Azure ExpressRoute Traffic Collector
O Coletor de Tráfego de Rota Expressa permite a amostragem de fluxos de rede enviados através de seus circuitos ExpressRoute Direct. Os logs de fluxo são enviados para um espaço de trabalho do Log Analytics, onde você pode criar suas próprias consultas de log para análise posterior. Você também pode exportar os dados para qualquer ferramenta de visualização ou SIEM (Security Information and Event Management) de sua escolha. Os logs de fluxo podem ser habilitados para emparelhamento privado e emparelhamento da Microsoft com o ExpressRoute Traffic Collector.
Casos de utilização
Os logs de fluxo podem ajudá-lo a examinar várias informações de tráfego. Alguns casos de uso comuns são:
Monitorização de rede
- Monitorar o emparelhamento privado do Azure e o tráfego de emparelhamento da Microsoft
- Visibilidade quase em tempo real da taxa de transferência e do desempenho da rede
- Realizar diagnóstico de rede
- Previsão de capacidade
Monitore o uso da rede e a otimização de custos
- Analise tendências de tráfego filtrando fluxos amostrados por IP, porta ou por aplicativos
- Principais interlocutores para um IP de origem, IP de destino ou aplicações
- Otimize as despesas de tráfego de rede analisando as tendências de tráfego
Análise forense de rede
- Identificar IPs comprometidos analisando todos os fluxos de rede associados
- Exporte logs de fluxo para uma ferramenta SIEM (Security Information and Event Management) para monitorar, correlacionar eventos, gerar alertas de segurança
Recolha e amostragem de fluxogramas
Os logs de fluxo são coletados a cada 1 minuto. Todos os pacotes coletados para um determinado fluxo são agregados e importados para um espaço de trabalho do Log Analytics para análise posterior. Durante a coleta de fluxo, nem todos os pacotes são capturados em seu próprio registro de fluxo. O ExpressRoute Traffic Collector usa uma taxa de amostragem de 1:4096, o que significa que 1 em cada 4096 pacotes é capturado. Portanto, fluxos curtos de taxa de amostragem (em bytes totais) podem não ser coletados. Esse tamanho de amostragem não afeta a análise de tráfego de rede quando os dados amostrados são agregados por um longo período de tempo. O tempo de coleta de fluxo e a taxa de amostragem são fixos e não podem ser alterados.
Esquema do log de fluxo
| Column | Tipo | Description |
|---|---|---|
| ATCRegion | string | Região de implantação do Coletor de Tráfego de Rota Expressa (ATC). |
| ATCResourceId | string | ID de recurso do Azure do Coletor de Tráfego de Rota Expressa (ATC). |
| BgpNextHop | string | Próximo salto do BGP (Border Gateway Protocol), conforme definido na tabela de roteamento. |
| DestinationIp | string | Endereço IP de destino. |
| DestinationPort | número inteiro | Porta de destino TCP. |
| Dot1qCustomerVlanId | número inteiro | Cliente Dot1q VlanId. |
| Dot1qVlanId | número inteiro | Dot1q VlanId. |
| DstAsn | número inteiro | Número do Sistema Autónomo de Destino (ASN). |
| DstMask | número inteiro | Máscara da sub-rede de destino. |
| DstSubnet | string | Sub-rede de destino do IP de destino. |
| ExRCircuitDirectPortId | string | ID de recurso do Azure da porta direta do Circuito de Rota Expressa. |
| ExRCircuitId | string | ID de recurso do Azure do Circuito de Rota Expressa. |
| ExRCircuitServiceKey | string | Chave de serviço do Circuito de Rota Expressa. |
| FlowRecordTime | datetime | Carimbo de data/hora (UTC) quando o Circuito de Rota Expressa emitiu este registro de fluxo. |
| Sequência de fluxo | long | Sequência de fluxo deste fluxo. |
| Tipo Icmp | número inteiro | Tipo de protocolo conforme especificado no cabeçalho IP. |
| IpClassOfService | número inteiro | Classe IP de serviço conforme especificado no cabeçalho IP. |
| IpProtocolIdentifier | número inteiro | Tipo de protocolo conforme especificado no cabeçalho IP. |
| IpVerCode | número inteiro | Versão do IP conforme definido no cabeçalho IP. |
| MaxTtl | número inteiro | Tempo máximo de vida (TTL), conforme definido no cabeçalho IP. |
| MinTtl | número inteiro | Tempo mínimo de vida (TTL), conforme definido no cabeçalho IP. |
| NextHop | string | Próximo salto como por tabela de encaminhamento. |
| Númerodebytes | long | Número total de bytes de pacotes capturados neste fluxo. |
| NumberOfPackets | long | Número total de pacotes capturados neste fluxo. |
| OperationName | string | A operação específica do Coletor de Tráfego de Rota Expressa que emitiu esse registro de fluxo. |
| Tipo de emparelhamento | string | Tipo de emparelhamento de Circuito de Rota Expressa. |
| Protocolo | número inteiro | Tipo de protocolo conforme especificado no cabeçalho IP. |
| _ResourceId | string | Um identificador exclusivo para o recurso ao qual o registro está associado |
| SchemaVersion | string | Versão do esquema de registro de fluxo. |
| FonteIp | string | Endereço IP de origem. |
| FontePort | número inteiro | Porta de origem TCP. |
| SourceSystem | string | |
| SrcAsn | número inteiro | Número do Sistema Autónomo de Origem (ASN). |
| Máscara SrcMask | número inteiro | Máscara da sub-rede de origem. |
| SrcSubnet | string | Sub-rede de origem do IP de origem. |
| _SubscriptionId | string | Um identificador exclusivo para a assinatura à qual o registro está associado |
| TcpFlag | número inteiro | Sinalizador TCP conforme definido no cabeçalho TCP. |
| TenantId | cadeia | |
| TimeGenerated | datetime | Carimbo de data/hora (UTC) quando o Coletor de Tráfego de Rota Expressa emitiu esse registro de fluxo. |
| Type | string | O nome da tabela |
Disponibilidade da região
O ExpressRoute Traffic Collector é suportado nas seguintes regiões:
| País/Região | Nome da Região |
|---|---|
| Norte Americana |
|
| América do Sul |
|
| Europa |
|
| Ásia |
|
| África |
|
| Pacífico |
|
Preços
| Zona | Gateway por hora | Dados processados por GB |
|---|---|---|
| Zona 1 | $0.60/hora | $0.10/GB |
| Zona 2 | $0.80/hora | $0.20/GB |
| Zona 3 | $0.80/hora | $0.20/GB |
Próximos passos
- Saiba como configurar o ExpressRoute Traffic Collector.
- Perguntas frequentes sobre o coletor de tráfego ExpressRoute.