Trafik analizi şeması ve veri toplama

Trafik analizi, bulut ağlarındaki kullanıcı ve uygulama etkinliğine görünürlük sağlayan bulut tabanlı bir çözümdür. Trafik analizi, Azure bulutunuzda trafik akışına ilişkin içgörüler sağlamak için Azure Ağ İzleyicisi akış günlüklerini analiz eder. Trafik analizi ile şunları yapabilirsiniz:

• Azure aboneliklerinizde ağ etkinliğini görselleştirin ve sık erişim noktalarını belirleyin.
• Açık bağlantı noktaları, İnternet erişimine çalışan uygulamalar ve hatalı ağlara bağlanan sanal makineler (VM) gibi bilgilerle güvenlik tehditlerini belirleyin ve ağınızın güvenliğini sağlayın.
• Ağ dağıtımınızı performans ve kapasite için iyileştirmek için Azure bölgeleri ve İnternet genelindeki trafik akışı desenlerini anlayın.
• Pinpoint ağ yanlış yapılandırmaları, ağınızda başarısız bağlantılara yol açar.
• Bayt, paket veya akış cinsinden ağ kullanımını öğrenin.

Veri toplama

Ağ güvenlik grubu akış günlükleri

• ile arasında FlowIntervalStartTime_tFlowIntervalEndTime_t bir ağ güvenlik grubundaki tüm akış günlükleri bir dakikalık aralıklarla bir depolama hesabında blob olarak yakalanır.
• Trafik analizinin varsayılan işleme aralığı 60 dakikadır; yani trafik analizi saatte bir toplama için depolama hesabından blobları seçer. Ancak 10 dakikalık bir işlem aralığı seçilirse trafik analizi bunun yerine 10 dakikada bir depolama hesabından bloblar seçer.
• Aynı Source IP, , Destination IP, Destination port, NSG name, , NSG rule, Flow Directionve içeren akışlar Transport layer protocol (TCP or UDP) trafik analizi tarafından tek bir akışa ayrılır (Not: kaynak bağlantı noktası toplama için hariç tutulur).
• Bu tek kayıt düzenlenmiştir (aşağıdaki bölümdeki ayrıntılar) ve trafik analizi tarafından Azure İzleyici günlüklerine alınır. Bu işlem 1 saate kadar sürebilir.
• FlowStartTime_t alanı, ile arasındaki FlowIntervalStartTime_tFlowIntervalEndTime_takış günlüğü işleme aralığında bu tür bir toplu akışın (aynı dört tanımlama grubu) ilk oluşumunu gösterir.
• Trafik analizindeki herhangi bir kaynak için Azure portalında belirtilen akışlar, ağ güvenlik grubu tarafından görülen toplam akışlardır, ancak Azure İzleyici günlüklerinde kullanıcı yalnızca tek, azaltılmış kaydı görür. Tüm akışları görmek için depolama alanından başvurulabilen alanını kullanın blob_id . Bu kaydın toplam akış sayısı blobda görülen tek tek akışlarla eşleşir.

Sanal ağ akış günlükleri

• ile FlowIntervalEndTime arasındaki FlowIntervalStartTime tüm akış günlükleri bir dakikalık aralıklarla bir depolama hesabında blob olarak yakalanır.
• Trafik analizinin varsayılan işleme aralığı 60 dakikadır; yani trafik analizi saatte bir toplama için depolama hesabından blobları seçer. Ancak 10 dakikalık bir işlem aralığı seçilirse trafik analizi bunun yerine 10 dakikada bir depolama hesabından bloblar seçer.
• Aynı Source IP, , Destination IP, Destination port, NSG name, , NSG rule, Flow Directionve içeren akışlar Transport layer protocol (TCP or UDP) trafik analizi tarafından tek bir akışa ayrılır (Not: kaynak bağlantı noktası toplama için hariç tutulur).
• Bu tek kayıt düzenlenmiştir (aşağıdaki bölümdeki ayrıntılar) ve trafik analizi tarafından Azure İzleyici günlüklerine alınır. Bu işlem 1 saate kadar sürebilir.
• FlowStartTime alanı, ile arasındaki FlowIntervalStartTimeFlowIntervalEndTimeakış günlüğü işleme aralığında bu tür bir toplu akışın (aynı dört tanımlama grubu) ilk oluşumunu gösterir.
• Trafik analizindeki herhangi bir kaynak için Azure portalında belirtilen akışlar, görülen toplam akışlardır, ancak Azure İzleyici günlüklerinde kullanıcı yalnızca tek ve azaltılmış kaydı görür. Tüm akışları görmek için depolama alanından başvurulabilen alanını kullanın blob_id . Bu kaydın toplam akış sayısı blobda görülen tek tek akışlarla eşleşir.

Aşağıdaki sorgu, son 30 gün içinde Azure dışı genel IP'lerle etkileşim kuran tüm alt ağlara bakmanıza yardımcı olur.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet1_s, Subnet2_s  

Önceki sorgudaki akışların blob yolunu görüntülemek için aşağıdaki sorguyu kullanın:

let TableWithBlobId =
(AzureNetworkAnalytics_CL
   | where SubType_s == "Topology" and ResourceType == "NetworkSecurityGroup" and DiscoveryRegion_s == Region_s and IsFlowEnabled_b
   | extend binTime = bin(TimeProcessed_t, 6h),
            nsgId = strcat(Subscription_g, "/", Name_s),
            saNameSplit = split(FlowLogStorageAccount_s, "/")
   | extend saName = iif(arraylength(saNameSplit) == 3, saNameSplit[2], '')
   | distinct nsgId, saName, binTime)
| join kind = rightouter (
   AzureNetworkAnalytics_CL
   | where SubType_s == "FlowLog"  
   | extend binTime = bin(FlowEndTime_t, 6h)
) on binTime, $left.nsgId == $right.NSGList_s  
| extend blobTime = format_datetime(todatetime(FlowIntervalStartTime_t), "yyyy MM dd hh")
| extend nsgComponents = split(toupper(NSGList_s), "/"), dateTimeComponents = split(blobTime, " ")
| extend BlobPath = strcat("https://", saName,
                        "@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/", nsgComponents[0],
                        "/RESOURCEGROUPS/", nsgComponents[1],
                        "/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/", nsgComponents[2],
                        "/y=", dateTimeComponents[0], "/m=", dateTimeComponents[1], "/d=", dateTimeComponents[2], "/h=", dateTimeComponents[3],
                        "/m=00/macAddress=", replace(@"-", "", MACAddress_s),
                        "/PT1H.json")
| project-away nsgId, saName, binTime, blobTime, nsgComponents, dateTimeComponents;

TableWithBlobId
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s , BlobPath

Önceki sorgu bloba doğrudan erişmek için bir URL oluşturur. Yer tutucuları olan URL aşağıdaki gibidir:

https://{storageAccountName}@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroup}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Trafik analizi şeması

Trafik analizi, Azure İzleyici günlüklerinin üzerine kuruludur, böylece trafik analizi tarafından düzenlenmiş veriler üzerinde özel sorgular çalıştırabilir ve uyarılar ayarlayabilirsiniz.

Ağ güvenlik grubu akış günlükleri

Aşağıdaki tabloda şemadaki alanlar ve ağ güvenlik grubu akış günlükleri için neleri işaret ettikleri listelenmiştir.

Alan	Biçimlendir	Açıklamalar
TableName	AzureNetworkAnalytics_CL	Trafik analizi verileri tablosu.
SubType_s	FlowLog	Akış günlükleri için alt tür. Yalnızca FlowLog kullanın; SubType_s diğer değerleri iç kullanım içindir.
FASchemaVersion_s	2	Şema sürümü. Ağ güvenlik grubu akış günlüğü sürümünü yansıtmaz.
TimeProcessed_t	UTC olarak tarih ve saat	Trafik analizinin depolama hesabından ham akış günlüklerini işlediği zaman.
FlowIntervalStartTime_t	UTC olarak tarih ve saat	Akış günlüğü işleme aralığının başlangıç saati (akış aralığının ölçüldiği zaman).
FlowIntervalEndTime_t	UTC olarak tarih ve saat	Akış günlüğü işleme aralığının bitiş saati.
FlowStartTime_t	UTC olarak tarih ve saat	ile arasındaki FlowIntervalStartTime_tFlowIntervalEndTime_takış günlüğü işleme aralığında akışın ilk oluşumu (toplanır). Bu akış toplama mantığına göre toplanır.
FlowEndTime_t	UTC olarak tarih ve saat	ile arasındaki FlowIntervalStartTime_tFlowIntervalEndTime_takış günlüğü işleme aralığında akışın son oluşumu (toplanır). V2 akış günlüğü açısından, bu alan aynı dört tanımlama grubuna sahip son akışın başlatılma zamanını içerir (ham akış kaydında B olarak işaretlenir).
FlowType_s	- IntraVNet - InterVNet -S2S - P2S - AzurePublic - ExternalPublic - Kötü Amaçlı Akış - Bilinmeyen Özel -Bilinmeyen	Bkz . Tanımlar için notlar .
SrcIP_s	Kaynak IP adresi	AzurePublic ve ExternalPublic akışlarında boş.
DestIP_s	Hedef IP adresi	AzurePublic ve ExternalPublic akışlarında boş.
VMIP_s	VM'nin IP'sini	AzurePublic ve ExternalPublic akışları için kullanılır.
DestPort_d	Hedef Bağlantı Noktası	Trafiğin gelen bağlantı noktası.
L4Protocol_s	-T -U	Aktarım Protokolü. T = TCP U = UDP.
L7Protocol_s	Protokol Adı	Hedef bağlantı noktasından türetilir.
FlowDirection_s	- I = Gelen - O = Giden	Akışın yönü: akış günlüğü başına ağ güvenlik grubu içinde veya dışında.
FlowStatus_s	- A = İzin Verildi - D = Reddedildi	Akış günlüğü başına ağ güvenlik grubu tarafından izin verilip verilmeyeceği veya reddedilen akışın durumu.
NSGList_s	<SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME>	Akışla ilişkili ağ güvenlik grubu.
NSGRules_s	<Dizin değeri 0>|<>NSG_RULENAME|<Akış Yönü>|<Akış Durumu>|<FlowCount ProcessedByRule>	Bu akışa izin veren veya bu akışı reddeden ağ güvenlik grubu kuralı.
NSGRule_s	NSG_RULENAME	Bu akışa izin veren veya bu akışı reddeden ağ güvenlik grubu kuralı.
NSGRuleType_s	- Kullanıcı Tanımlı -Varsayılan	Akış tarafından kullanılan ağ güvenlik grubu kuralı türü.
MACAddress_s	MAC Adresi	Akışın yakalandığı NIC'nin MAC adresi.
Subscription_g	Azure sanal ağı / ağ arabirimi / sanal makine aboneliği bu alana doldurulur	Yalnızca FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow ve UnknownPrivate akış türleri (yalnızca bir tarafı Azure olan akış türleri) için geçerlidir.
Subscription1_g	Subscription ID	Akıştaki kaynak IP'nin ait olduğu sanal ağın / ağ arabiriminin / sanal makinenin abonelik kimliği.
Subscription2_g	Subscription ID	Akıştaki hedef IP'nin ait olduğu sanal ağın/ ağ arabiriminin / sanal makinenin abonelik kimliği.
Region_s	Akıştaki IP'nin ait olduğu sanal ağın / ağ arabiriminin / sanal makinenin Azure bölgesi.	Yalnızca FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow ve UnknownPrivate akış türleri (yalnızca bir tarafı Azure olan akış türleri) için geçerlidir.
Region1_s	Azure Bölgesi	Akıştaki kaynak IP'nin ait olduğu sanal ağın / ağ arabiriminin / sanal makinenin Azure bölgesi.
Region2_s	Azure Bölgesi	Akıştaki hedef IP'nin ait olduğu sanal ağın Azure bölgesi.
NIC_s	<>resourcegroup_Name/<NetworkInterfaceName>	Trafiği gönderen veya alan VM ile ilişkili NIC.
NIC1_s	<>resourcegroup_Name/<NetworkInterfaceName>	Akıştaki kaynak IP ile ilişkili NIC.
NIC2_s	<>resourcegroup_Name/<NetworkInterfaceName>	Akıştaki hedef IP ile ilişkili NIC.
VM_s	<>resourcegroup_Name/<NetworkInterfaceName>	Ağ arabirimi NIC_s ile ilişkilendirilmiş Sanal Makine.
VM1_s	<>resourcegroup_Name/<VirtualMachineName>	Akıştaki kaynak IP ile ilişkilendirilmiş Sanal Makine.
VM2_s	<>resourcegroup_Name/<VirtualMachineName>	Akıştaki hedef IP ile ilişkilendirilmiş Sanal Makine.
Subnet_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	NIC_s ile ilişkilendirilmiş alt ağ.
Subnet1_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Akıştaki Kaynak IP ile ilişkilendirilmiş alt ağ.
Subnet2_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Akıştaki Hedef IP ile ilişkilendirilmiş alt ağ.
ApplicationGateway1_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Akıştaki Kaynak IP ile ilişkili uygulama ağ geçidi.
ApplicationGateway2_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Akıştaki Hedef IP ile ilişkili uygulama ağ geçidi.
ExpressRouteCircuit1_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute bağlantı hattı kimliği - akış ExpressRoute aracılığıyla siteden gönderildiğinde.
ExpressRouteCircuit2_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute bağlantı hattı kimliği : Akış, ExpressRoute tarafından buluttan alındığında.
ExpressRouteCircuitPeeringType_s	- AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering	Akışa dahil olan ExpressRoute eşleme türü.
LoadBalancer1_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Akıştaki Kaynak IP ile ilişkili yük dengeleyici.
LoadBalancer2_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Akıştaki Hedef IP ile ilişkili yük dengeleyici.
LocalNetworkGateway1_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Akıştaki Kaynak IP ile ilişkili yerel ağ geçidi.
LocalNetworkGateway2_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Akıştaki Hedef IP ile ilişkili yerel ağ geçidi.
Bağlan ionType_s	- VNetPeering - VpnGateway - ExpressRoute	Eylem Türü.
Bağlan ionName_s	<SubscriptionID>/<ResourceGroupName>/<Bağlan ionName>	Bağlantı Adı. P2S akış türü için ağ geçidi adı>_<VPN İstemci IP'si> olarak <biçimlendirilir.
Bağlan ingVNets_s	Sanal ağ adlarının boşlukla ayrılmış listesi	Merkez ve uç topolojisi söz konusu olduğunda merkez sanal ağları burada doldurulur.
Country_s	İki harfli ülke kodu (ISO 3166-1 alfa-2)	ExternalPublic akış türü için doldurulur. PublicIPs_s alanındaki tüm IP adresleri aynı ülke kodunu paylaşır.
AzureRegion_s	Azure bölge konumları	AzurePublic akış türü için doldurulur. PublicIPs_s alanındaki tüm IP adresleri Azure bölgesini paylaşır.
AllowedInFlows_d		İzin verilen gelen akışların sayısı, akışın yakalandığı ağ arabirimine gelen aynı dört tanımlama grubuyla paylaşılan akış sayısını temsil eder.
DeniedInFlows_d		Reddedilen gelen akışların sayısı. (Akışın yakalandığı ağ arabirimine gelen).
AllowedOutFlows_d		İzin verilen giden akışların sayısı (Akışın yakalandığı ağ arabirimine giden).
DeniedOutFlows_d		Reddedilen giden akışların sayısı (Akışın yakalandığı ağ arabirimine giden).
FlowCount_d	Kullanımdan kaldırıldı. Aynı dört tanımlama grubuyla eşleşen toplam akışlar. ExternalPublic ve AzurePublic akış türleri söz konusu olduğunda, sayı çeşitli PublicIP adreslerinden gelen akışları da içerir.
InboundPackets_d	Hedeften akışın kaynağına gönderilen paketleri temsil eder	Yalnızca ağ güvenlik grubu akış günlüğü şemasının Sürüm 2 için doldurulur.
OutboundPackets_d	Kaynaktan akışın hedefine gönderilen paketleri temsil eder	Yalnızca ağ güvenlik grubu akış günlüğü şemasının Sürüm 2 için doldurulur.
InboundBytes_d	Hedeften akışın kaynağına gönderilen baytları temsil eder	Yalnızca ağ güvenlik grubu akış günlüğü şemasının Sürüm 2 için doldurulur.
OutboundBytes_d	Kaynaktan akışın hedefine gönderilen baytları temsil eder	Yalnızca ağ güvenlik grubu akış günlüğü şemasının Sürüm 2 için doldurulur.
CompletedFlows_d		Yalnızca ağ güvenlik grubu akış günlüğü şemasının Sürüm 2 için sıfır olmayan değerle doldurulur.
PublicIPs_s	<>PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Çubuklarla ayrılmış girişler.
SrcPublicIPs_s	<>SOURCE_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Çubuklarla ayrılmış girişler.
DestPublicIPs_s	<>DESTINATION_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Çubuklarla ayrılmış girişler.
IsFlowCapturedAtUDRHop_b	-True -False	Akış bir UDR atlamada yakalanırsa, değer True olur.

Önemli

Trafik analizi şeması 22 Ağustos 2019'da güncelleştirildi. Yeni şema, kaynak ve hedef IP'leri ayrı ayrı sağlayarak sorgular daha basit olması için alanı ayrıştırma FlowDirection gereksinimini ortadan kaldırır. Güncelleştirilmiş şemada aşağıdaki değişiklikler vardı:

• FASchemaVersion_s 1'den 2'ye güncelleştirildi.
• Kullanım dışı bırakılan alanlar: , , , , , Subnet_s, VM_sNIC_s, PublicIPs_s, NSGRules_sRegion_sSubscription_gVMIP_sFlowCount_d
• Yeni alanlar: SrcPublicIPs_s, DestPublicIPs_s, NSGRule_s

Sanal ağ akış günlükleri

Aşağıdaki tabloda şemadaki alanlar ve sanal ağ akış günlükleri için neleri işaret ettikleri listelenmiştir.

Alan	Biçimlendir	Açıklamalar
TableName	NTANetAnalytics	Trafik analizi verileri tablosu.
Alt	FlowLog	Akış günlükleri için alt tür. Yalnızca FlowLog kullanın; Alt Türün diğer değerleri iç kullanım içindir.
FASchemaVersion	3	Şema sürümü. Sanal ağ akış günlüğü sürümünü yansıtmaz.
TimeProcessed	UTC olarak tarih ve saat	Trafik analizinin depolama hesabından ham akış günlüklerini işlediği zaman.
FlowIntervalStartTime	UTC olarak tarih ve saat	Akış günlüğü işleme aralığının başlangıç saati (akış aralığının ölçüldiği zaman).
FlowIntervalEndTime	UTC olarak tarih ve saat	Akış günlüğü işleme aralığının bitiş saati.
FlowStartTime	UTC olarak tarih ve saat	ile arasındaki FlowIntervalStartTimeFlowIntervalEndTimeakış günlüğü işleme aralığında akışın ilk oluşumu (toplanır). Bu akış toplama mantığına göre toplanır.
FlowEndTime	UTC olarak tarih ve saat	ile arasındaki FlowIntervalStartTimeFlowIntervalEndTimeakış günlüğü işleme aralığında akışın son oluşumu (toplanır). V2 akış günlüğü açısından, bu alan aynı dört tanımlama grubuna sahip son akışın başlatılma zamanını içerir (ham akış kaydında B olarak işaretlenir).
FlowType	- IntraVNet - InterVNet -S2S - P2S - AzurePublic - ExternalPublic - Kötü Amaçlı Akış - Bilinmeyen Özel -Bilinmeyen	Bkz . Tanımlar için notlar .
SrcIP	Kaynak IP adresi	AzurePublic ve ExternalPublic akışlarında boş.
DestIP	Hedef IP adresi	AzurePublic ve ExternalPublic akışlarında boş.
TargetResourceId	ResourceGroupName/ResourceName	Akış günlüğünün ve trafik analizinin etkinleştirildiği kaynağın kimliği.
TargetResourceType	VirtualNetwork/Subnet/NetworkInterface	Akış günlüğünün ve trafik analizinin etkinleştirildiği kaynak türü (sanal ağ, alt ağ, NIC veya ağ güvenlik grubu).
FlowLogResourceId	ResourceGroupName/NetworkWatcherName/FlowLogName	Akış günlüğünün kaynak kimliği.
DestPort	Hedef Bağlantı Noktası	Trafiğin gelen bağlantı noktası.
L4Protocol	-T -U	Aktarım Protokolü. T = TCP U = UDP
L7Protocol	Protokol Adı	Hedef bağlantı noktasından türetilir.
Flowdirection	- I = Gelen - O = Giden	Akışın yönü: akış günlüğü başına hedef kaynağın içinde veya dışında.
FlowStatus	- A = İzin Verildi - D = Reddedildi	Akışın durumu: Akış günlüğü başına hedef kaynak tarafından izin verilir veya reddedilir.
NSGList	<SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME>	Akışla ilişkili ağ güvenlik grubu.
NSGRule	NSG_RULENAME	Akışa izin veren veya akışı reddeden ağ güvenlik grubu kuralı.
NSGRuleType	- Kullanıcı Tanımlı -Varsayılan	Akış tarafından kullanılan ağ güvenlik grubu kuralı türü.
MACAddress	MAC Adresi	Akışın yakalandığı NIC'nin MAC adresi.
SrcSubscription	Subscription ID	Akıştaki kaynak IP'nin ait olduğu sanal ağın / ağ arabiriminin / sanal makinenin abonelik kimliği.
DestSubscription	Subscription ID	Akıştaki hedef IP'nin ait olduğu sanal ağın / ağ arabiriminin / sanal makinenin abonelik kimliği.
SrcRegion	Azure Bölgesi	Akıştaki kaynak IP'nin ait olduğu sanal ağın / ağ arabiriminin / sanal makinenin Azure bölgesi.
DestRegion	Azure Bölgesi	Akıştaki hedef IP'nin ait olduğu sanal ağın Azure bölgesi.
SrcNIC	<>resourcegroup_Name/<NetworkInterfaceName>	Akıştaki kaynak IP ile ilişkili NIC.
DestNIC	<>resourcegroup_Name/<NetworkInterfaceName>	Akıştaki hedef IP ile ilişkili NIC.
SrcVM	<>resourcegroup_Name/<VirtualMachineName>	Akıştaki kaynak IP ile ilişkilendirilmiş sanal makine.
DestVM	<>resourcegroup_Name/<VirtualMachineName>	Akıştaki hedef IP ile ilişkilendirilmiş sanal makine.
SrcSubnet	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Akıştaki kaynak IP ile ilişkilendirilmiş alt ağ.
DestSubnet	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Akıştaki hedef IP ile ilişkilendirilmiş alt ağ.
SrcApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Akıştaki kaynak IP ile ilişkili uygulama ağ geçidi.
DestApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Akıştaki hedef IP ile ilişkili uygulama ağ geçidi.
SrcExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute bağlantı hattı kimliği - akış ExpressRoute aracılığıyla siteden gönderildiğinde.
DestExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute bağlantı hattı kimliği : Akış, ExpressRoute tarafından buluttan alındığında.
ExpressRouteCircuitPeeringType	- AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering	Akışa dahil olan ExpressRoute eşleme türü.
SrcLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Akıştaki kaynak IP ile ilişkili yük dengeleyici.
DestLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Akıştaki hedef IP ile ilişkili yük dengeleyici.
SrcLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Akıştaki kaynak IP ile ilişkili yerel ağ geçidi.
DestLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Akıştaki hedef IP ile ilişkili yerel ağ geçidi.
Bağlan ionType	- VNetPeering - VpnGateway - ExpressRoute	Bağlantı türü.
Bağlan ionName	<SubscriptionID>/<ResourceGroupName>/<Bağlan ionName>	Bağlantı adı. P2S akış türü için GatewayName>_<VPNClientIP olarak <biçimlendirilir>
Bağlan ingVNets	Sanal ağ adlarının boşlukla ayrılmış listesi.	Merkez-uç topolojisinde merkez sanal ağları burada doldurulur.
Ülke	İki harfli ülke kodu (ISO 3166-1 alfa-2)	ExternalPublic akış türü için doldurulur. PublicIPs alanındaki tüm IP adresleri aynı ülke kodunu paylaşır.
AzureRegion	Azure bölge konumları	AzurePublic akış türü için doldurulur. PublicIPs alanındaki tüm IP adresleri Azure bölgesini paylaşır.
AllowedInFlows	-	İzin verilen gelen akışların sayısı, akışın yakalandığı ağ arabirimine gelen aynı dört tanımlama grubuyla paylaşılan akış sayısını temsil eder.
DeniedInFlows	-	Reddedilen gelen akışların sayısı. (Akışın yakalandığı ağ arabirimine gelen).
AllowedOutFlows	-	İzin verilen giden akışların sayısı (Akışın yakalandığı ağ arabirimine giden).
DeniedOutFlows	-	Reddedilen giden akışların sayısı (Akışın yakalandığı ağ arabirimine giden).
PacketsDestToSrc	-	Hedeften akışın kaynağına gönderilen paketleri temsil eder.
PacketsSrcToDest	-	Kaynağından akışın hedefine gönderilen paketleri temsil eder.
BytesDestToSrc	-	Hedeften akışın kaynağına gönderilen baytları temsil eder.
BytesSrcToDest	-	Kaynaktan akışın hedefine gönderilen baytları temsil eder.
CompletedFlows	-	Yalnızca ağ güvenlik grubu akış günlüğü şemasının Sürüm 2 için sıfır olmayan değerle doldurulur.
SrcPublicIPs	<>SOURCE_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Çubuklarla ayrılmış girişler.
DestPublicIPs	<>DESTINATION_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Çubuklarla ayrılmış girişler.
FlowEncryption	-Şifreli -Şifrelenmemiş - Desteklenmeyen donanım - Yazılım hazır değil - Şifreleme olmadığından bırakma - Bulma desteklenmiyor - Aynı konakta hedef - Şifreleme olmadan geri dönün.	Akışların şifreleme düzeyi.
PrivateEndpointResourceId	<ResourceGroup/privateEndpointResource>	Özel uç nokta kaynağının kaynak kimliği. Özel uç nokta kaynağına veya özel uç nokta kaynağından trafik akışı yapıldığında doldurulur.
PrivateLinkResourceId	<ResourceGroup/ResourceType/privateLinkResource>	Özel bağlantı hizmetinin kaynak kimliği. Özel uç nokta kaynağına veya özel uç nokta kaynağından trafik akışı yapıldığında doldurulur.
PrivateLinkResourceName	Düz metin	Özel bağlantı hizmetinin kaynak adı. Özel uç nokta kaynağına veya özel uç nokta kaynağından trafik akışı yapıldığında doldurulur.
IsFlowCapturedAtUDRHop	-True -False	Akış bir UDR atlamada yakalanırsa, değer True olur.

Not

Sanal ağ akış günlüklerindeki NTANetAnalytics, ağ güvenlik grubu akış günlüklerinde kullanılan AzureNetworkAnalytics_CL değiştirir.

Genel IP ayrıntıları şeması

Trafik analizi, ortamınızdaki tüm genel IP'ler için WHOIS verileri ve coğrafi konum sağlar. Trafik analizi, kötü amaçlı bir IP için Microsoft güvenlik zekası çözümleri tarafından tanımlanan DNS etki alanı, tehdit türü ve iş parçacığı açıklamaları sağlar. IP Ayrıntıları Log Analytics çalışma alanınızda yayımlanır, böylece özel sorgular oluşturabilir ve bunlara uyarılar yerleştirebilirsiniz. Trafik analizi panosundan önceden doldurulmuş sorgulara da erişebilirsiniz.

Aşağıdaki tabloda genel IP şemasının ayrıntıları yer alır:

Ağ güvenlik grubu akış günlükleri

Alan	Biçimlendir	Açıklamalar
TableName	AzureNetworkAnalyticsIPDetails_CL	Trafik analizi IP ayrıntıları verilerini içeren tablo.
SubType_s	FlowLog	Akış günlükleri için alt tür. Yalnızca "FlowLog" kullanın, SubType_s diğer değerleri ürünün iç çalışmalarına yöneliktir.
FASchemaVersion_s	2	Şema sürümü. Ağ güvenlik grubu akış günlüğü sürümünü yansıtmaz.
FlowIntervalStartTime_t	UTC'de Tarih ve Saat	Akış günlüğü işleme aralığının başlangıç saati (akış aralığının ölçüldiği zaman).
FlowIntervalEndTime_t	UTC'de Tarih ve Saat	Akış günlüğü işleme aralığının bitiş zamanı.
FlowType_s	- AzurePublic - ExternalPublic - Kötü Amaçlı Akış	Bkz . Tanımlar için notlar .
IP	Genel IP	Bilgileri kayıtta sağlanan genel IP.
Konum	IP'nin konumu	- Azure Genel IP için: IP'nin ait olduğu sanal ağın/ağ arabiriminin/sanal makinenin Azure bölgesi VEYA IP 168.63.129.16 için Genel. - Dış Genel IP ve Kötü Amaçlı IP için: IP'nin bulunduğu 2 harfli ülke kodu (ISO 3166-1 alfa-2).
PublicIPDetails	IP hakkında bilgi	- AzurePublic IP için: 168.63.129.16 için IP veya Microsoft sanal genel IP'sine sahip Azure Hizmeti. - ExternalPublic/Kötü Amaçlı IP: IP'nin WhoIS bilgileri.
ThreatType	Kötü amaçlı IP tarafından ortaya konan tehdit	Yalnızca Kötü Amaçlı IP'ler için: şu anda izin verilen değerler listesindeki tehditlerden biri (sonraki tabloda açıklanmıştır).
ThreatDescription	Tehdidin açıklaması	Yalnızca Kötü Amaçlı IP'ler için. Kötü amaçlı IP tarafından ortaya konan tehdidin açıklaması.
DNS Etki Alanı	DNS etki alanı	Yalnızca Kötü Amaçlı IP'ler için. Kötü amaçlı IP ile ilişkili etki alanı adı.
URL	Kötü amaçlı IP'ye karşılık gelen URL	Yalnızca Kötü Amaçlı IP'ler için
Bağlantı noktası	Kötü amaçlı IP'ye karşılık gelen bağlantı noktası	Yalnızca Kötü Amaçlı IP'ler için

Sanal ağ akış günlükleri

Alan	Biçimlendir	Açıklamalar
TableName	NTAIpDetails	Trafik analizi IP ayrıntıları verilerini içeren tablo.
Alt	FlowLog	Akış günlükleri için alt tür. Yalnızca FlowLog kullanın. Alt Türün diğer değerleri, ürünün iç çalışmalarına yöneliktir.
FASchemaVersion	2	Şema sürümü. Sanal ağ akışı Günlük sürümünü yansıtmaz.
FlowIntervalStartTime	UTC olarak tarih ve saat	Akış günlüğü işleme aralığının başlangıç saati (akış aralığının ölçüldiği zaman).
FlowIntervalEndTime	UTC olarak tarih ve saat	Akış günlüğü işleme aralığının bitiş zamanı.
FlowType	- AzurePublic - ExternalPublic - Kötü Amaçlı Akış	Bkz . Tanımlar için notlar .
IP	Genel IP	Bilgileri kayıtta sağlanan genel IP.
PublicIPDetails	IP hakkında bilgi	AzurePublic IP için: IP'ye sahip Azure Hizmeti veya IP 168.63.129.16 için Microsoft Sanal Genel IP'sine sahip. ExternalPublic/Kötü Amaçlı IP: IP'nin WhoIS bilgileri.
ThreatType	Kötü amaçlı IP tarafından ortaya konan tehdit	Yalnızca Kötü Amaçlı IP'ler için. şu anda izin verilen değerler listesindeki tehditlerden biri. Daha fazla bilgi için bkz . Notlar.
DNS Etki Alanı	DNS etki alanı	Yalnızca Kötü Amaçlı IP'ler için. Bu IP ile ilişkili etki alanı adı.
ThreatDescription	Tehdidin açıklaması	Yalnızca Kötü Amaçlı IP'ler için. Kötü amaçlı IP tarafından ortaya konan tehdidin açıklaması.
Konum	IP'nin konumu	Azure Genel IP için: Sanal ağın Azure bölgesi / ağ arabirimi / IP'nin ait olduğu sanal makine veya IP 168.63.129.16 için Genel. Dış Genel IP ve Kötü Amaçlı IP için: IP'nin bulunduğu iki harfli ülke kodu (ISO 3166-1 alfa-2).
URL	Kötü amaçlı IP'ye karşılık gelen URL	Yalnızca kötü amaçlı IP'ler için.
Bağlantı noktası	Kötü amaçlı IP'ye karşılık gelen bağlantı noktası	Yalnızca Kötü Amaçlı IP'ler için.

Not

Sanal ağ akış günlüklerindeki NTAIPDetails, ağ güvenlik grubu akış günlüklerinde kullanılan AzureNetworkAnalyticsIPDetails_CL değiştirir.

Tehdit türlerinin listesi:

Value	Açıklama
Botnet	Botnet düğümünü/üyesini gösteren gösterge.
C2	Botnet'in Komut ve Denetim düğümünü gösteren gösterge.
CryptoMining	Bu ağ adresini / URL'yi içeren trafik CyrptoMining / Kaynak kötüye kullanımı göstergesidir.
Darknet	Bir Darknet düğümünün/ağının göstergesi.
Ddos	Etkin veya yaklaşan bir DDoS kampanyasıyla ilgili göstergeler.
MaliciousUrl	Kötü amaçlı yazılım sunan URL.
Kötü amaçlı yazılım	Kötü amaçlı bir dosyayı veya dosyaları açıklayan gösterge.
Kimlik avı	Kimlik avı kampanyasıyla ilgili göstergeler.
Proxy	Ara sunucu hizmetinin göstergesi.
PUA	İstenmeyebilecek Uygulama.
watchlist	Tehdidin tam olarak ne olduğu belirlenemediğinde veya el ile yorumlama gerektirdiğinde göstergelerin yerleştirildiği genel bir demet. WatchList genellikle sisteme veri gönderen iş ortakları tarafından kullanılmamalıdır.

Notlar

• ve ExternalPublic akışları söz konusu olduğundaAzurePublic, müşterinin sahip olduğu Azure sanal makine IP'si VMIP_s alana doldurulurken, Genel IP adresleri alana PublicIPs_s doldurulur. Bu iki akış türü için ve yerine SrcIP_s ve PublicIPs_sDestIP_s alanlarını kullanmanız VMIP_s gerekir. AzurePublic ve ExternalPublic IP adresleri için, Log Analytics çalışma alanına alınan kayıt sayısının çok az olması için daha fazla toplama yapıyoruz. (Bu alan kullanım dışı bırakılacak. Sanal makinenin kaynak mı yoksa akıştaki hedef mi olmasına bağlı olarak SrcIP_ ve DestIP_s kullanın).
• Bazı alan adları, kaynak ve hedefi belirtmeyen ancak sırasıyla veri türleri dizesini ve ondalık değerini gösteren veya _dile _s eklenir.
• Akışta yer alan IP adreslerine bağlı olarak, akışları aşağıdaki akış türlerine kategorilere ayırırız:
  • IntraVNet: Akıştaki her iki IP adresi de aynı Azure sanal ağında bulunur.
  • InterVNet: Akıştaki IP adresleri iki farklı Azure sanal ağında bulunur.
  • S2S (Siteden Siteye): IP adreslerinden biri bir Azure sanal ağına, diğer IP adresi ise VPN ağ geçidi veya ExpressRoute aracılığıyla sanal ağa bağlı müşteri ağına (Site) aittir.
  • P2S(Noktadan Siteye): IP adreslerinden biri bir Azure sanal ağına, diğer IP adresi ise VPN ağ geçidi üzerinden Azure Sanal Ağ bağlı müşteri ağına (Site) aittir.
  • AzurePublic: IP adreslerinden biri bir Azure sanal ağına aitken, diğer IP adresi Microsoft'un sahip olduğu bir Azure Genel IP adresidir. Müşteriye ait Genel IP adresleri bu akış türünün bir parçası değildir. Örneğin, bir Azure hizmetine (Depolama uç nokta) trafik gönderen tüm müşterilere ait VM'ler bu akış türü altında kategorilere ayrılır.
  • ExternalPublic: IP adreslerinden biri bir Azure sanal ağına aitken, diğer IP adresi Azure'da olmayan ve trafik analizinin "FlowIntervalStartTime_t" ile "FlowIntervalEndTime_t" arasındaki işlem aralığı için tükettiği ASC akışlarında kötü amaçlı olarak bildirilmiş bir genel IP adresidir.
  • MaliciousFlow: IP adreslerinden biri bir Azure sanal ağına aitken, diğer IP adresi Azure'da olmayan ve trafik analizinin "FlowIntervalStartTime_t" ile "FlowIntervalEndTime_t" arasındaki işlem aralığı için tükettiği ASC akışlarında kötü amaçlı olarak raporlanan bir genel IP adresidir.
  • UnknownPrivate: IP adreslerinden biri bir Azure sanal ağına aitken, diğer IP adresi RFC 1918'de tanımlanan özel IP aralığına aittir ve trafik analizi tarafından müşteriye ait bir siteye veya Azure sanal ağına eşlenemez.
  • Unknown: Akıştaki IP adreslerinden herhangi biri Azure ve şirket içi (site) içindeki müşteri topolojisiyle eşlenemiyor.

İlgili içerik

• Trafik analizi hakkında daha fazla bilgi edinmek için bkz . Trafik analizine genel bakış.
• Trafik analizi hakkında en sık sorulan soruların yanıtları için bkz . Trafik analizi hakkında SSS .