Schemat analizy ruchu i agregacja danych

Analiza ruchu to oparte na chmurze rozwiązanie, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. Analiza ruchu analizuje dzienniki przepływu usługi Azure Network Watcher, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Dzięki analizie ruchu można wykonywać następujące czynności:

• Wizualizuj aktywność sieci w ramach subskrypcji platformy Azure i zidentyfikuj punkty aktywne.
• Zidentyfikuj zagrożenia bezpieczeństwa i zabezpiecz sieć przy użyciu informacji, takich jak otwarte porty, aplikacje próbujące uzyskać dostęp do Internetu i maszyny wirtualne łączące się z nieuczciwymi sieciami.
• Poznaj wzorce przepływu ruchu w różnych regionach platformy Azure i Internecie, aby zoptymalizować wdrożenie sieci pod kątem wydajności i pojemności.
• Wskazuje błędy konfiguracji sieci prowadzące do nieporozumień połączeń w sieci.
• Znajomość użycia sieci w bajtach, pakietach lub przepływach.

Agregacja danych

Dzienniki przepływu sieciowej grupy zabezpieczeń

• Wszystkie dzienniki przepływu w sieciowej grupie zabezpieczeń między elementami FlowIntervalStartTime_t i FlowIntervalEndTime_t są przechwytywane w odstępach jednej minuty jako obiekty blob na koncie magazynu.
• Domyślny interwał przetwarzania analizy ruchu wynosi 60 minut, co oznacza, że co godzinę analiza ruchu wybiera obiekty blob z konta magazynu w celu agregacji. Jeśli jednak wybrano interwał przetwarzania wynoszący 10 minut, analiza ruchu będzie wybierać obiekty blob z konta magazynu co 10 minut.
• Przepływy, które mają te same Source IPprzepływy , , NSG nameDestination portNSG ruleDestination IPFlow Directioni Transport layer protocol (TCP or UDP) są podzielone na jeden przepływ przez analizę ruchu (Uwaga: port źródłowy jest wykluczony w celu agregacji).
• Ten pojedynczy rekord jest ozdobiony (szczegóły w poniższej sekcji) i pozyskiwany w dziennikach usługi Azure Monitor przez analizę ruchu. Ten proces może potrwać do 1 godziny.
• FlowStartTime_t pole wskazuje pierwsze wystąpienie takiego zagregowanego przepływu (te same cztery krotki) w interwale przetwarzania dziennika przepływu między FlowIntervalStartTime_t i FlowIntervalEndTime_t.
• W przypadku dowolnego zasobu w analizie ruchu przepływy wskazane w witrynie Azure Portal to łączne przepływy widoczne dla sieciowej grupy zabezpieczeń, ale w dziennikach usługi Azure Monitor użytkownik widzi tylko jeden, ograniczony rekord. Aby wyświetlić wszystkie przepływy, użyj blob_id pola , do którego można odwoływać się z magazynu. Łączna liczba przepływów dla tego rekordu jest zgodna z poszczególnymi przepływami widocznymi w obiekcie blob.

Dzienniki przepływu sieci wirtualnej

• Wszystkie dzienniki przepływu między elementami FlowIntervalStartTime i FlowIntervalEndTime są przechwytywane w odstępach jednej minuty jako obiekty blob na koncie magazynu.
• Domyślny interwał przetwarzania analizy ruchu wynosi 60 minut, co oznacza, że co godzinę analiza ruchu wybiera obiekty blob z konta magazynu w celu agregacji. Jeśli jednak wybrano interwał przetwarzania wynoszący 10 minut, analiza ruchu będzie wybierać obiekty blob z konta magazynu co 10 minut.
• Przepływy, które mają te same Source IPprzepływy , , NSG nameDestination portNSG ruleDestination IPFlow Directioni Transport layer protocol (TCP or UDP) są podzielone na jeden przepływ przez analizę ruchu (Uwaga: port źródłowy jest wykluczony w celu agregacji).
• Ten pojedynczy rekord jest ozdobiony (szczegóły w poniższej sekcji) i pozyskiwany w dziennikach usługi Azure Monitor przez analizę ruchu. Ten proces może potrwać do 1 godziny.
• FlowStartTime pole wskazuje pierwsze wystąpienie takiego zagregowanego przepływu (te same cztery krotki) w interwale przetwarzania dziennika przepływu między FlowIntervalStartTime i FlowIntervalEndTime.
• W przypadku dowolnego zasobu w analizie ruchu przepływy wskazane w witrynie Azure Portal to łączna liczba przepływów, ale w dziennikach usługi Azure Monitor użytkownik widzi tylko pojedynczy, ograniczony rekord. Aby wyświetlić wszystkie przepływy, użyj blob_id pola , do którego można odwoływać się z magazynu. Łączna liczba przepływów dla tego rekordu jest zgodna z poszczególnymi przepływami widocznymi w obiekcie blob.

Poniższe zapytanie pomaga przyjrzeć się wszystkim podsieciom, które wchodzą w interakcje z publicznymi adresami IP spoza platformy Azure w ciągu ostatnich 30 dni.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet1_s, Subnet2_s  

Aby wyświetlić ścieżkę obiektu blob dla przepływów w poprzednim zapytaniu, użyj następującego zapytania:

let TableWithBlobId =
(AzureNetworkAnalytics_CL
   | where SubType_s == "Topology" and ResourceType == "NetworkSecurityGroup" and DiscoveryRegion_s == Region_s and IsFlowEnabled_b
   | extend binTime = bin(TimeProcessed_t, 6h),
            nsgId = strcat(Subscription_g, "/", Name_s),
            saNameSplit = split(FlowLogStorageAccount_s, "/")
   | extend saName = iif(arraylength(saNameSplit) == 3, saNameSplit[2], '')
   | distinct nsgId, saName, binTime)
| join kind = rightouter (
   AzureNetworkAnalytics_CL
   | where SubType_s == "FlowLog"  
   | extend binTime = bin(FlowEndTime_t, 6h)
) on binTime, $left.nsgId == $right.NSGList_s  
| extend blobTime = format_datetime(todatetime(FlowIntervalStartTime_t), "yyyy MM dd hh")
| extend nsgComponents = split(toupper(NSGList_s), "/"), dateTimeComponents = split(blobTime, " ")
| extend BlobPath = strcat("https://", saName,
                        "@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/", nsgComponents[0],
                        "/RESOURCEGROUPS/", nsgComponents[1],
                        "/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/", nsgComponents[2],
                        "/y=", dateTimeComponents[0], "/m=", dateTimeComponents[1], "/d=", dateTimeComponents[2], "/h=", dateTimeComponents[3],
                        "/m=00/macAddress=", replace(@"-", "", MACAddress_s),
                        "/PT1H.json")
| project-away nsgId, saName, binTime, blobTime, nsgComponents, dateTimeComponents;

TableWithBlobId
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s , BlobPath

Poprzednie zapytanie tworzy adres URL umożliwiający bezpośredni dostęp do obiektu blob. Adres URL z symbolami zastępczymi jest następujący:

https://{storageAccountName}@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroup}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Schemat analizy ruchu

Analiza ruchu jest oparta na dziennikach usługi Azure Monitor, dzięki czemu można uruchamiać niestandardowe zapytania dotyczące danych ozdobionych analizą ruchu i ustawiać alerty.

Dzienniki przepływu sieciowej grupy zabezpieczeń

W poniższej tabeli wymieniono pola w schemacie i informacje, które oznaczają dla dzienników przepływu sieciowej grupy zabezpieczeń.

Pole	Formatuj	Komentarze
TableName	AzureNetworkAnalytics_CL	Tabela danych analizy ruchu.
SubType_s	Dziennik przepływu	Podtyp dzienników przepływu. Użyj tylko flowLog, inne wartości SubType_s są przeznaczone do użytku wewnętrznego.
FASchemaVersion_s	2	Wersja schematu. Nie odzwierciedla wersji dziennika przepływu sieciowej grupy zabezpieczeń.
TimeProcessed_t	Data i godzina w formacie UTC	Czas, w którym analiza ruchu przetworzyła nieprzetworzone dzienniki przepływu z konta magazynu.
FlowIntervalStartTime_t	Data i godzina w formacie UTC	Czas rozpoczęcia interwału przetwarzania dziennika przepływu (czas pomiaru interwału przepływu).
FlowIntervalEndTime_t	Data i godzina w formacie UTC	Czas zakończenia interwału przetwarzania dziennika przepływu.
FlowStartTime_t	Data i godzina w formacie UTC	Pierwsze wystąpienie przepływu (które jest agregowane) w interwale przetwarzania dziennika przepływu między FlowIntervalStartTime_t i FlowIntervalEndTime_t. Ten przepływ jest agregowany na podstawie logiki agregacji.
FlowEndTime_t	Data i godzina w formacie UTC	Ostatnie wystąpienie przepływu (które jest agregowane) w interwale przetwarzania dziennika przepływu między FlowIntervalStartTime_t i FlowIntervalEndTime_t. Jeśli chodzi o dziennik przepływu w wersji 2, to pole zawiera czas ostatniego przepływu z tą samą czteroczęściową krotką (oznaczoną jako B w nieprzetworzonym rekordzie przepływu).
FlowType_s	- IntraVNet - InterVNet -S2S -P2S — AzurePublic - ExternalPublic - Złośliwy przepływ - Nieznany prywatny -Nieznany	Zobacz Uwagi dotyczące definicji.
SrcIP_s	Źródłowy adres IP	Puste w przepływach AzurePublic i ExternalPublic.
DestIP_s	Docelowy adres IP	Puste w przepływach AzurePublic i ExternalPublic.
VMIP_s	Adres IP maszyny wirtualnej	Służy do przepływów AzurePublic i ExternalPublic.
DestPort_d	Port docelowy	Port, w którym ruch jest przychodzący.
L4Protocol_s	-T -U	Protokół transportowy. T = TCP U = UDP.
L7Protocol_s	Nazwa protokołu	Pochodzi z portu docelowego.
FlowDirection_s	- I = Inbound - O = wychodzący	Kierunek przepływu: w lub poza siecią grupę zabezpieczeń na dziennik przepływu.
FlowStatus_s	- A = Dozwolone - D = Odmowa	Stan przepływu dozwolony lub blokowany przez sieciową grupę zabezpieczeń na dziennik przepływu.
NSGList_s	<SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME>	Sieciowa grupa zabezpieczeń skojarzona z przepływem.
NSGRules_s	<Wartość indeksu 0>|<>NSG_RULENAME|<Kierunek> przepływu|<Stan> przepływu|<FlowCount ProcessedByRule>	Reguła sieciowej grupy zabezpieczeń, która zezwala na ten przepływ lub go odrzuca.
NSGRule_s	NSG_RULENAME	Reguła sieciowej grupy zabezpieczeń, która zezwala na ten przepływ lub go odrzuca.
NSGRuleType_s	— Zdefiniowane przez użytkownika -Domyślny	Typ reguły sieciowej grupy zabezpieczeń używanej przez przepływ.
MACAddress_s	Adres MAC	Adres MAC karty sieciowej, w której przechwycono przepływ.
Subscription_g	Subskrypcja sieci wirtualnej platformy Azure/interfejsu sieciowego/maszyny wirtualnej jest wypełniana w tym polu	Dotyczy tylko typów przepływów FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow i UnknownPrivate (typy przepływów, których tylko jedna strona to Azure).
Subscription1_g	Identyfikator subskrypcji	Identyfikator subskrypcji sieci wirtualnej/ interfejsu sieciowego/ maszyny wirtualnej, do którego należy źródłowy adres IP w przepływie.
Subscription2_g	Identyfikator subskrypcji	Identyfikator subskrypcji sieci wirtualnej/ interfejsu sieciowego/maszyny wirtualnej, do którego należy docelowy adres IP w przepływie.
Region_s	Region sieci wirtualnej/ interfejsu sieciowego/maszyny wirtualnej, do którego należy adres IP w przepływie.	Dotyczy tylko typów przepływów FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow i UnknownPrivate (typy przepływów, których tylko jedna strona to Azure).
Region1_s	Region świadczenia usługi Azure	Region sieci wirtualnej/interfejsu sieciowego/maszyny wirtualnej platformy Azure, do którego należy źródłowy adres IP w przepływie.
Region2_s	Region świadczenia usługi Azure	Region sieci wirtualnej platformy Azure, do którego należy docelowy adres IP w przepływie.
NIC_s	<>resourcegroup_Name/<NetworkInterfaceName>	Karta sieciowa skojarzona z maszyną wirtualną wysyłającą lub odbierając ruch.
NIC1_s	<>resourcegroup_Name/<NetworkInterfaceName>	Karta sieciowa skojarzona ze źródłowym adresem IP w przepływie.
NIC2_s	<>resourcegroup_Name/<NetworkInterfaceName>	Karta sieciowa skojarzona z docelowym adresem IP w przepływie.
VM_s	<>resourcegroup_Name/<NetworkInterfaceName>	Maszyna wirtualna skojarzona z interfejsem sieciowym NIC_s.
VM1_s	<>resourcegroup_Name/<VirtualMachineName>	Maszyna wirtualna skojarzona ze źródłowym adresem IP w przepływie.
VM2_s	<>resourcegroup_Name/<VirtualMachineName>	Maszyna wirtualna skojarzona z docelowym adresem IP w przepływie.
Subnet_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Podsieć skojarzona z NIC_s.
Subnet1_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Podsieć skojarzona ze źródłowym adresem IP w przepływie.
Subnet2_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Podsieć skojarzona z docelowym adresem IP w przepływie.
ApplicationGateway1_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Usługa Application Gateway skojarzona z źródłowym adresem IP w przepływie.
ApplicationGateway2_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Brama aplikacji skojarzona z docelowym adresem IP w przepływie.
ExpressRouteCircuit1_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	Identyfikator obwodu usługi ExpressRoute — gdy przepływ jest wysyłany z lokacji za pośrednictwem usługi ExpressRoute.
ExpressRouteCircuit2_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	Identyfikator obwodu usługi ExpressRoute — gdy przepływ jest odbierany z chmury przez usługę ExpressRoute.
ExpressRouteCircuitPeeringType_s	— AzurePrivatePeering — AzurePublicPeering — MicrosoftPeering	Typ komunikacji równorzędnej usługi ExpressRoute zaangażowany w przepływ.
LoadBalancer1_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Moduł równoważenia obciążenia skojarzony ze źródłowym adresem IP w przepływie.
LoadBalancer2_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Moduł równoważenia obciążenia skojarzony z docelowym adresem IP w przepływie.
LocalNetworkGateway1_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Brama sieci lokalnej skojarzona z źródłowym adresem IP w przepływie.
LocalNetworkGateway2_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Brama sieci lokalnej skojarzona z docelowym adresem IP w przepływie.
Połączenie ionType_s	- VNetPeering - VpnGateway -Expressroute	Typ onnection.
Połączenie ionName_s	<SubscriptionID>/<ResourceGroupName>/<Połączenie ionName>	Nazwa połączenia. W przypadku typu przepływu P2S jest on sformatowany jako <nazwa> bramy_<VPN Client IP>.
Połączenie ingVNets_s	Rozdzielona spacją lista nazw sieci wirtualnych	W przypadku topologii piasty i szprych sieci wirtualne piasty są wypełniane tutaj.
Country_s	Dwuliterowy kod kraju (ISO 3166-1 alfa-2)	Wypełnione jako typ przepływu ExternalPublic. Wszystkie adresy IP w polu PublicIPs_s mają ten sam kod kraju.
AzureRegion_s	Lokalizacje regionów platformy Azure	Wypełnione jako typ przepływu AzurePublic. Wszystkie adresy IP w polu PublicIPs_s współużytkuje region świadczenia usługi Azure.
AllowedInFlows_d		Liczba dozwolonych przepływów przychodzących, które reprezentują liczbę przepływów, które współużytkowały ten sam czterokrotny ruch przychodzący do interfejsu sieciowego, w którym przechwycono przepływ.
DeniedInFlows_d		Liczba przepływów przychodzących, które zostały odrzucone. (Ruch przychodzący do interfejsu sieciowego, w którym przechwycono przepływ).
AllowedOutFlows_d		Liczba dozwolonych przepływów wychodzących (ruch wychodzący do interfejsu sieciowego, w którym przechwycono przepływ).
DeniedOutFlows_d		Liczba przepływów wychodzących, które zostały odrzucone (ruch wychodzący do interfejsu sieciowego, w którym przechwycono przepływ).
FlowCount_d	Przestarzałe. Łączna liczba przepływów pasujących do tej samej czwórki. W przypadku typów przepływów ExternalPublic i AzurePublic liczba obejmuje również przepływy z różnych adresów PublicIP.
InboundPackets_d	Reprezentuje pakiety wysyłane z miejsca docelowego do źródła przepływu	Wypełnione tylko dla wersji 2 schematu dziennika przepływu sieciowej grupy zabezpieczeń.
OutboundPackets_d	Reprezentuje pakiety wysyłane ze źródła do miejsca docelowego przepływu	Wypełnione tylko dla wersji 2 schematu dziennika przepływu sieciowej grupy zabezpieczeń.
InboundBytes_d	Reprezentuje bajty wysyłane z miejsca docelowego do źródła przepływu	Wypełnione tylko dla wersji 2 schematu dziennika przepływu sieciowej grupy zabezpieczeń.
OutboundBytes_d	Reprezentuje bajty wysyłane ze źródła do miejsca docelowego przepływu	Wypełnione tylko dla wersji 2 schematu dziennika przepływu sieciowej grupy zabezpieczeń.
CompletedFlows_d		Wypełniony wartością niezerowymi tylko dla schematu dziennika przepływu sieciowej grupy zabezpieczeń w wersji 2.
PublicIPs_s	<>PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Wpisy oddzielone słupkami.
SrcPublicIPs_s	<>SOURCE_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Wpisy oddzielone słupkami.
DestPublicIPs_s	<>DESTINATION_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Wpisy oddzielone słupkami.
IsFlowCapturedAtUDRHop_b	-True -False	Jeśli przepływ został przechwycony przy przeskoku trasy zdefiniowanej przez użytkownika, wartość to True.

Ważne

Schemat analizy ruchu został zaktualizowany 22 sierpnia 2019 r. Nowy schemat udostępnia oddzielnie źródłowe i docelowe adresy IP, usuwając konieczność analizowania FlowDirection pola tak, aby zapytania są prostsze. Zaktualizowany schemat miał następujące zmiany:

• FASchemaVersion_s zaktualizowano z zakresu od 1 do 2.
• Przestarzałe pola: VMIP_s, , Region_sSubnet_sNSGRules_sVM_sSubscription_g, , PublicIPs_sNIC_sFlowCount_d
• Nowe pola: SrcPublicIPs_s, , DestPublicIPs_sNSGRule_s

Dzienniki przepływu sieci wirtualnej

W poniższej tabeli wymieniono pola w schemacie i informacje, które oznaczają dzienniki przepływu sieci wirtualnej.

Pole	Formatuj	Komentarze
TableName	NTANetAnalytics	Tabela danych analizy ruchu.
Podtypu	Dziennik przepływu	Podtyp dzienników przepływu. Użyj tylko flowLog, inne wartości SubType są przeznaczone do użytku wewnętrznego.
FASchemaVersion	3	Wersja schematu. Nie odzwierciedla wersji dziennika przepływu sieci wirtualnej.
TimeProcessed	Data i godzina w formacie UTC	Czas, w którym analiza ruchu przetworzyła nieprzetworzone dzienniki przepływu z konta magazynu.
FlowIntervalStartTime	Data i godzina w formacie UTC	Czas rozpoczęcia interwału przetwarzania dziennika przepływu (czas pomiaru interwału przepływu).
FlowIntervalEndTime	Data i godzina w formacie UTC	Czas zakończenia interwału przetwarzania dziennika przepływu.
FlowStartTime	Data i godzina w formacie UTC	Pierwsze wystąpienie przepływu (które jest agregowane) w interwale przetwarzania dziennika przepływu między FlowIntervalStartTime i FlowIntervalEndTime. Ten przepływ jest agregowany na podstawie logiki agregacji.
FlowEndTime	Data i godzina w formacie UTC	Ostatnie wystąpienie przepływu (które jest agregowane) w interwale przetwarzania dziennika przepływu między FlowIntervalStartTime i FlowIntervalEndTime. Jeśli chodzi o dziennik przepływu w wersji 2, to pole zawiera czas ostatniego przepływu z tą samą czteroczęściową krotką (oznaczoną jako B w nieprzetworzonym rekordzie przepływu).
Typ przepływu	- IntraVNet - InterVNet -S2S -P2S — AzurePublic - ExternalPublic - Złośliwy przepływ - Nieznany prywatny -Nieznany	Zobacz Uwagi dotyczące definicji.
SrcIP	Źródłowy adres IP	Puste w przepływach AzurePublic i ExternalPublic.
DestIP	Docelowy adres IP	Puste w przepływach AzurePublic i ExternalPublic.
TargetResourceId	ResourceGroupName/ResourceName	Identyfikator zasobu, w którym włączono rejestrowanie przepływu i analizę ruchu.
TargetResourceType	VirtualNetwork/Subnet/NetworkInterface	Typ zasobu, w którym włączono rejestrowanie przepływu i analizę ruchu (sieć wirtualna, podsieć, kartę sieciową lub sieciową grupę zabezpieczeń).
FlowLogResourceId	ResourceGroupName/NetworkWatcherName/FlowLogName	Identyfikator zasobu dziennika przepływu.
DestPort	Port docelowy	Port, w którym ruch jest przychodzący.
L4Protocol	-T -U	Protokół transportowy. T = TCP U = UDP
L7Protocol	Nazwa protokołu	Pochodzi z portu docelowego.
Flowdirection	- I = przychodzący - O = wychodzący	Kierunek przepływu: w lub z sieciowej grupy zabezpieczeń na dziennik przepływu.
FlowStatus	- A = Dozwolone - D = Odmowa	Stan przepływu: dozwolony lub blokowany przez sieciową grupę zabezpieczeń na dziennik przepływu.
NSGList	<SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME>	Sieciowa grupa zabezpieczeń skojarzona z przepływem.
Reguła sieciowej grupy zabezpieczeń	NSG_RULENAME	Reguła sieciowej grupy zabezpieczeń, która zezwala na przepływ lub go odrzuca.
NSGRuleType	— Zdefiniowane przez użytkownika -Domyślny	Typ reguły sieciowej grupy zabezpieczeń używanej przez przepływ.
ADRES MACAddress	Adres MAC	Adres MAC karty sieciowej, w której przechwycono przepływ.
SrcSubscription	Identyfikator subskrypcji	Identyfikator subskrypcji sieci wirtualnej/ interfejsu sieciowego/ maszyny wirtualnej, do którego należy źródłowy adres IP w przepływie.
DestSubscription	Identyfikator subskrypcji	Identyfikator subskrypcji sieci wirtualnej/ interfejsu sieciowego/ maszyny wirtualnej, do którego należy docelowy adres IP w przepływie.
SrcRegion	Region świadczenia usługi Azure	Region platformy Azure dla sieci wirtualnej/ interfejsu sieciowego/maszyny wirtualnej, do której należy źródłowy adres IP przepływu.
DestRegion	Region świadczenia usługi Azure	Region sieci wirtualnej platformy Azure, do którego należy docelowy adres IP w przepływie.
SrcNIC	<>resourcegroup_Name/<NetworkInterfaceName>	Karta sieciowa skojarzona ze źródłowym adresem IP w przepływie.
DestNIC	<>resourcegroup_Name/<NetworkInterfaceName>	Karta sieciowa skojarzona z docelowym adresem IP w przepływie.
SrcVM	<>resourcegroup_Name/<VirtualMachineName>	Maszyna wirtualna skojarzona ze źródłowym adresem IP w przepływie.
DestVM	<>resourcegroup_Name/<VirtualMachineName>	Maszyna wirtualna skojarzona z docelowym adresem IP w przepływie.
SrcSubnet	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Podsieć skojarzona ze źródłowym adresem IP w przepływie.
DestSubnet	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Podsieć skojarzona z docelowym adresem IP w przepływie.
SrcApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Usługa Application Gateway skojarzona ze źródłowym adresem IP w przepływie.
DestApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Brama aplikacji skojarzona z docelowym adresem IP w przepływie.
SrcExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	Identyfikator obwodu usługi ExpressRoute — gdy przepływ jest wysyłany z lokacji za pośrednictwem usługi ExpressRoute.
DestExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	Identyfikator obwodu usługi ExpressRoute — gdy przepływ jest odbierany z chmury przez usługę ExpressRoute.
ExpressRouteCircuitPeeringType	— AzurePrivatePeering — AzurePublicPeering — MicrosoftPeering	Typ komunikacji równorzędnej usługi ExpressRoute zaangażowany w przepływ.
SrcLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Moduł równoważenia obciążenia skojarzony ze źródłowym adresem IP w przepływie.
DestLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Moduł równoważenia obciążenia skojarzony z docelowym adresem IP w przepływie.
SrcLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Brama sieci lokalnej skojarzona ze źródłowym adresem IP w przepływie.
DestLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Brama sieci lokalnej skojarzona z docelowym adresem IP w przepływie.
Połączenie ionType	- VNetPeering - VpnGateway -Expressroute	Typ połączenia.
Połączenie ionName	<SubscriptionID>/<ResourceGroupName>/<Połączenie ionName>	Nazwa połączenia. Dla typu przepływu P2S jest on sformatowany jako <GatewayName>_<VPNClientIP>
Połączenie ingVNets	Rozdzielona spacją lista nazw sieci wirtualnych.	W topologii piasty i szprych sieci wirtualne piasty są wypełniane tutaj.
Kraj	Dwuliterowy kod kraju (ISO 3166-1 alfa-2)	Wypełnione jako typ przepływu ExternalPublic. Wszystkie adresy IP w polu PublicIPs mają ten sam kod kraju.
AzureRegion	Lokalizacje regionów platformy Azure	Wypełnione jako typ przepływu AzurePublic. Wszystkie adresy IP w polu PublicIPs współużytkuje region świadczenia usługi Azure.
AllowedInFlows	-	Liczba dozwolonych przepływów przychodzących, które reprezentują liczbę przepływów, które współużytkowały ten sam czterokrotny ruch przychodzący do interfejsu sieciowego, w którym przechwycono przepływ.
DeniedInFlows	-	Liczba przepływów przychodzących, które zostały odrzucone. (Ruch przychodzący do interfejsu sieciowego, w którym przechwycono przepływ).
AllowedOutFlows	-	Liczba dozwolonych przepływów wychodzących (ruch wychodzący do interfejsu sieciowego, w którym przechwycono przepływ).
DeniedOutFlows	-	Liczba przepływów wychodzących, które zostały odrzucone (ruch wychodzący do interfejsu sieciowego, w którym przechwycono przepływ).
PacketsDestToSrc	Reprezentuje pakiety wysyłane z miejsca docelowego do źródła przepływu	Wypełnione tylko dla wersji 2 schematu dziennika przepływu sieciowej grupy zabezpieczeń.
PacketsSrcToDest	Reprezentuje pakiety wysyłane ze źródła do miejsca docelowego przepływu	Wypełnione tylko dla wersji 2 schematu dziennika przepływu sieciowej grupy zabezpieczeń.
BytesDestToSrc	Reprezentuje bajty wysyłane z miejsca docelowego do źródła przepływu	Wypełnione tylko dla wersji 2 schematu dziennika przepływu sieciowej grupy zabezpieczeń.
BytesSrcToDest	Reprezentuje bajty wysyłane ze źródła do miejsca docelowego przepływu	Wypełnione tylko dla wersji 2 schematu dziennika przepływu sieciowej grupy zabezpieczeń.
Ukończone przepływy	-	Wypełnione wartością inną niżzerowa tylko dla schematu dziennika przepływu sieciowej grupy zabezpieczeń w wersji 2.
SrcPublicIPs	<>SOURCE_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Wpisy oddzielone słupkami.
DestPublicIPs	<>DESTINATION_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Wpisy oddzielone słupkami.
FlowEncryption	-Szyfrowane -Niezaszyfrowane — Nieobsługiwany sprzęt — Oprogramowanie nie jest gotowe - Upuszczanie z powodu braku szyfrowania — Odnajdywanie nie jest obsługiwane — Miejsce docelowe na tym samym hoście — Powrót do braku szyfrowania.	Poziom szyfrowania przepływów.
IsFlowCapturedAtUDRHop	-True -False	Jeśli przepływ został przechwycony przy przeskoku trasy zdefiniowanej przez użytkownika, wartość to True.

Uwaga

NTANetAnalytics w dziennikach przepływu sieci wirtualnej zastępuje AzureNetworkAnalytics_CL używane w dziennikach przepływu sieciowej grupy zabezpieczeń.

Schemat szczegółów publicznego adresu IP

Analiza ruchu udostępnia dane WHOIS i lokalizację geograficzną dla wszystkich publicznych adresów IP w danym środowisku. W przypadku złośliwego adresu IP analiza ruchu udostępnia domenę DNS, typ zagrożenia i opisy wątków zidentyfikowane przez rozwiązania analizy zabezpieczeń firmy Microsoft. Szczegóły adresu IP są publikowane w obszarze roboczym usługi Log Analytics, dzięki czemu można tworzyć zapytania niestandardowe i umieszczać na nich alerty. Dostęp do wstępnie wypełnionych zapytań można również uzyskać z poziomu pulpitu nawigacyjnego analizy ruchu.

Poniższa tabela zawiera szczegóły schematu publicznego adresu IP:

Dzienniki przepływu sieciowej grupy zabezpieczeń

Pole	Formatuj	Komentarze
TableName	AzureNetworkAnalyticsIPDetails_CL	Tabela zawierająca dane szczegółów adresu IP analizy ruchu.
SubType_s	Dziennik przepływu	Podtyp dzienników przepływu. Użyj tylko ciągu "FlowLog", inne wartości SubType_s są przeznaczone dla wewnętrznych elementów roboczych produktu.
FASchemaVersion_s	2	Wersja schematu. Nie odzwierciedla wersji dziennika przepływu sieciowej grupy zabezpieczeń.
FlowIntervalStartTime_t	Data i godzina w formacie UTC	Godzina rozpoczęcia interwału przetwarzania dziennika przepływu (czas, z którego mierzony jest interwał przepływu).
FlowIntervalEndTime_t	Data i godzina w formacie UTC	Godzina zakończenia interwału przetwarzania dziennika przepływu.
FlowType_s	— AzurePublic - ExternalPublic - Złośliwy przepływ	Zobacz Uwagi dotyczące definicji.
Adres IP	Publiczny adres IP	Publiczny adres IP, którego informacje są podane w rekordzie.
Lokalizacja	Lokalizacja adresu IP	— W przypadku publicznego adresu IP platformy Azure: region sieci wirtualnej/interfejsu sieciowego/maszyny wirtualnej, do której należy adres IP LUB globalny dla adresu IP 168.63.129.16. - W przypadku zewnętrznego publicznego adresu IP i złośliwego adresu IP: 2-literowy kod kraju, w którym znajduje się adres IP (ISO 3166-1 alfa-2).
PublicIPDetails	Informacje o adresie IP	— W przypadku adresu IP AzurePublic: usługa platformy Azure będąca właścicielem adresu IP lub wirtualnego adresu IP firmy Microsoft dla adresu 168.63.129.16. - ExternalPublic/Złośliwy adres IP: KtoTo IS informacji o adresie IP.
ThreatType	Zagrożenie stwarzane przez złośliwy adres IP	Tylko w przypadku złośliwych adresów IP: jedno z zagrożeń z listy aktualnie dozwolonych wartości (opisane w następnej tabeli).
ThreatDescription	Opis zagrożenia	Tylko w przypadku złośliwych adresów IP. Opis zagrożenia stwarzanego przez złośliwy adres IP.
Domena DNS	Domena DNS	Tylko w przypadku złośliwych adresów IP. Nazwa domeny skojarzona ze złośliwym adresem IP.
Adres url	Adres URL odpowiadający złośliwemu adresowi IP	Tylko w przypadku złośliwych adresów IP
Port	Port odpowiadający złośliwemu adresowi IP	Tylko w przypadku złośliwych adresów IP

Dzienniki przepływu sieci wirtualnej

Pole	Formatuj	Komentarze
TableName	NTAIpDetails	Tabela zawierająca dane szczegółów adresu IP analizy ruchu.
Podtypu	Dziennik przepływu	Podtyp dzienników przepływu. Użyj tylko usługi FlowLog. Inne wartości podtypu są przeznaczone dla wewnętrznych elementów roboczych produktu.
FASchemaVersion	2	Wersja schematu. Nie odzwierciedla wersji dziennika przepływu sieci wirtualnej.
FlowIntervalStartTime	Data i godzina w formacie UTC	Godzina rozpoczęcia interwału przetwarzania dziennika przepływu (czas pomiaru interwału przepływu).
FlowIntervalEndTime	Data i godzina w formacie UTC	Godzina zakończenia interwału przetwarzania dziennika przepływu.
Typ przepływu	— AzurePublic - ExternalPublic - Złośliwy przepływ	Zobacz Uwagi dotyczące definicji.
Adres IP	Publiczny adres IP	Publiczny adres IP, którego informacje są podane w rekordzie.
PublicIPDetails	Informacje o adresie IP	W przypadku adresu IP AzurePublic: usługa platformy Azure będąca właścicielem adresu IP lub wirtualnego publicznego adresu IP firmy Microsoft dla adresu IP 168.63.129.16. ExternalPublic/Złośliwy adres IP: KtoTo IS informacji o adresie IP.
ThreatType	Zagrożenie stwarzane przez złośliwy adres IP	Tylko w przypadku złośliwych adresów IP. Jedno z zagrożeń z listy aktualnie dozwolonych wartości. Aby uzyskać więcej informacji, zobacz Uwagi.
Domena DNS	Domena DNS	Tylko w przypadku złośliwych adresów IP. Nazwa domeny skojarzona z tym adresem IP.
ThreatDescription	Opis zagrożenia	Tylko w przypadku złośliwych adresów IP. Opis zagrożenia stwarzanego przez złośliwy adres IP.
Lokalizacja	Lokalizacja adresu IP	Publiczny adres IP platformy Azure: region sieci wirtualnej/ interfejsu sieciowego/maszyny wirtualnej, do której należy adres IP lub adres globalny dla adresu IP 168.63.129.16. W przypadku zewnętrznego publicznego adresu IP i złośliwego adresu IP: dwuliterowy kod kraju (ISO 3166-1 alfa-2), w którym znajduje się adres IP.
Adres url	Adres URL odpowiadający złośliwemu adresowi IP	Tylko w przypadku złośliwych adresów IP .
Port	Port odpowiadający złośliwemu adresowi IP	Tylko w przypadku złośliwych adresów IP.

Uwaga

NTAIPDetails w dziennikach przepływu sieci wirtualnej zastępuje AzureNetworkAnalyticsIPDetails_CL używane w dziennikach przepływu sieciowej grupy zabezpieczeń.

Lista typów zagrożeń:

Wartość	Opis
Botnet	Wskaźnik szczegółowo opisujący węzeł/element członkowski botnetu.
C2	Wskaźnik szczegółowo węzła poleceń i sterowania botnetu.
CryptoMining	Ruch związany z tym adresem sieciowym/adresem URL wskazuje na nadużycie CyrptoMining/Resource.
DarkNet	Wskaźnik węzła/sieci Darknet.
Ddos	Wskaźniki dotyczące aktywnej lub nadchodzącej kampanii DDoS.
Złośliwy adres URL	Adres URL obsługujący złośliwe oprogramowanie.
Złośliwe oprogramowanie	Wskaźnik opisujący złośliwy plik lub pliki.
Wyłudzanie informacji	Wskaźniki dotyczące kampanii wyłudzającej informacje.
Proxy	Wskaźnik usługi serwera proxy.
PUA	Potencjalnie niepożądane aplikacje.
Obserwowane	Ogólny zasobnik, w którym wskaźniki są umieszczane, gdy nie można określić dokładnie tego, co to jest zagrożenie lub wymaga ręcznej interpretacji. WatchList zazwyczaj nie powinny być używane przez partnerów przesyłając dane do systemu.

Uwagi

• W przypadku przepływów AzurePublic i ExternalPublic adres IP maszyny wirtualnej platformy Azure należący do klienta jest wypełniany w VMIP_s polu, podczas gdy publiczne adresy IP są wypełniane w PublicIPs_s polu. W przypadku tych dwóch typów przepływów należy użyć pól VMIP_s i PublicIPs_s zamiast SrcIP_s i DestIP_s . W przypadku adresów IP AzurePublic i ExternalPublic agregujemy dalej, aby liczba rekordów pozyskanych do obszaru roboczego usługi Log Analytics jest minimalna. (To pole będzie przestarzałe. Użyj SrcIP_ i DestIP_s w zależności od tego, czy maszyna wirtualna była źródłem, czy miejscem docelowym przepływu).
• Niektóre nazwy pól są dołączane za pomocą _s elementu lub _d, które nie oznaczają źródła i miejsca docelowego, ale wskazują odpowiednio ciąg typów danych i dziesiętne.
• Na podstawie adresów IP zaangażowanych w przepływ kategoryzujemy przepływy na następujące typy przepływów:
  • IntraVNet: Oba adresy IP w przepływie znajdują się w tej samej sieci wirtualnej platformy Azure.
  • InterVNet: adresy IP w przepływie znajdują się w dwóch różnych sieciach wirtualnych platformy Azure.
  • S2S (Lokacja-lokacja): jeden z adresów IP należy do sieci wirtualnej platformy Azure, a drugi adres IP należy do sieci klienta (lokacji) połączonej z siecią wirtualną za pośrednictwem bramy sieci VPN lub usługi ExpressRoute.
  • P2S (Punkt-lokacja): jeden z adresów IP należy do sieci wirtualnej platformy Azure, a drugi adres IP należy do sieci klienta (lokacji) połączonej z siecią wirtualną platformy Azure za pośrednictwem bramy sieci VPN.
  • AzurePublic: jeden z adresów IP należy do sieci wirtualnej platformy Azure, a drugi adres IP jest publicznym adresem IP platformy Azure należącym do firmy Microsoft. Publiczne adresy IP klienta nie są częścią tego typu przepływu. Na przykład każda maszyna wirtualna należąca do klienta wysyłająca ruch do usługi platformy Azure (punkt końcowy usługi Storage) zostanie skategoryzowana w ramach tego typu przepływu.
  • ExternalPublic: jeden z adresów IP należy do sieci wirtualnej platformy Azure, a drugi adres IP jest publicznym adresem IP, który nie znajduje się na platformie Azure i nie jest zgłaszany jako złośliwy w kanałach informacyjnych usługi ASC, które analizy ruchu zużywają na potrzeby interwału przetwarzania między "FlowIntervalStartTime_t" i "FlowIntervalEndTime_t".
  • MaliciousFlow: Jeden z adresów IP należy do sieci wirtualnej platformy Azure, a drugi adres IP jest publicznym adresem IP, który nie znajduje się na platformie Azure i jest zgłaszany jako złośliwy w kanałach informacyjnych usługi ASC, które analizy ruchu zużywają na potrzeby interwału przetwarzania między "FlowIntervalStartTime_t" i "FlowIntervalEndTime_t".
  • UnknownPrivate: jeden z adresów IP należy do sieci wirtualnej platformy Azure, podczas gdy drugi adres IP należy do prywatnego zakresu adresów IP zdefiniowanego w dokumencie RFC 1918 i nie można go zamapować przez analizę ruchu do witryny należącej do klienta lub sieci wirtualnej platformy Azure.
  • Unknown: Nie można zamapować jednego z adresów IP w przepływie z topologią klienta na platformie Azure i lokalną (lokacją).

Powiązana zawartość

• Aby dowiedzieć się więcej na temat analizy ruchu, zobacz Omówienie analizy ruchu.
• Zobacz Często zadawane pytania dotyczące analizy ruchu, aby uzyskać odpowiedzi na często zadawane pytania dotyczące analizy ruchu.