Azure ExpressRoute-trafikinsamlare
ExpressRoute Traffic Collector möjliggör sampling av nätverksflöden som skickas via dina ExpressRoute-kretsar. Flödesloggar skickas till en Log Analytics-arbetsyta där du kan skapa egna loggfrågor för ytterligare analys. Du kan också exportera data till valfritt visualiseringsverktyg eller siem (säkerhetsinformation och händelsehantering) som du väljer. Flödesloggar kan aktiveras för både privat peering och Microsoft-peering med ExpressRoute Traffic Collector.
Användningsfall
Flödesloggar kan hjälpa dig att titta på olika trafikinsikter. Några vanliga användningsfall är:
Nätverksövervakning
- Övervaka privat peering i Azure och Microsoft-peeringtrafik
- Nästan realtidssynlighet i nätverkets dataflöde och prestanda
- Utföra nätverksdiagnos
- Kapacitetsprognoser
Övervaka nätverksanvändning och kostnadsoptimering
- Analysera trafiktrender genom att filtrera exempelflöden efter IP, port eller program
- De främsta talarna för en käll-IP, mål-IP eller program
- Optimera kostnader för nätverkstrafik genom att analysera trafiktrender
Analys av nätverkstekniska
- Identifiera komprometterade IP-adresser genom att analysera alla associerade nätverksflöden
- Exportera flödesloggar till ett SIEM-verktyg (säkerhetsinformation och händelsehantering) för att övervaka, korrelera händelser, generera säkerhetsaviseringar
Insamling och sampling av flödesloggar
Flödesloggar samlas in med ett intervall på var 1 minut. Alla paket som samlas in för ett visst flöde aggregeras och importeras till en Log Analytics-arbetsyta för ytterligare analys. Under flödesinsamlingen samlas inte alla paket in i sin egen flödespost. ExpressRoute Traffic Collector använder en samplingsfrekvens på 1:4096, vilket innebär att 1 av 4 096 paket samlas in. Därför kanske samplingshastighetens korta flöden (totalt antal byte) inte samlas in. Den här samplingsstorleken påverkar inte nätverkstrafikanalysen när exempeldata aggregeras under en längre tidsperiod. Tid och samplingsfrekvens för flödesinsamling är fasta och kan inte ändras.
ExpressRoute-kretsar som stöds
ExpressRoute Traffic Collector stöder både providerhanterade kretsar och ExpressRoute Direct-kretsar. För närvarande stöder ExpressRoute Traffic Collector endast kretsar med en bandbredd på 1 Gbit/s eller senare.
Schema för flödeslogg
| Column | Type | Beskrivning |
|---|---|---|
| ATCRegion | sträng | Distributionsregion för ExpressRoute Traffic Collector (ATC). |
| ATCResourceId | sträng | Azure-resurs-ID för ExpressRoute Traffic Collector (ATC). |
| BgpNextHop | sträng | BGP (Border Gateway Protocol) nästa hopp enligt definitionen i routningstabellen. |
| DestinationIp | sträng | Mål-IP-adress. |
| DestinationPort | heltal | TCP-målport. |
| Dot1qCustomerVlanId | heltal | Dot1q Customer VlanId. |
| Dot1qVlanId | heltal | Dot1q VlanId. |
| DstAsn | heltal | Destination Autonomt systemnummer (ASN). |
| DstMask | heltal | Mask för målundernätet. |
| DstSubnet | sträng | Mål virtuellt nätverk för mål-IP. |
| ExRCircuitDirectPortId | sträng | Azure-resurs-ID för Express Route Circuits direktport. |
| ExRCircuitId | sträng | Azure-resurs-ID för Express Route Circuit. |
| ExRCircuitServiceKey | sträng | Tjänstnyckel för Express Route Circuit. |
| FlowRecordTime | datetime | Tidsstämpel (UTC) när Express Route Circuit avgav den här flödesposten. |
| Flowsequence | lång | Flödessekvens för det här flödet. |
| IcmpType | heltal | Protokolltyp som anges i IP-huvudet. |
| IpClassOfService | heltal | IP-tjänstklass som anges i IP-huvudet. |
| IpProtocolIdentifier | heltal | Protokolltyp som anges i IP-huvudet. |
| IpVerCode | heltal | IP-version enligt definitionen i IP-huvudet. |
| MaxTtl | heltal | Maximal tid att leva (TTL) enligt definitionen i IP-huvudet. |
| MinTtl | heltal | Minsta tid att leva (TTL) enligt definitionen i IP-huvudet. |
| NextHop | sträng | Nästa hopp enligt tabellen för vidarebefordring. |
| NumberOfBytes | lång | Totalt antal byte med paket som samlats in i det här flödet. |
| NumberOfPackets | lång | Totalt antal paket som samlats in i det här flödet. |
| OperationName | sträng | Den specifika ExpressRoute Traffic Collector-åtgärd som släppte den här flödesposten. |
| PeeringType | sträng | Express Route Circuit-peeringtyp. |
| Protokoll | heltal | Protokolltyp som anges i IP-huvudet. |
| _ResourceId | sträng | En unik identifierare för resursen som posten är associerad med |
| SchemaVersion | sträng | Schemaversion för flödespost. |
| SourceIp | sträng | Källans IP-adress. |
| SourcePort | heltal | TCP-källport. |
| SourceSystem | sträng | |
| SrcAsn | heltal | Källnummer för autonomt system (ASN). |
| SrcMask | heltal | Maskering av källundernät. |
| SrcSubnet | sträng | Källvirt virtuellt nätverk med käll-IP. |
| _SubscriptionId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
| TcpFlag | heltal | TCP-flagga enligt definitionen i TCP-huvudet. |
| TenantId | sträng | |
| TimeGenerated | datetime | Tidsstämpel (UTC) när ExpressRoute Traffic Collector avgav den här flödesposten. |
| Typ | sträng | Namnet på tabellen |
Region tillgänglighet
ExpressRoute Traffic Collector stöds i följande regioner:
Obs! Om din önskade region ännu inte stöds kan du distribuera ExpressRoute Traffic Collector till en annan region i samma geopolitiska region som ExpressRoute-kretsen.
| Region | Regionsnamn |
|---|---|
| Nordamerika n |
|
| Sydamerika |
|
| Europa |
|
| Asien |
|
| Afrika |
|
| Stillahavsområdet |
|
Prissättning
| Zon | Insamlarinstansens drifttid | Data som bearbetas per GB |
|---|---|---|
| Zon 1 | 0,60 USD/timme | 0,10 USD/GB |
| Zon 2 | 0,80 USD/timme | 0,20 USD/GB |
| Zon 3 | 0,80 USD/timme | 0,20 USD/GB |
Nästa steg
- Lär dig hur du konfigurerar ExpressRoute Traffic Collector.
- Vanliga frågor och svar om ExpressRoute Traffic Collector.