Esquema y agregación de datos en Análisis de tráficoSchema and data aggregation in Traffic Analytics

Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube.Traffic Analytics is a cloud-based solution that provides visibility into user and application activity in cloud networks. Análisis de tráfico permite analizar los registros de flujo del grupo de seguridad de Network Watcher para proporcionar información sobre el flujo de tráfico en la nube de Azure.Traffic Analytics analyzes Network Watcher network security group (NSG) flow logs to provide insights into traffic flow in your Azure cloud. Con Análisis de tráfico, puede:With traffic analytics, you can:

  • Visualizar la actividad de la red en las suscripciones de Azure e identificar las zonas activas.Visualize network activity across your Azure subscriptions and identify hot spots.
  • Identificar las amenazas de seguridad y proteger la red, con información sobre puertos abiertos, aplicaciones que intentan acceder a Internet y máquinas virtuales (VM) que se conectan a redes no autorizadas.Identify security threats to, and secure your network, with information such as open-ports, applications attempting internet access, and virtual machines (VM) connecting to rogue networks.
  • Entender los patrones de flujo de tráfico entre regiones de Azure e Internet para optimizar el rendimiento y la capacidad de su implementación de red.Understand traffic flow patterns across Azure regions and the internet to optimize your network deployment for performance and capacity.
  • Identificar errores de configuración de red que dan lugar a errores de conexión.Pinpoint network misconfigurations leading to failed connections in your network.
  • Conocer el uso de red en bytes, paquetes o flujos.Know network usage in bytes, packets, or flows.

Agregación de datosData aggregation

  1. Todos los registros de flujo en un NSG entre "FlowIntervalStartTime_t" y "FlowIntervalEndTime_t" se capturan en intervalos de un minuto en la cuenta de almacenamiento como blobs antes de que el Análisis de tráfico los procese.All flow logs at an NSG between “FlowIntervalStartTime_t” and “FlowIntervalEndTime_t” are captured at one-minute intervals in the storage account as blobs before being processed by Traffic Analytics.
  2. El intervalo de procesamiento predeterminado de Análisis de tráfico es 60 minutos.Default processing interval of Traffic Analytics is 60 minutes. Esto significa que cada 60 minutos, Análisis de tráfico elige blobs del almacenamiento para la agregación.This means that every 60 mins Traffic Analytics picks blobs from storage for aggregation. Si el intervalo de procesamiento elegido es de 10 minutos, Análisis de tráfico seleccionará los blobs de la cuenta de almacenamiento después de cada 10 minutos.If processing interval chosen is 10 mins, Traffic Analytics will pick blobs from storage account after every 10 mins.
  3. El Análisis de tráfico agrupa en un único flujo los flujos que tengan la misma IP de origen, IP de destino, puerto de destino, nombre NSG, regla NSG, dirección de flujo y protocolo de capa de transporte (TCP o UDP) (Nota: el puerto de origen se excluye para la agregación).Flows that have the same Source IP, Destination IP, Destination port, NSG name, NSG rule, Flow Direction, and Transport layer protocol (TCP or UDP) (Note: Source port is excluded for aggregation) are clubbed into a single flow by Traffic Analytics
  4. El Análisis de tráfico rellena este registro único (más detalles en la sección siguiente) y lo ingesta en Log Analytics. Este proceso puede tardar hasta una hora.This single record is decorated (Details in the section below) and ingested in Log Analytics by Traffic Analytics.This process can take upto 1 hour max.
  5. El campo FlowStartTime_t indica la primera aparición de este tipo de flujo agregado (misma tupla de cuatro) en el intervalo de procesamiento de registros de flujos entre "FlowIntervalStartTime_t" y "FlowIntervalEndTime_t".FlowStartTime_t field indicates the first occurrence of such an aggregated flow (same four-tuple) in the flow log processing interval between “FlowIntervalStartTime_t” and “FlowIntervalEndTime_t”.
  6. Para cualquier recurso en el Análisis de tráfico, los flujos que se indican en la interfaz de usuario son flujos totales vistos por NSG, pero en Log Anlaytics, el usuario verá solo el registro único reducido.For any resource in TA, the flows indicated in the UI are total flows seen by the NSG, but in Log Analytics user will see only the single, reduced record. Para ver todos los flujos, use el campo blob_id, al que se puede hacer referencia desde el almacenamiento.To see all the flows, use the blob_id field, which can be referenced from Storage. El número total de flujos de ese registro coincidirá con los flujos individuales que se ven en el blob.The total flow count for that record will match the individual flows seen in the blob.

La siguiente consulta lo ayuda a analizar todos los registros de flujo locales en los últimos treinta días.The below query helps you looks at all flow logs from on-premises in the last 30 days.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s  

Para ver la ruta de acceso de blob para los flujos en la consulta mencionada anteriormente, use la siguiente consulta:To view the blob path for the flows in the above mentioned query, use the query below:

let TableWithBlobId =
(AzureNetworkAnalytics_CL
   | where SubType_s == "Topology" and ResourceType == "NetworkSecurityGroup" and DiscoveryRegion_s == Region_s and IsFlowEnabled_b
   | extend binTime = bin(TimeProcessed_t, 6h),
            nsgId = strcat(Subscription_g, "/", Name_s),
            saNameSplit = split(FlowLogStorageAccount_s, "/")
   | extend saName = iif(arraylength(saNameSplit) == 3, saNameSplit[2], '')
   | distinct nsgId, saName, binTime)
| join kind = rightouter (
   AzureNetworkAnalytics_CL
   | where SubType_s == "FlowLog"  
   | extend binTime = bin(FlowEndTime_t, 6h)
) on binTime, $left.nsgId == $right.NSGList_s  
| extend blobTime = format_datetime(todatetime(FlowIntervalStartTime_t), "yyyy MM dd hh")
| extend nsgComponents = split(toupper(NSGList_s), "/"), dateTimeComponents = split(blobTime, " ")
| extend BlobPath = strcat("https://", saName,
                        "@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/", nsgComponents[0],
                        "/RESOURCEGROUPS/", nsgComponents[1],
                        "/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/", nsgComponents[2],
                        "/y=", dateTimeComponents[0], "/m=", dateTimeComponents[1], "/d=", dateTimeComponents[2], "/h=", dateTimeComponents[3],
                        "/m=00/macAddress=", replace(@"-", "", MACAddress_s),
                        "/PT1H.json")
| project-away nsgId, saName, binTime, blobTime, nsgComponents, dateTimeComponents;

TableWithBlobId
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s , BlobPath

La consulta anterior construye una dirección URL para acceder al blob directamente.The above query constructs a URL to access the blob directly. A continuación figura la dirección URL con los marcadores de posición:The URL with place-holders is below:

https://{saName}@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroup}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Campos que se usan en el esquema de Análisis de tráficoFields used in Traffic Analytics schema

Importante

El esquema de Análisis de tráfico se ha actualizado el 22 de agosto de 2019.The Traffic Analytics Schema has been updated on 22nd August, 2019. El nuevo esquema proporciona direcciones IP de origen y de destino por separado, lo que elimina la necesidad de analizar el campo FlowDirection y simplifica las consultas.The new schema provides source and destination IPs separately removing need to parse FlowDirection field making queries simpler.
FASchemaVersion_s actualizado de 1 a 2.FASchemaVersion_s updated from 1 to 2.
Campos en desuso: VMIP_s, Subscription_s, Region_s, NSGRules_s, Subnet_s, VM_s, NIC_s, PublicIPs_s, FlowCount_dDeprecated fields: VMIP_s, Subscription_s, Region_s, NSGRules_s, Subnet_s, VM_s, NIC_s, PublicIPs_s, FlowCount_d
Nuevos campos: SrcPublicIPs_s, DestPublicIPs_s, NSGRule_sNew fields: SrcPublicIPs_s, DestPublicIPs_s, NSGRule_s
Los campos en desuso estarán disponibles hasta el 22 de noviembre de 2019.Deprecated fields will be available until 22nd November, 2019.

El Análisis de tráfico se basa en Log Analytics, por lo que puede ejecutar consultas personalizadas en los datos que Análisis de tráfico rellena y establecer alertas en ellas.Traffic Analytics is built on top of Log Analytics, so you can run custom queries on data decorated by Traffic Analytics and set alerts on the same.

A continuación se proporcionan los campos en el esquema y su significadoListed below are the fields in the schema and what they signify

CampoField FormatoFormat ComentariosComments
TableNameTableName AzureNetworkAnalytics_CLAzureNetworkAnalytics_CL Tabla para los datos de Análisis de tráfico.Table for Traffic Analytics data
SubType_sSubType_s FlowLogFlowLog Subtipo para los registros de flujo.Subtype for the flow logs. Usar solo "FlowLog"; otros valores de SubType_s son para el funcionamiento interno del producto.Use only "FlowLog", other values of SubType_s are for internal workings of the product
FASchemaVersion_sFASchemaVersion_s 22 Versión de esquema.Schema version. No refleja la versión del registro de flujo de NSG.Does not reflect NSG Flow Log version
TimeProcessed_tTimeProcessed_t Fecha y hora en UTCDate and Time in UTC Hora a la que el Análisis de tráfico procesó los registros de flujo sin formato desde la cuenta de almacenamiento.Time at which the Traffic Analytics processed the raw flow logs from the storage account
FlowIntervalStartTime_tFlowIntervalStartTime_t Fecha y hora en UTCDate and Time in UTC Hora de inicio del intervalo de procesamiento de registros de flujo.Starting time of the flow log processing interval. Se trata de la hora desde la que se mide el intervalo de flujos.This is time from which flow interval is measured
FlowIntervalEndTime_tFlowIntervalEndTime_t Fecha y hora en UTCDate and Time in UTC Hora de finalización del intervalo de procesamiento de registros de flujo.Ending time of the flow log processing interval
FlowStartTime_tFlowStartTime_t Fecha y hora en UTCDate and Time in UTC Primera aparición del flujo (que se agregará) en el intervalo de procesamiento de registros de flujos entre "FlowIntervalStartTime_t" y "FlowIntervalEndTime_t".First occurrence of the flow (which will get aggregated) in the flow log processing interval between “FlowIntervalStartTime_t” and “FlowIntervalEndTime_t”. Este flujo se agrega en función de la lógica de agregación.This flow gets aggregated based on aggregation logic
FlowEndTime_tFlowEndTime_t Fecha y hora en UTCDate and Time in UTC Última aparición del flujo (que se agregará) en el intervalo de procesamiento de registros de flujos entre "FlowIntervalStartTime_t" y "FlowIntervalEndTime_t".Last occurrence of the flow (which will get aggregated) in the flow log processing interval between “FlowIntervalStartTime_t” and “FlowIntervalEndTime_t”. Desde el punto de vista del registro de flujos v2, este campo contiene la hora de inicio del último flujo con la misma tupla de cuatro (marcado como "B" en el registro de flujos sin formato).In terms of flow log v2, this field contains the time when the last flow with the same four-tuple started (marked as “B” in the raw flow record)
FlowType_sFlowType_s * IntraVNet* IntraVNet
* InterVNet* InterVNet
* S2S* S2S
* P2S* P2S
* AzurePublic* AzurePublic
* ExternalPublic* ExternalPublic
* MaliciousFlow* MaliciousFlow
* UnknownPrivate* Unknown Private
* Unknown* Unknown
Definición en las notas después de la tabla.Definition in notes below the table
SrcIP_sSrcIP_s Dirección IP de origenSource IP address Quedará en blanco en el caso de los flujos AzurePublic y ExternalPublic.Will be blank in case of AzurePublic and ExternalPublic flows
DestIP_sDestIP_s Dirección IP de destinoDestination IP address Quedará en blanco en el caso de los flujos AzurePublic y ExternalPublic.Will be blank in case of AzurePublic and ExternalPublic flows
VMIP_sVMIP_s Dirección IP de la VM.IP of the VM Se usa para los flujos AzurePublic y ExternalPublic.Used for AzurePublic and ExternalPublic flows
PublicIP_sPublicIP_s Direcciones IP públicasPublic IP addresses Se usa para los flujos AzurePublic y ExternalPublic.Used for AzurePublic and ExternalPublic flows
DestPort_dDestPort_d Puerto de destinoDestination Port Puerto en el que el tráfico es entrante.Port at which traffic is incoming
L4Protocol_sL4Protocol_s * T* T
* U* U
Protocolo de transporte.Transport Protocol. T = TCPT = TCP
U = UDPU = UDP
L7Protocol_sL7Protocol_s Nombre del protocoloProtocol Name Derivado del puerto de destino.Derived from destination port
FlowDirection_sFlowDirection_s * I = Entrante* I = Inbound
* O = Saliente* O = Outbound
Dirección del flujo entrante o saliente de NSG según el registro de flujosDirection of the flow in/out of NSG as per flow log
FlowStatus_sFlowStatus_s * A = Permitido por la regla de NSG* A = Allowed by NSG Rule
* D = Denegado por la regla de NSG* D = Denied by NSG Rule
Estado del flujo permitido o bloqueado por NSG según el registro de flujos.Status of flow allowed/nblocked by NSG as per flow log
NSGList_sNSGList_s <SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME><SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME> Grupo de seguridad de red (NSG) asociado con el flujo.Network Security Group (NSG) associated with the flow
NSGRules_sNSGRules_s <Index value 0)>|<NSG_RULENAME>|<Flow Direction>|<Flow Status>|<FlowCount ProcessedByRule><Index value 0)>|<NSG_RULENAME>|<Flow Direction>|<Flow Status>|<FlowCount ProcessedByRule> Regla de NSG que permitió o denegó este flujo.NSG rule that allowed or denied this flow
NSGRule_sNSGRule_s NSG_RULENAMENSG_RULENAME Regla de NSG que permitió o denegó este flujo.NSG rule that allowed or denied this flow
NSGRuleType_sNSGRuleType_s * Definido por el usuario * predeterminado* User Defined * Default El tipo de regla de NSG que el flujo usa.The type of NSG Rule used by the flow
MACAddress_sMACAddress_s Dirección MACMAC Address Dirección MAC de la NIC en la que se capturó el flujo.MAC address of the NIC at which the flow was captured
Subscription_sSubscription_s En este campo se indica la suscripción de la red virtual, interfaz de red o máquina virtual de Azure.Subscription of the Azure virtual network/ network interface/ virtual machine is populated in this field Solo se aplica para los tipos de flujo FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow y UnknownPrivate (tipos de flujo donde solo un lado es Azure).Applicable only for FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow, and UnknownPrivate flow types (flow types where only one side is azure)
Subscription1_sSubscription1_s Id. de suscripciónSubscription ID Id. de suscripción de la red virtual, interfaz de red o máquina virtual a la que pertenece la dirección IP de origen del flujo.Subscription ID of virtual network/ network interface/ virtual machine to which the source IP in the flow belongs to
Subscription2_sSubscription2_s Id. de suscripciónSubscription ID Id. de suscripción de la red virtual, interfaz de red o máquina virtual a la que pertenece la dirección IP de origen en el flujo.Subscription ID of virtual network/ network interface/ virtual machine to which the destination IP in the flow belongs to
Region_sRegion_s Región de Azure de la red virtual, interfaz de red o máquina virtual a la que pertenece la dirección IP en el flujo.Azure region of virtual network/ network interface/ virtual machine to which the IP in the flow belongs to Solo se aplica para los tipos de flujo FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow y UnknownPrivate (tipos de flujo donde solo un lado es Azure).Applicable only for FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow, and UnknownPrivate flow types (flow types where only one side is azure)
Region1_sRegion1_s Región de AzureAzure Region Región de Azure de la red virtual, interfaz de red o máquina virtual a la que pertenece la dirección IP de origen en el flujo.Azure region of virtual network/ network interface/ virtual machine to which the source IP in the flow belongs to
Region2_sRegion2_s Región de AzureAzure Region Región de Azure de la red virtual a la que pertenece la dirección IP de destino en el flujo.Azure region of virtual network to which the destination IP in the flow belongs to
NIC_sNIC_s <resourcegroup_Name>/<NetworkInterfaceName><resourcegroup_Name>/<NetworkInterfaceName> NIC asociada con la VM que envía o recibe el tráfico.NIC associated with the VM sending or receiving the traffic
NIC1_sNIC1_s <resourcegroup_Name>/<NetworkInterfaceName><resourcegroup_Name>/<NetworkInterfaceName> NIC asociada con la dirección IP de origen en el flujo.NIC associated with the source IP in the flow
NIC2_sNIC2_s <resourcegroup_Name>/<NetworkInterfaceName><resourcegroup_Name>/<NetworkInterfaceName> NIC asociada con la dirección IP de destino en el flujo.NIC associated with the destination IP in the flow
VM_sVM_s <resourcegroup_Name>/<NetworkInterfaceName><resourcegroup_Name>/<NetworkInterfaceName> Máquina virtual asociada con la NIC_s de interfaz de red.Virtual Machine associated with the Network interface NIC_s
VM1_sVM1_s <resourcegroup_Name>/<VirtualMachineName><resourcegroup_Name>/<VirtualMachineName> Máquina virtual asociada con la dirección IP de origen en el flujo.Virtual Machine associated with the source IP in the flow
VM2_sVM2_s <resourcegroup_Name>/<VirtualMachineName><resourcegroup_Name>/<VirtualMachineName> Máquina virtual asociada con la dirección IP de destino en el flujo.Virtual Machine associated with the destination IP in the flow
Subnet_sSubnet_s <ResourceGroup_Name>/<VNET_Name>/<SubnetName><ResourceGroup_Name>/<VNET_Name>/<SubnetName> Subred asociada con la NIC_s.Subnet associated with the NIC_s
Subnet1_sSubnet1_s <ResourceGroup_Name>/<VNET_Name>/<SubnetName><ResourceGroup_Name>/<VNET_Name>/<SubnetName> Subred asociada con la dirección IP de origen en el flujo.Subnet associated with the Source IP in the flow
Subnet2_sSubnet2_s <ResourceGroup_Name>/<VNET_Name>/<SubnetName><ResourceGroup_Name>/<VNET_Name>/<SubnetName> Subred asociada con la dirección IP de destino en el flujo.Subnet associated with the Destination IP in the flow
ApplicationGateway1_sApplicationGateway1_s <SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName><SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName> Puerta de enlace de aplicación asociada con la dirección IP de origen en el flujo.Application gateway associated with the Source IP in the flow
ApplicationGateway2_sApplicationGateway2_s <SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName><SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName> Puerta de enlace de aplicaciones asociado con la dirección IP de destino en el flujo.Application gateway associated with the Destination IP in the flow
LoadBalancer1_sLoadBalancer1_s <SubscriptionID>/<ResourceGroupName>/<LoadBalancerName><SubscriptionID>/<ResourceGroupName>/<LoadBalancerName> Equilibrador de carga asociado con la dirección IP de origen en el flujo.Load balancer associated with the Source IP in the flow
LoadBalancer2_sLoadBalancer2_s <SubscriptionID>/<ResourceGroupName>/<LoadBalancerName><SubscriptionID>/<ResourceGroupName>/<LoadBalancerName> Equilibrador de carga asociado con la dirección IP de destino en el flujo.Load balancer associated with the Destination IP in the flow
LocalNetworkGateway1_sLocalNetworkGateway1_s <SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName><SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> Puerta de enlace de red local asociada con la dirección IP de origen en el flujo.Local network gateway associated with the Source IP in the flow
LocalNetworkGateway2_sLocalNetworkGateway2_s <SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName><SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> Puerta de enlace de red local asociada con la dirección IP de destino en el flujo.Local network gateway associated with the Destination IP in the flow
ConnectionType_sConnectionType_s Los valores posibles son VNetPeering, VpnGateway y ExpressRoute.Possible values are VNetPeering, VpnGateway, and ExpressRoute Tipo de conexión.Connection Type
ConnectionName_sConnectionName_s <SubscriptionID>/<ResourceGroupName>/<ConnectionName><SubscriptionID>/<ResourceGroupName>/<ConnectionName> Nombre de la conexión.Connection Name. En el caso del tipo de flujo de la conexión de punto a sitio, el formato será For flowtype P2S, this will be formatted as
ConnectingVNets_sConnectingVNets_s Lista separada por espacios de nombres de red virtual.Space separated list of virtual network names En el caso de una topología de concentrador y radio, las redes virtuales de centro se rellenarán aquí.In case of hub and spoke topology, hub virtual networks will be populated here
Country_sCountry_s Código de país o región de dos letras (ISO 3166-1 alfa-2).Two letter country code (ISO 3166-1 alpha-2) Se rellena para el tipo de flujo ExternalPublic.Populated for flow type ExternalPublic. Todas las direcciones IP en el campo PublicIPs_s compartirán el mismo código de país o región.All IP addresses in PublicIPs_s field will share the same country code
AzureRegion_sAzureRegion_s Ubicaciones de la región de AzureAzure region locations Se rellena para el tipo de flujo AzurePublic.Populated for flow type AzurePublic. Todas las direcciones IP en el campo PublicIPs_s compartirán la región de Azure.All IP addresses in PublicIPs_s field will share the Azure region
AllowedInFlows_dAllowedInFlows_d Número de flujos entrantes que se permitieron.Count of inbound flows that were allowed. Esto representa el número de flujos que compartieron la misma tupla de cuatro a la interfaz de red en la que se capturó el flujo.This represents the number of flows that shared the same four-tuple inbound to the network interface at which the flow was captured
DeniedInFlows_dDeniedInFlows_d Número de flujos entrantes que se denegaron.Count of inbound flows that were denied. (Entrante en la interfaz de red en la que se capturó el flujo).(Inbound to the network interface at which the flow was captured)
AllowedOutFlows_dAllowedOutFlows_d Número de flujos salientes que se permitieron. (Saliente a la interfaz de red en la que se capturó el flujo).Count of outbound flows that were allowed (Outbound to the network interface at which the flow was captured)
DeniedOutFlows_dDeniedOutFlows_d Número de flujos salientes que se denegaron. (Saliente a la interfaz de red en la que se capturó el flujo).Count of outbound flows that were denied (Outbound to the network interface at which the flow was captured)
FlowCount_dFlowCount_d En desuso.Deprecated. Total de flujos que coincidieron con la misma tupla de cuatro.Total flows that matched the same four-tuple. En el caso de tipos de flujo ExternalPublic y AzurePublic, el número también incluirá los flujos de distintas direcciones de PublicIP.In case of flow types ExternalPublic and AzurePublic, count will include the flows from various PublicIP addresses as well.
InboundPackets_dInboundPackets_d Paquetes recibidos según se capturaron en la interfaz de red donde se aplicó la regla de NSG.Packets received as captured at the network interface where NSG rule was applied Esto se rellena solo para la versión 2 del esquema de registro de flujos de NSG.This is populated only for the Version 2 of NSG flow log schema
OutboundPackets_dOutboundPackets_d Paquetes enviados según se capturaron en la interfaz de red donde se aplicó la regla de NSG.Packets sent as captured at the network interface where NSG rule was applied Esto se rellena solo para la versión 2 del esquema de registro de flujos de NSG.This is populated only for the Version 2 of NSG flow log schema
InboundBytes_dInboundBytes_d Bytes recibidos según se capturaron en la interfaz de red donde se aplicó la regla de NSG.Bytes received as captured at the network interface where NSG rule was applied Esto se rellena solo para la versión 2 del esquema de registro de flujos de NSG.This is populated only for the Version 2 of NSG flow log schema
OutboundBytes_dOutboundBytes_d Bytes enviados según se capturaron en la interfaz de red donde se aplicó la regla de NSG.Bytes sent as captured at the network interface where NSG rule was applied Esto se rellena solo para la versión 2 del esquema de registro de flujos de NSG.This is populated only for the Version 2 of NSG flow log schema
CompletedFlows_dCompletedFlows_d Esto se rellenará con un valor distinto de cero solo para la versión 2 del esquema de registro de flujos de NSG.This is populated with non-zero value only for the Version 2 of NSG flow log schema
PublicIPs_sPublicIPs_s <PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES><PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> Entradas separadas por barrasEntries separated by bars
SrcPublicIPs_sSrcPublicIPs_s <SOURCE_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES><SOURCE_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> Entradas separadas por barrasEntries separated by bars
DestPublicIPs_sDestPublicIPs_s <DESTINATION_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES><DESTINATION_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> Entradas separadas por barrasEntries separated by bars

NotasNotes

  1. En el caso de los flujos AzurePublic y ExternalPublic, la IP de la VM de Azure propiedad del cliente se rellena en el campo VMIP_s, mientras que las direcciones IP públicas que se rellenan en el campo PublicIPs_s.In case of AzurePublic and ExternalPublic flows, the customer owned Azure VM IP is populated in VMIP_s field, while the Public IP addresses are being populated in the PublicIPs_s field. Para dos estos tipos de flujo de dos, debemos usar VMIP_s y PublicIPs_s en lugar de campos SrcIP_s y DestIP_s.For these two flow types, we should use VMIP_s and PublicIPs_s instead of SrcIP_s and DestIP_s fields. Para las direcciones de AzurePublic y ExternalPublicIP, agregamos aún más de modo que el número de registros ingeridos en el área de trabajo de análisis de registros de cliente sea mínimo. (Este campo quedará en desuso próximamente y deberíamos usar SrcIP_ y DestIP_s, en función de si la VM de Azure era el origen o el destino del flujo).For AzurePublic and ExternalPublicIP addresses, we aggregate further, so that the number of records ingested to customer log analytics workspace is minimal.(This field will be deprecated soon and we should be using SrcIP_ and DestIP_s depending on whether azure VM was the source or the destination in the flow)
  2. Detalles de los tipos de flujo: En función de las direcciones IP que se usan en el flujo, los flujos se clasifican en los siguientes tipos de flujo:Details for flow types: Based on the IP addresses involved in the flow, we categorize the flows in to the following flow types:
  3. IntraVNet: ambas direcciones IP en el flujo residen en la misma red virtual de Azure.IntraVNet – Both the IP addresses in the flow reside in the same Azure Virtual Network.
  4. InterVNet: las direcciones IP en el flujo residen en las dos diferentes redes virtuales de Azure.InterVNet - IP addresses in the flow reside in the two different Azure Virtual Networks.
  5. S2S: (sitio a sitio) una de las direcciones IP pertenece a la red virtual de Azure mientras que la otra dirección IP pertenece a la red del cliente (sitio) conectado a la red virtual de Azure a través de la puerta de enlace de VPN o Express Route.S2S – (Site To Site) One of the IP addresses belongs to Azure Virtual Network while the other IP address belongs to customer network (Site) connected to the Azure Virtual Network through VPN gateway or Express Route.
  6. P2S: (punto a punto) una de las direcciones IP pertenece a la red virtual de Azure mientras que la otra dirección IP pertenece a la red del cliente (sitio) conectado a la red virtual de Azure a través de la puerta de enlace de VPN.P2S - (Point To Site) One of the IP addresses belongs to Azure Virtual Network while the other IP address belongs to customer network (Site) connected to the Azure Virtual Network through VPN gateway.
  7. AzurePublic: una de las direcciones IP pertenece a la red virtual de Azure mientras que la otra dirección IP pertenece a las direcciones IP públicas internas de Azure propiedad de Microsoft.AzurePublic - One of the IP addresses belongs to Azure Virtual Network while the other IP address belongs to Azure Internal Public IP addresses owned by Microsoft. Las direcciones IP públicas propiedad del cliente no formarán parte de este tipo de flujo.Customer owned Public IP addresses won’t be part of this flow type. Por ejemplo, una VM propiedad del cliente que envíe tráfico a un servicio de Azure (punto de conexión de almacenamiento) se clasificaría en este tipo de flujo.For instance, any customer owned VM sending traffic to an Azure Service (Storage endpoint) would be categorized under this flow type.
  8. ExternalPublic: una de las direcciones IP pertenece a la red virtual de Azure, mientras que la otra dirección IP es una dirección IP pública que no está en Azure, no se notifica como malintencionada en las fuentes ASC que Análisis de tráfico consume para el intervalo de procesamiento entre "FlowIntervalStartTime_t" y "FlowIntervalEndTime_t".ExternalPublic - One of the IP addresses belongs to Azure Virtual Network while the other IP address is a public IP that is not in Azure, is not reported as malicious in the ASC feeds that Traffic Analytics consumes for the processing interval between “FlowIntervalStartTime_t” and “FlowIntervalEndTime_t”.
  9. MaliciousFlow: una de las direcciones IP pertenece a la red virtual de Azure, mientras que la otra dirección IP es una dirección IP pública que no está en Azure, se notifica como malintencionada en las fuentes ASC que Análisis de tráfico consume para el intervalo de procesamiento entre "FlowIntervalStartTime_t" y "FlowIntervalEndTime_t".MaliciousFlow - One of the IP addresses belong to azure virtual network while the other IP address is a public IP that is not in Azure and is reported as malicious in the ASC feeds that Traffic Analytics consumes for the processing interval between “FlowIntervalStartTime_t” and “FlowIntervalEndTime_t”.
  10. UnknownPrivate: una de las direcciones IP pertenecen a la red virtual de Azure, mientras que la otra dirección IP pertenece al intervalo IP privadas según se define en RFC 1918 y Análisis de tráfico no la puede asignar a un sitio o red virtual de Azure propiedad del cliente.UnknownPrivate - One of the IP addresses belong to Azure Virtual Network while the other IP address belongs to private IP range as defined in RFC 1918 and could not be mapped by Traffic Analytics to a customer owned site or Azure Virtual Network.
  11. Unknown: no se puede asignar ninguna de las direcciones IP en los flujos con la topología de cliente en Azure ni de forma local (sitio).Unknown – Unable to map the either of the IP addresses in the flows with the customer topology in Azure as well as on-premises (site).
  12. Algunos nombres de campo se anexan con _s o _d.Some field names are appended with _s or _d. NO significan el origen y el destino, sino que indican los tipos de datos de cadena y decimales respectivamente.These do NOT signify source and destination but indicate the data types string and decimal respectively.

Pasos siguientesNext Steps

Para obtener respuestas a las preguntas más frecuentes, consulte Preguntas más frecuentes sobre Análisis de tráfico. Para ver detalles sobre la funcionalidad, consulte la documentación de Análisis de tráficoTo get answers to frequently asked questions, see Traffic analytics FAQ To see details about functionality, see Traffic analytics documentation