Schema und Datenaggregation in Traffic AnalyticsSchema and data aggregation in Traffic Analytics

Traffic Analytics ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet.Traffic Analytics is a cloud-based solution that provides visibility into user and application activity in cloud networks. Traffic Analytics analysiert die Flussprotokolle von Network Watcher für Netzwerksicherheitsgruppen (NSG), um Einblicke in den Datenfluss in Ihrer Azure-Cloud bereitstellen.Traffic Analytics analyzes Network Watcher network security group (NSG) flow logs to provide insights into traffic flow in your Azure cloud. Mit der Datenverkehrsanalyse können Sie folgende Aktionen durchführen:With traffic analytics, you can:

  • Visualisieren der Netzwerkaktivität für Ihre Azure-Abonnements und Identifizieren von HotspotsVisualize network activity across your Azure subscriptions and identify hot spots.
  • Erkennen von Sicherheitsrisiken für das Netzwerk und Schützen Ihres Netzwerks mithilfe von Informationen zu offenen Ports, Anwendungen, die versuchen, Zugriff auf das Internet zu erhalten, und virtuellen Computern (VM), die Verbindungen mit betrügerischen Netzwerken herstellenIdentify security threats to, and secure your network, with information such as open-ports, applications attempting internet access, and virtual machines (VM) connecting to rogue networks.
  • Verstehen von Mustern im Datenverkehr über Azure-Regionen und das Internet zur Optimierung Ihrer Netzwerkbereitstellung im Hinblick auf Leistung und KapazitätUnderstand traffic flow patterns across Azure regions and the internet to optimize your network deployment for performance and capacity.
  • Ermitteln von Fehlkonfigurationen im Netzwerk, die zu fehlerhaften Verbindungen in Ihrem Netzwerk führenPinpoint network misconfigurations leading to failed connections in your network.
  • Kennen der Netzwerkauslastung in Byte, Paketen oder FlowsKnow network usage in bytes, packets, or flows.

Daten-AggregationData aggregation

  1. Alle Flowprotokolle in einer Netzwerksicherheitsgruppe zwischen „FlowIntervalStartTime_t“ und „FlowIntervalEndTime_t“ werden im Speicherkonto in Intervallen von einer Minute als Blobs erfasst, bevor sie von Traffic Analytics verarbeitet werden.All flow logs at an NSG between “FlowIntervalStartTime_t” and “FlowIntervalEndTime_t” are captured at one-minute intervals in the storage account as blobs before being processed by Traffic Analytics.
  2. Das Standardintervall für die Verarbeitung in Traffic Analytics beträgt 60 Minuten.Default processing interval of Traffic Analytics is 60 minutes. Das bedeutet, dass Traffic Analytics alle 60 Minuten Blobs aus dem Speicher erfasst, um diese zu aggregieren.This means that every 60 mins Traffic Analytics picks blobs from storage for aggregation.
  3. Flows, die die gleichen Werte für Quell-IP, Ziel-IP, Zielport, NSG-Name, NSG-Regel, Flowrichtung und Transportschichtprotokoll (TCP oder UDP) aufweisen (Hinweis: der Quellport wird bei der Aggregation ausgeschlossen), werden von Traffic Analytics in einen einzigen Flow zusammengefasst.Flows that have the same Source IP, Destination IP, Destination port, NSG name, NSG rule, Flow Direction, and Transport layer protocol (TCP or UDP) (Note: Source port is excluded for aggregation) are clubbed into a single flow by Traffic Analytics
  4. Dieser einzelne Datensatz wird ergänzt (Details dazu im folgenden Abschnitt) und von Traffic Analytics in Log Analytics erfasst. Dieser Vorgang kann bis zu 1 Stunde (max.) dauern.This single record is decorated (Details in the section below) and ingested in Log Analytics by Traffic Analytics.This process can take upto 1 hour max.
  5. Das Feld „FlowStartTime_t“ gibt das erste Vorkommen eines solchen aggregierten Flows (gleiches 4-Tupel) im Verarbeitungsintervall des Flowprotokolls zwischen „FlowIntervalStartTime_t“ und „FlowIntervalEndTime_t“ an.FlowStartTime_t field indicates the first occurrence of such an aggregated flow (same four-tuple) in the flow log processing interval between “FlowIntervalStartTime_t” and “FlowIntervalEndTime_t”.
  6. Bei allen Ressourcen in Traffic Analytics handelt es sich bei den auf der Benutzeroberfläche angezeigten Flows um alle Flows, die von Mitgliedern der Netzwerksicherheitsgruppe gesehen werden. In Log Analytics sehen Benutzer jedoch nur den einzelnen, zusammengefassten Datensatz.For any resource in TA, the flows indicated in the UI are total flows seen by the NSG, but in Log Anlaytics user will see only the single, reduced record. Um alle Flows anzuzeigen, verwenden Sie das Feld „blob_id“, auf das aus dem Speicher verwiesen werden kann.To see all the flows, use the blob_id field, which can be referenced from Storage. Die Gesamtanzahl von Flows für diesen Datensatz entspricht den einzelnen Flows, die im Blob zu sehen sind.The total flow count for that record will match the individual flows seen in the blob.

Die untenstehende Abfrage hilft Ihnen, sich alle Flowprotokolle aus lokalen Systemen der letzten 30 Tage anzusehen.The below query helps you looks at all flow logs from on-premise in the last 30 days.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s  

Sie können die untenstehende Abfrage verwenden, um den Blobpfad für die Flows der obengenannten Abfrage aufzurufen:To view the blob path for the flows in the above mentioned query, use the query below:

let TableWithBlobId =
(AzureNetworkAnalytics_CL
   | where SubType_s == "Topology" and ResourceType == "NetworkSecurityGroup" and DiscoveryRegion_s == Region_s and IsFlowEnabled_b
   | extend binTime = bin(TimeProcessed_t, 6h),
            nsgId = strcat(Subscription_g, "/", Name_s),
            saNameSplit = split(FlowLogStorageAccount_s, "/")
   | extend saName = iif(arraylength(saNameSplit) == 3, saNameSplit[2], '')
   | distinct nsgId, saName, binTime)
| join kind = rightouter (
   AzureNetworkAnalytics_CL
   | where SubType_s == "FlowLog"  
   | extend binTime = bin(FlowEndTime_t, 6h)
) on binTime, $left.nsgId == $right.NSGList_s  
| extend blobTime = format_datetime(todatetime(FlowIntervalStartTime_t), "yyyy MM dd hh")
| extend nsgComponents = split(toupper(NSGList_s), "/"), dateTimeComponents = split(blobTime, " ")
| extend BlobPath = strcat("https://", saName,
                        "@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/", nsgComponents[0],
                        "/RESOURCEGROUPS/", nsgComponents[1],
                        "/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/", nsgComponents[2],
                        "/y=", dateTimeComponents[0], "/m=", dateTimeComponents[1], "/d=", dateTimeComponents[2], "/h=", dateTimeComponents[3],
                        "/m=00/macAddress=", replace(@"-", "", MACAddress_s),
                        "/PT1H.json")
| project-away nsgId, saName, binTime, blobTime, nsgComponents, dateTimeComponents;

TableWithBlobId
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s , BlobPath

Die obenstehende Abfrage stellt eine URL her, mit der Sie direkt auf den Blob zugreifen können.The above query constructs a URL to access the blob directly. Dies ist die URL mit den Platzhaltern:The URL with place-holders is below:

https://{saName}@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroup}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Im Traffic Analytics-Schema verwendete FelderFields used in Traffic Analytics schema

Traffic Analytics setzt auf Log Analytics auf, sodass Sie benutzerdefinierte Abfragen für Daten ausführen können, die von Traffic Analytics ergänzt wurden, und dann für diese Daten Warnungen festlegen können.Traffic Analytics is built on top of Log Analytics, so you can run custom queries on data decorated by Traffic Analytics and set alerts on the same.

Im Folgenden werden die Felder im Schema und ihre Bedeutung aufgeführt.Listed below are the fields in the schema and what they signify

FeldField FormatFormat KommentareComments
TableNameTableName AzureNetworkAnalytics_CLAzureNetworkAnalytics_CL Tabelle für Traffic Analytics-Daten.Table for Traffic Anlaytics data
SubType_sSubType_s FlowLogFlowLog Untertyp für die Flowprotokolle.Subtype for the flow logs. Verwenden Sie nur „FlowLog“, denn andere Werte für SubType_s sind für die interne Funktionsweise des ProduktsUse only "FlowLog", other values of SubType_s are for internal workings of the product
FASchemaVersion_sFASchemaVersion_s 11 Schemaversion.Scehma version. Spiegelt nicht die Version des NSG-Flowprotokolls wider.Does not reflect NSG Flow Log version
TimeProcessed_tTimeProcessed_t Datum und Uhrzeit in UTCDate and Time in UTC Der Zeitpunkt, zu dem Traffic Analytics die unformatierten Flowprotokolle aus dem Speicherkonto verarbeitet hat.Time at which the Traffic Analytics processed the raw flow logs from the storage account
FlowIntervalStartTime_tFlowIntervalStartTime_t Datum und Uhrzeit in UTCDate and Time in UTC Startzeit des Verarbeitungsintervalls des Flowprotokolls.Starting time of the flow log processing interval. Dies ist der Zeitpunkt, ab dem das Flowintervall gemessen wird.This is time from which flow interval is measured
FlowIntervalEndTime_tFlowIntervalEndTime_t Datum und Uhrzeit in UTCDate and Time in UTC Endzeit des Verarbeitungsintervalls des Flowprotokolls.Ending time of the flow log processing interval
FlowStartTime_tFlowStartTime_t Datum und Uhrzeit in UTCDate and Time in UTC Das erste Vorkommen des Flows (der aggregiert wird) im Verarbeitungsintervall des Flowprotokolls zwischen „FlowIntervalStartTime_t“ und „FlowIntervalEndTime_t“.First occurrence of the flow (which will get aggregated) in the flow log processing interval between “FlowIntervalStartTime_t” and “FlowIntervalEndTime_t”. Dieser Flow wird basierend auf Aggregationslogik aggregiert.This flow gets aggregated based on aggregation logic
FlowEndTime_tFlowEndTime_t Datum und Uhrzeit in UTCDate and Time in UTC Das letzte Vorkommen des Flows (der aggregiert wird) im Verarbeitungsintervall des Flowprotokolls zwischen „FlowIntervalStartTime_t“ und „FlowIntervalEndTime_t“.Last occurrence of the flow (which will get aggregated) in the flow log processing interval between “FlowIntervalStartTime_t” and “FlowIntervalEndTime_t”. Beim Flowprotokoll V2 enthält dieses Feld den Zeitpunkt, zu dem der letzte Flow mit dem gleichen 4-Tupel gestartet wurde (im unformatierten Flowdatensatz als „B“ markiert).In terms of flow log v2, this field contains the time when the last flow with the same four-tuple started (marked as “B” in the raw flow record)
FlowType_sFlowType_s * IntraVNet* IntraVNet
* InterVNet* InterVNet
* S2S* S2S
* P2S* P2S
* AzurePublic* AzurePublic
* ExternalPublic* ExternalPublic
* MaliciousFlow* MaliciousFlow
* UnknownPrivate* Unknown Private
* Unknown* Unknown
Definitionen finden Sie in den Hinweisen unter der Tabelle.Definition in notes below the table
SrcIP_sSrcIP_s Quell-IP-AdresseSource IP address Ist im Fall von AzurePublic- und ExternalPublic-Flows leer.Will be blank in case of AzurePublic and ExternalPublic flows
DestIP_sDestIP_s IP-ZieladresseDestination IP address Ist im Fall von AzurePublic- und ExternalPublic-Flows leer.Will be blank in case of AzurePublic and ExternalPublic flows
VMIP_sVMIP_s IP der VMIP of the VM Wird für AzurePublic- und ExternalPublic-Flows verwendet.Used for AzurePublic and ExternalPublic flows
PublicIP_sPublicIP_s Öffentliche IP-AdressenPublic IP addresses Wird für AzurePublic- und ExternalPublic-Flows verwendet.Used for AzurePublic and ExternalPublic flows
DestPort_dDestPort_d ZielportDestination Port Port, an dem Datenverkehr eingeht.Port at which traffic is incoming
L4Protocol_sL4Protocol_s * T* T
* U* U
Transportprotokoll.Transport Protocol. T = TCPT = TCP
U = UDPU = UDP
L7Protocol_sL7Protocol_s Name des ProtokollsProtocol Name Wird aus dem Zielport abgeleitet.Derived from destination port
FlowDirection_sFlowDirection_s * I = Inbound (eingehend)* I = Inbound
* O = Outbound (ausgehend)* O = Outbound
Richtung des Flows in die oder aus der NSG gemäß Flowprotokoll.Direction of the flow in/out of NSG as per flow log
FlowStatus_sFlowStatus_s * A = Allowed by NSG Rule (durch NSG-Regel zugelassen)* A = Allowed by NSG Rule
* D = Denied by NSG Rule (durch NSG-Regel abgelehnt)* D = Denied by NSG Rule
Status des durch die NSG zugelassenen oder abgelehnten Flows gemäß Flowprotokoll.Status of flow allowed/nblocked by NSG as per flow log
NSGList_sNSGList_s <ABONNEMENT-ID>/<NAME_DER_RESSOURCENGRUPPE>/<NAME_DER_NSG><SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME> Die NSG (Netzwerksicherheitsgruppe), die dem Flow zugeordnet ist.Network Security Group (NSG) associated with the flow
NSGRules_sNSGRules_s <Indexwert 0)><NAME_DER_NSG_REGEL><Flowrichtung><Flowstatus><FlowCount ProcessedByRule><Index value 0)><NSG_RULENAME><Flow Direction><Flow Status><FlowCount ProcessedByRule> Die NSG-Regel, die diesen Flow zugelassen oder abgelehnt hat.NSG rule that allowed or denied this flow
NSGRuleType_sNSGRuleType_s * User Defined * Default (benutzerdefiniert, Standardwert)* User Defined * Default Der vom Flow verwendete NSG-Regeltyp.The type of NSG Rule used by the flow
MACAddress_sMACAddress_s MAC-AdresseMAC Address Die MAC-Adresse des Netzwerkadapters, an dem der Flow erfasst wurde.MAC address of the NIC at which the flow was captured
Subscription_sSubscription_s Das Abonnement des virtuellen Azure-Netzwerks, der Azure-Netzwerkschnittstelle oder der Azure-VM wird in diesem Feld aufgefüllt.Subscription of the Azure virtual network/ network interface/ virtual machine is populated in this field Gilt nur für diese Flowtypen; S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow, UnknownPrivate (Flowtypen, bei denen es sich bei nur einer Seite um Azure handelt).Applicable only for FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow, and UnknownPrivate flow types (flow types where only one side is azure)
Subscription1_sSubscription1_s Abonnement-IDSubscription ID Abonnement-ID des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Quell-IP im Flow gehört.Subscription ID of virtual network/ network interface/ virtual machine to which the source IP in the flow belongs to
Subscription2_sSubscription2_s Abonnement-IDSubscription ID Abonnement-ID des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Ziel-IP im Flow gehört.Subscription ID of virtual network/ network interface/ virtual machine to which the destination IP in the flow belongs to
Region_sRegion_s Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die IP im Flow gehört.Azure region of virtual network/ network interface/ virtual machine to which the IP in the flow belongs to Gilt nur für diese Flowtypen; S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow, UnknownPrivate (Flowtypen, bei denen es sich bei nur einer Seite um Azure handelt).Applicable only for FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow, and UnknownPrivate flow types (flow types where only one side is azure)
Region1_sRegion1_s Azure-RegionAzure Region Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Quell-IP im Flow gehört.Azure region of virtual network/ network interface/ virtual machine to which the source IP in the flow belongs to
Region2_sRegion2_s Azure-RegionAzure Region Azure-Region des virtuellen Netzwerks, zu dem die Ziel-IP im Flow gehört.Azure region of virtual network to which the destination IP in the flow belongs to
NIC_sNIC_s <Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle><resourcegroup_Name>/<NetworkInterfaceName> Der Netzwerkadapter, der der VM zugeordnet ist, die Datenverkehr sendet oder empfängt.NIC associated with the VM sending or receiving the traffic
NIC1_sNIC1_s Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle><resourcegroup_Name>/<NetworkInterfaceName> Der Netzwerkadapter, der der Quell-IP im Flow zugeordnet ist.NIC associated with the source IP in the flow
NIC2_sNIC2_s Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle><resourcegroup_Name>/<NetworkInterfaceName> Der Netzwerkadapter, der der Ziel-IP im Flow zugeordnet ist.NIC associated with the destination IP in the flow
VM_sVM_s <Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle><resourcegroup_Name>/<NetworkInterfaceName> Die VM, die der Netzwerkschnittstelle „NIC_s“ zugeordnet ist.Virtual Machine associated with the Network interface NIC_s
VM1_sVM1_s <Name_der_Ressourcengruppe>/<Name_der_VM><resourcegroup_Name>/<VirtualMachineName> Die VM, die der Quell-IP im Flow zugeordnet ist.Virtual Machine associated with the source IP in the flow
VM2_sVM2_s <Name_der_Ressourcengruppe>/<Name_der_VM><resourcegroup_Name>/<VirtualMachineName> Die VM, die der Ziel-IP im Flow zugeordnet ist.Virtual Machine associated with the destination IP in the flow
Subnet_sSubnet_s <Name_der_Ressourcengruppe>/<Name_des_virtuellen_Netzwerks>/<Name_des_Subnetzes><ResourceGroup_Name>/<VNET_Name>/<SubnetName> Das Subnetz, das „NIC_s“ zugeordnet ist.Subnet associated with the NIC_s
Subnet1_sSubnet1_s <Name_der_Ressourcengruppe>/<Name_des_virtuellen_Netzwerks>/<Name_des_Subnetzes><ResourceGroup_Name>/<VNET_Name>/<SubnetName> Das Subnetz, das der Quell-IP im Flow zugeordnet ist.Subnet associated with the Source IP in the flow
Subnet2_sSubnet2_s <Name_der_Ressourcengruppe>/<Name_des_virtuellen_Netzwerks>/<Name_des_Subnetzes><ResourceGroup_Name>/<VNET_Name>/<SubnetName> Das Subnetz, das der Ziel-IP im Flow zugeordnet ist.Subnet associated with the Destination IP in the flow
ApplicationGateway1_sApplicationGateway1_s <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Anwendungsgateways><SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName> Das Anwendungsgateway, das der Quell-IP im Flow zugeordnet ist.Application gateway associated with the Source IP in the flow
ApplicationGateway2_sApplicationGateway2_s <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Anwendungsgateways><SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName> Das Anwendungsgateway, das der Ziel-IP im Flow zugeordnet ist.Application gateway associated with the Destination IP in the flow
LoadBalancer1_sLoadBalancer1_s <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Lastenausgleichsmoduls><SubscriptionID>/<ResourceGroupName>/<LoadBalancerName> Das Lastenausgleichsmodul, das der Quell-IP im Flow zugeordnet ist.Load balancer associated with the Source IP in the flow
LoadBalancer2_sLoadBalancer2_s <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Lastenausgleichsmoduls><SubscriptionID>/<ResourceGroupName>/<LoadBalancerName> Das Lastenausgleichsmodul, das der Ziel-IP im Flow zugeordnet ist.Load balancer associated with the Destination IP in the flow
LocalNetworkGateway1_sLocalNetworkGateway1_s <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_lokalen_Netzwerkgateways><SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> Das lokale Netzwerkgateway, das der Quell-IP im Flow zugeordnet ist.Local network gateway associated with the Source IP in the flow
LocalNetworkGateway2_sLocalNetworkGateway2_s <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_lokalen_Netzwerkgateways><SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> Das lokale Netzwerkgateway, das der Ziel-IP im Flow zugeordnet ist.Local network gateway associated with the Destination IP in the flow
ConnectionType_sConnectionType_s Mögliche Werte: VNetPeering, VpnGateway und ExpressRoute.Possible values are VNetPeering, VpnGateway, and ExpressRoute Verbindungstyp.Connection Type
ConnectionName_sConnectionName_s <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_der_Verbindung><SubscriptionID>/<ResourceGroupName>/<ConnectionName> VerbindungsnameConnection Name
ConnectingVNets_sConnectingVNets_s Durch Leerzeichen getrennte Liste mit Namen virtueller NetzwerkeSpace separated list of virtual network names Im Fall einer Hub-Spoke-Topologie werden hier virtuelle Hubnetzwerke aufgefüllt.In case of hub and spoke topology, hub virtual networks will be populated here
Country_sCountry_s Zweibuchstabiger Ländercode (ISO 3166-1 Alpha-2)Two letter country code (ISO 3166-1 alpha-2) Wird für den Flowtyp „ExternalPublic“ aufgefüllt.Populated for flow type ExternalPublic. Alle IP-Adressen im Feld „PublicIPs_s“ weisen den gleichen Ländercode auf.All IP addresses in PublicIPs_s field will share the same country code
AzureRegion_sAzureRegion_s Standorte in der Azure-RegionAzure region locations Wird für den Flowtyp „AzurePublic“ aufgefüllt.Populated for flow type AzurePublic. Alle IP-Adressen im Feld „PublicIPs_s“ weisen die gleiche Azure-Region auf.All IP addresses in PublicIPs_s field will share the Azure region
AllowedInFlows_dAllowedInFlows_d Anzahl der eingehenden Flows, die zugelassen wurden.Count of inbound flows that were allowed. Stellt die Anzahl von Flows dar, die das gleiche eingehende 4-Tupel an der Netzwerkschnittstelle aufweisen, an der der Flow erfasst wurde.This represents the number of flows that shared the same four-tuple inbound to the netweork interface at which the flow was captured
DeniedInFlows_dDeniedInFlows_d Anzahl der eingehenden Flows, die abgelehnt wurden.Count of inbound flows that were denied. (Eingehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)(Inbound to the network interface at which the flow was captured)
AllowedOutFlows_dAllowedOutFlows_d Anzahl der ausgehenden Flows, die zugelassen wurden. (Ausgehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)Count of outbound flows that were allowed (Outbound to the network interface at which the flow was captured)
DeniedOutFlows_dDeniedOutFlows_d Anzahl der ausgehenden Flows, die abgelehnt wurden. (Ausgehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)Count of outbound flows that were denied (Outbound to the network interface at which the flow was captured)
FlowCount_dFlowCount_d Veraltet.Deprecated. Gesamtanzahl von Flows, die dem gleichen 4-Tupel entsprechen.Total flows that matched the same four-tuple. Bei den Flowtypen „ExternalPublic“ und „AzurePublic“ enthält diese Zahl auch die Flows aus verschiedenen PublicIP-Adressen.In case of flow types ExternalPublic and AzurePublic, count will include the flows from various PublicIP addresses as well.
InboundPackets_dInboundPackets_d Empfangene Pakete, die an der Netzwerkschnittstelle erfasst wurden, an der die NSG-Regel angewendet wurdePackets received as captured at the network interface where NSG rule was applied Dies wird nur für Version 2 des NSG-Flowprotokollschemas aufgefüllt.This is populated only for the Version 2 of NSG flow log schema
OutboundPackets_dOutboundPackets_d Gesendete Pakete, die an der Netzwerkschnittstelle erfasst wurden, an der die NSG-Regel angewendet wurdePackets sent as captured at the network interface where NSG rule was applied Dies wird nur für Version 2 des NSG-Flowprotokollschemas aufgefüllt.This is populated only for the Version 2 of NSG flow log schema
InboundBytes_dInboundBytes_d Empfangene Bytes, die an der Netzwerkschnittstelle erfasst wurden, an der die NSG-Regel angewendet wurdeBytes received as captured at the network interface where NSG rule was applied Dies wird nur für Version 2 des NSG-Flowprotokollschemas aufgefüllt.This is populated only for the Version 2 of NSG flow log schema
OutboundBytes_dOutboundBytes_d Gesendete Bytes, die an der Netzwerkschnittstelle erfasst wurden, an der die NSG-Regel angewendet wurdeBytes sent as captured at the network interface where NSG rule was applied Dies wird nur für Version 2 des NSG-Flowprotokollschemas aufgefüllt.This is populated only for the Version 2 of NSG flow log schema
CompletedFlows_dCompletedFlows_d Dies wird nur für Version 2 des NSG-Flowprotokollschemas mit einem Wert aufgefüllt, der nicht Null ist.This is populated with non-zero value only for the Version 2 of NSG flow log schema
PublicIPs_sPublicIPs_s <ÖFFENTLICHEP_IP>|<ANZAHL_GESTARTETER_FLOWS>|<ANZAHL_BEENDETER_FLOWS>|<AUSGEHENDE_PAKETE>|<EINGEHENDE_PAKETE>|<AUSGEHENDE_BYTES>|<EINGEHENDE_BYTES><PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> Einträge sind durch Balken getrennt.Entries seperated by bars

NotizenNotes

  1. Bei AzurePublic- und ExternalPublic-Flows wird die IP der im Kundenbesitz befindlichen Azure-VM im Feld „VMIP_s“ aufgefüllt, öffentliche IP-Adressen werden im Feld „PublicIPs_s“ aufgefüllt.In case of AzurePublic and ExternalPublic flows, the customer owned Azure VM IP is populated in VMIP_s field, while the Public IP addresses are being populated in the PublicIPs_s field. Bei diesen beiden Flowtypen müssen die Felder „VMIP_s“ und „PublicIPs_s“ anstelle von „SrcIP_s“ und „DestIP_s“ verwendet werden.For these two flow types, we should use VMIP_s and PublicIPs_s instead of SrcIP_s and DestIP_s fields. Bei AzurePublic- und ExternalPublicIP-Adressen erfolgt eine weitere Aggregation, sodass die Anzahl der Datensätze, die im Log Analytics-Arbeitsbereich des Kunden erfasst werden, sehr gering ist. (Dieses Feld wird bald außer Dienst gestellt, stattdessen sollten „SrcIP_s“ und „DestIP_s“ verwendet werden, je nachdem, ob die Azure-VM die Quelle oder das Ziel im Flow war.)For AzurePublic and ExternalPublicIP addresses, we aggregate further, so that the number of records ingested to customer log analytics workspace is minimal.(This field will be deprecated soon and we should be using SrcIP_ and DestIP_s depending on whether azure VM was the source or the destination in the flow)
  2. Details zu Flowtypen: Basierend auf den am Flow beteiligten IP-Adressen werden die Flows in die folgenden Flowtypen unterteilt:Details for flow types: Based on the IP addresses involved in the flow, we categorize the flows in to the following flow types:
  3. IntraVNet – beide IP-Adressen im Flow befinden sich im gleichen Azure Virtual Network.IntraVNet – Both the IP addresses in the flow reside in the same Azure Virtual Network.
  4. InterVNet – die IP-Adressen im Flow befinden sich in zwei verschiedenen Azure Virtual Networks.InterVNet - IP addresses in the flow reside in the two different Azure Virtual Networks.
  5. S2S (Site-to-Site) – eine der IP-Adressen gehört zu einem Azure Virtual Network, die andere zu einem Kundennetzwerk (Standort), das über ExpressRoute oder ein VPN-Gateway mit dem Azure Virtual Network verbunden ist.S2S – (Site To Site) One of the IP addresses belongs to Azure Virtual Network while the other IP address belongs to customer network (Site) connected to the Azure Virtual Network through VPN gateway or Express Route.
  6. P2S (Point-to-Site) – eine der IP-Adressen gehört zu einem Azure Virtual Network, die andere zu einem Kundennetzwerk (Standort), das über ein VPN-Gateway mit dem Azure Virtual Network verbunden ist.P2S - (Point To Site) One of the IP addresses belongs to Azure Virtual Network while the other IP address belongs to customer network (Site) connected to the Azure Virtual Network through VPN gateway.
  7. AzurePublic – eine der IP-Adressen gehört zu einem Azure Virtual Network, die andere zu internen öffentlichen Azure-IP-Adressen im Besitz von Microsoft.AzurePublic - One of the IP addresses belongs to Azure Virtual Network while the other IP address belongs to Azure Internal Public IP addresses owned by Microsoft. Öffentliche IP-Adressen im Besitz von Kunden gehören nicht zu diesem Flowtyp.Customer owned Public IP addresses won’t be part of this flow type. Beispielsweise würde eine VM im Kundenbesitz, die Datenverkehr an einen Azure-Dienst (Storage-Endpunkt) sendet, in diesen Flowtyp kategorisiert.For instance, any customer owned VM sending traffic to an Azure Service (Storage endpoint) would be categorized under this flow type.
  8. ExternalPublic – eine der IP-Adressen gehört zu einem Azure Virtual Network, die andere ist eine öffentliche IP-Adresse außerhalb von Azure. Diese wird in den ASC-Feeds, die Traffic Analytics im Verarbeitungsintervall zwischen „FlowIntervalStartTime_t“ und „FlowIntervalEndTime_t“ nutzt, nicht als schädlich gemeldet.ExternalPublic - One of the IP addresses belongs to Azure Virtual Network while the other IP address is a public IP that is not in Azure, is not reported as malicious in the ASC feeds that Traffic Analytics consumes for the processing interval between “FlowIntervalStartTime_t” and “FlowIntervalEndTime_t”.
  9. MaliciousFlow – eine der IP-Adressen gehört zu einem Azure Virtual Network, die andere ist eine öffentliche IP-Adresse außerhalb von Azure. Diese wird in den ASC-Feeds, die Traffic Analytics im Verarbeitungsintervall zwischen „FlowIntervalStartTime_t“ und „FlowIntervalEndTime_t“ nutzt, als schädlich gemeldet.MaliciousFlow - One of the IP addresses belong to azure virtual network while the other IP address is a public IP that is not in Azure and is reported as malicious in the ASC feeds that Traffic Analytics consumes for the processing interval between “FlowIntervalStartTime_t” and “FlowIntervalEndTime_t”.
  10. UnknownPrivate – eine der IP-Adressen gehört zu einem Azure Virtual Network, die andere zu einem privaten IP-Adressbereich, wie in RFC 1918 definiert. Diese kann von Traffic Analytics keinem Standort im Besitz eines Kunden und keinem Azure Virtual Network zugeordnet werden.UnknownPrivate - One of the IP addresses belong to Azure Virtual Network while the other IP address belongs to private IP range as defined in RFC 1918 and could not be mapped by Traffic Analytics to a customer owned site or Azure Virtual Network.
  11. Unknown – keine der IP-Adressen in den Flows kann der Kundentopologie in Azure oder einem lokalen Standort zugeordnet werden.Unknown – Unable to map the either of the IP addresses in the flows with the customer topology in Azure as well as on-premises (site).
  12. An einige Feldnamen wird „_s“ oder „_d“ angefügt.Some field names are appended with _s or _d . Diese bezeichnen NICHT die Quelle (Source) und das Ziel (Destination).These do NOT signify source and destination.

Nächste SchritteNext Steps

Antworten auf häufig gestellte Fragen finden Sie in den FAQ zu Traffic Analytics. Weitere Informationen zur Funktionalität finden Sie in der Dokumentation zu Traffic Analytics.To get answers to frequently asked questions, see Traffic analytics FAQ To see details about functionality, see Traffic analytics documentation