey chaîne Clé de service du circuit ExpressRoute.
FlowRecordTime DATETIME Horodatage (UTC) du moment où le circuit ExpressRoute a émis cet enregistrement de flux.
Flowsequence long Séquence de flux de ce flux.
IcmpType int Type de protocole tel que spécifié dans l’en-tête IP.
IpClassOfService int Classe IP du service telle que spécifiée dans l’en-tête IP.
IpProtocolIdentifier int Type de protocole tel que spécifié dans l’en-tête IP.
IpVerCode int Version IP telle que définie dans l’en-tête IP.
MaxTtl int Durée maximale de vie (TTL) telle que définie dans l’en-tête IP.
MinTtl int Durée minimale de vie (TTL) telle que définie dans l’en-tête IP.
NextHop chaîne Tronçon suivant selon la table de transfert.
NumberOfBytes long Nombre total d’octets de paquets capturés dans ce flux.
NumberOfPackets long Nombre total de paquets capturés dans ce flux.
NomOpération string Opération ExpressRoute Traffic Collector spécifique qui a émis cet enregistrement de flux.
PeeringType chaîne Type de peering du circuit ExpressRoute.
Protocol int Type de protocole tel que spécifié dans l’en-tête IP.
_ResourceId string Un identificateur unique de la ressource à laquelle l’enregistrement est associé
SchemaVersion string Version du schéma d’enregistrement de flux.
SourceIp chaîne Adresse IP source.
SourcePort int Port source TCP.
SourceSystem string
SrcAsn int Numéro de système autonome (ASN) source.
SrcMask int Masque du sous-réseau source.
SrcSubnet string Réseau virtuel source de l'IP source.
_SubscriptionId string Un identificateur unique de l’abonnement auquel l’enregistrement est associé
TcpFlag int Indicateur TCP tel que défini dans l’en-tête TCP.
TenantId string
TimeGenerated DATETIME Horodatage (UTC) du moment où ExpressRoute Traffic Collector a émis cet enregistrement de flux.
Type string Le nom de la table

Disponibilité des régions

ExpressRoute Traffic Collector est pris en charge dans les régions suivantes :

Remarque : Si la région de votre choix n’est pas encore prise en charge, vous pouvez déployer ExpressRoute Traffic Collector dans une autre région de la même région géopolitique que votre circuit ExpressRoute.

Région Nom de la région
Amérique du Nord
  • Est du Canada
  • Centre du Canada
  • USA Centre
  • EUAP USA Centre
  • Centre-Nord des États-Unis
  • États-Unis - partie centrale méridionale
  • Centre-USA Ouest
  • USA Est
  • USA Est 2
  • USA Ouest
  • USA Ouest 2
  • USA Ouest 3
Amérique du Sud
  • Brésil Sud
  • Brésil Sud-Est
Europe
  • Europe Ouest
  • Europe Nord
  • Sud du Royaume-Uni
  • Ouest du Royaume-Uni
  • France Centre
  • France Sud
  • Allemagne Nord
  • Allemagne Centre-Ouest
  • Suède Centre
  • Suède Sud
  • Suisse Nord
  • Suisse Ouest
  • Norvège Est
  • Norvège Ouest
  • Italie Nord
  • Pologne Centre
Asie
  • Asie Est
  • Asie Sud-Est
  • Inde centrale
  • Inde Sud
  • OuJapon Est
  • Corée du Sud
  • Émirats arabes unis Nord
  • Émirats arabes unis Centre
Afrique
  • Afrique du Sud Nord
  • Afrique du Sud Ouest
Pacifique
  • Centre de l’Australie
  • Centre de l’Australie 2
  • Australie Est
  • Sud-Australie Est

Tarification

Zone Durée de bon fonctionnement d’une instance de collecteur Données traitées par Go
Zone 1 0,60 $/heure 0,10 $/Go
Zone 2 0,80 $/heure 0,20 $/Go
Zone 3 0,80 $/heure 0,20 $/Go

Étapes suivantes