Schema- und Datenaggregation in Traffic Analytics

Traffic Analytics ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet. Traffic Analytics analysiert Datenflussprotokolle von Network Watcher, um Erkenntnisse zum Datenfluss in Ihrer Azure-Cloud bereitzustellen. Mit Traffic Analytics können Sie folgende Aktionen durchführen:

Visualisieren der Netzwerkaktivität für Ihre Azure-Abonnements und Identifizieren von Hotspots
Erkennen von Sicherheitsrisiken für das Netzwerk und Schützen Ihres Netzwerks mithilfe von Informationen zu offenen Ports, Anwendungen, die versuchen, Zugriff auf das Internet zu erhalten, und VMs (virtuellen Computern), die Verbindungen mit betrügerischen Netzwerken herstellen
Verstehen von Mustern im Datenverkehr über Azure-Regionen und das Internet zur Optimierung Ihrer Netzwerkbereitstellung im Hinblick auf Leistung und Kapazität
Ermitteln von Fehlkonfigurationen im Netzwerk, die zu fehlerhaften Verbindungen in Ihrem Netzwerk führen
Kennen der Netzwerkauslastung in Byte, Paketen oder Flows

Daten-Aggregation

Datenflussprotokolle für virtuelle Netzwerke
Datenflussprotokolle für Netzwerksicherheitsgruppen

Alle Datenflussprotokolle zwischen FlowIntervalStartTime und FlowIntervalEndTime werden in Intervallen von einer Minute als Blobs in einem Speicherkonto erfasst.
Das Standardverarbeitungsintervall von Traffic Analytics beträgt 60 Minuten. Das bedeutet, dass Traffic Analytics stündlich Blobs aus dem Speicherkonto für die Aggregation auswählt. Wenn jedoch ein Verarbeitungsintervall von 10 Minuten ausgewählt wird, ruft Traffic Analytics stattdessen alle 10 Minuten Blobs aus dem Speicherkonto ab.
Flows, die identische Werte für Source IP, Destination IP, Destination port, NSG name, NSG rule, Flow Direction und Transport layer protocol (TCP or UDP) aufweisen, werden von Traffic Analytics in einem einzigen Flow zusammengefasst. (Hinweis: Der Quellport wird bei der Aggregation ausgeschlossen.)
Dieser einzelne Datensatz wird ergänzt (Details dazu im folgenden Abschnitt) und von Traffic Analytics in Azure Monitor-Protokollen erfasst. Dieser Vorgang kann bis zu 1 Stunde dauern.
Das Feld FlowStartTime gibt das erste Vorkommen eines solchen aggregierten Flows (gleiches 4-Tupel) im Verarbeitungsintervall des Datenflussprotokolls zwischen FlowIntervalStartTime und FlowIntervalEndTime an.
Bei allen Ressourcen in Traffic Analytics handelt es sich bei den im Azure-Portal angezeigten Flows um alle erkannten Flows. In Azure Monitor-Protokollen sehen Benutzende jedoch nur den einzelnen, zusammengefassten Datensatz. Um alle Flows anzuzeigen, verwenden Sie das Feld blob_id, auf das aus dem Speicher verwiesen werden kann. Die Gesamtanzahl von Flows für diesen Datensatz entspricht den einzelnen Flows im Blob.

Alle Datenflussprotokolle in einer Netzwerksicherheitsgruppe zwischen FlowIntervalStartTime_t und FlowIntervalEndTime_t werden in Intervallen von einer Minute als Blobs in einem Speicherkonto erfasst.
Das Standardverarbeitungsintervall von Traffic Analytics beträgt 60 Minuten. Das bedeutet, dass Traffic Analytics stündlich Blobs aus dem Speicherkonto für die Aggregation auswählt. Wenn jedoch ein Verarbeitungsintervall von 10 Minuten ausgewählt wird, ruft Traffic Analytics stattdessen alle 10 Minuten Blobs aus dem Speicherkonto ab.
Flows, die identische Werte für Source IP, Destination IP, Destination port, NSG name, NSG rule, Flow Direction und Transport layer protocol (TCP or UDP) aufweisen, werden von Traffic Analytics in einem einzigen Flow zusammengefasst. (Hinweis: Der Quellport wird bei der Aggregation ausgeschlossen.)
Dieser einzelne Datensatz wird ergänzt (Details dazu im folgenden Abschnitt) und von Traffic Analytics in Azure Monitor-Protokollen erfasst. Dieser Vorgang kann bis zu 1 Stunde dauern.
Das Feld FlowStartTime_t gibt das erste Vorkommen eines solchen aggregierten Flows (gleiches 4-Tupel) im Verarbeitungsintervall des Datenflussprotokolls zwischen FlowIntervalStartTime_t und FlowIntervalEndTime_t an.
Bei allen Ressourcen in Traffic Analytics handelt es sich bei den im Azure-Portal angezeigten Flows um alle Flows, die von Mitgliedern der Netzwerksicherheitsgruppe gesehen werden. In Azure Monitor-Protokollen sehen Benutzende jedoch nur den einzelnen, zusammengefassten Datensatz. Um alle Flows anzuzeigen, verwenden Sie das Feld blob_id, auf das aus dem Speicher verwiesen werden kann. Die Gesamtanzahl von Flows für diesen Datensatz entspricht den einzelnen Flows im Blob.

Traffic Analytics-Schema

Traffic Analytics basiert auf Azure Monitor-Protokollen, sodass Sie benutzerdefinierte Abfragen für Daten ausführen können, die von Traffic Analytics ergänzt wurden, und Warnungen festlegen können.

Datenflussprotokolle für virtuelle Netzwerke
Datenflussprotokolle für Netzwerksicherheitsgruppen

In der folgenden Tabelle sind die Felder im Schema und ihre Bedeutung für VNet-Datenflussprotokolle aufgeführt. Weitere Informationen finden Sie unter NTANetAnalytics.

Feld	Format	Kommentare
Tabellenname	NTANetAnalytics	Tabelle für Traffic Analytics-Daten.
SubType	FlowLog	Untertyp für die Flowprotokolle. Verwenden Sie nur FlowLog, die anderen Werte für SubType sind für die interne Nutzung bestimmt.
FASchemaVersion	3	Schemaversion. Spiegelt nicht die Version des VNet-Datenflussprotokolls wider.
Verarbeitungszeit	Datum und Uhrzeit (UTC).	Der Zeitpunkt, zu dem Traffic Analytics die unformatierten Flowprotokolle aus dem Speicherkonto verarbeitet hat.
FlowIntervalStartTime	Datum und Uhrzeit (UTC).	Startzeit des Verarbeitungsintervalls für das Datenflussprotokoll (Zeit, ab der das Flussintervall gemessen wird).
FlowIntervalEndTime	Datum und Uhrzeit (UTC).	Endzeit des Verarbeitungsintervalls des Datenflussprotokolls.
FlowStartTime	Datum und Uhrzeit (UTC).	Das erste Vorkommen des Flows (der aggregiert wird) im Verarbeitungsintervall des Datenflussprotokolls zwischen `FlowIntervalStartTime` und `FlowIntervalEndTime`. Dieser Flow wird basierend auf Aggregationslogik aggregiert.
FlowEndTime	Datum und Uhrzeit (UTC).	Das letzte Vorkommen des Flows (der aggregiert wird) im Verarbeitungsintervall des Datenflussprotokolls zwischen `FlowIntervalStartTime` und `FlowIntervalEndTime`.
Durchflussart	- IntraVNet - InterVNet - S2S - P2S - AzureÖffentlich - Externe Öffentlichkeit – MaliciousFlow – Unbekannt privat – Unbekannt	Die Definitionen finden Sie unter Hinweise.
SrcIp	Quell-IP-Adresse	In AzurePublic- und ExternalPublic-Flows leer.
DestIp	IP-Zieladresse	In AzurePublic- und ExternalPublic-Flows leer.
TargetResourceId	ResourceGroupName/ResourceName	Die ID der Ressource, bei der die Datenflussprotokollierung und Traffic Analytics aktiviert sind.
Zielressourcentyp	VirtualNetwork/Subnet/NetworkInterface	Der Typ der Ressource, bei der die Datenflussprotokollierung und Traffic Analytics aktiviert sind (VNet, Subnetz, NIC oder Netzwerksicherheitsgruppe).
FlowLogResourceId	ResourceGroupName/NetworkWatcherName/FlowLogName	Die Ressourcen-ID des Datenflussprotokolls.
DestPort	Zielport	Port, an dem Datenverkehr eingeht.
L4Protokoll	– T – U	Transportprotokoll. T = TCP U = UDP
L7Protokoll	Name des Protokolls	Wird aus dem Zielport abgeleitet.
Durchflussrichtung	- I = Inbound (eingehend) - O = Outbound (ausgehend)	Richtung des Flows: in oder außerhalb der Zielressource pro Flussprotokoll.
FlowStatus (Flussstatus)	- A = Allowed (zulässig) - D = Denied (verweigert)	Status des Flows: zulässig oder verweigert durch Zielressource pro Flussprotokoll.
AclList	<SubscriptionID>/<resourcegroup_Name>/<NSG_Name>	Die Netzwerksicherheitsgruppe, die dem Flow zugeordnet ist.
AclRule	NSG_Rule_Name	Netzwerksicherheitsgruppenregel, die den Flow zugelassen oder verweigert hat.
MAC-Adresse	MAC-Adresse	Die MAC-Adresse des Netzwerkadapters, an dem der Flow erfasst wurde.
Src-Abonnement	Abonnement-ID	Abonnement-ID des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Quell-IP-Adresse im Flow gehört.
DestSubscription	Abonnement-ID	Abonnement-ID des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Ziel-IP-Adresse im Flow gehört.
SrcRegion	Azure-Region	Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Quell-IP-Adresse im Flow gehört.
DestRegion	Azure-Region	Azure-Region des virtuellen Netzwerks, zu dem die Ziel-IP-Adresse im Flow gehört.
SrcNic	< >resourcegroup_Name/<NetworkInterfaceName>	Der Netzwerkadapter, der der Quell-IP-Adresse im Flow zugeordnet ist.
DestNic	< >resourcegroup_Name/<NetworkInterfaceName>	Der Netzwerkadapter, der der Ziel-IP-Adresse im Flow zugeordnet ist.
SrcVm	< >resourcegroup_Name/<VirtualMachineName>	Die VM, die der Quell-IP im Flow zugeordnet ist.
DestVm	< >resourcegroup_Name/<VirtualMachineName>	Die VM, die der Ziel-IP im Flow zugeordnet ist.
SrcSubnet	< >ResourceGroup_Name/<VirtualNetwork_Name>/<Subnetzname>	Das Subnetz, das der Quell-IP im Flow zugeordnet ist.
DestSubnet	< >ResourceGroup_Name/<VirtualNetwork_Name>/<Subnetzname>	Das Subnetz, das der Ziel-IP im Flow zugeordnet ist.
SrcApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Das Anwendungsgateway, das der Quell-IP-Adresse im Flow zugeordnet ist.
DestApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Das Anwendungsgateway, das der Ziel-IP-Adresse im Flow zugeordnet ist.
SrcExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-Verbindungs-ID, wenn der Flow vom Standort über ExpressRoute gesendet wird.
DestExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-Verbindungs-ID, wenn der Flow von ExpressRoute aus der Cloud empfangen wird.
ExpressRouteCircuitPeeringType	– AzurePrivatePeering – AzurePublicPeering - MicrosoftPeering	Am Flow beteiligter ExpressRoute-Peeringtyp.
SrcLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Das Lastenausgleichsmodul, das der Quell-IP im Flow zugeordnet ist.
DestLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Das Lastenausgleichsmodul, das der Ziel-IP im Flow zugeordnet ist.
SrcLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Das lokale Netzwerkgateway, das der Quell-IP im Flow zugeordnet ist.
DestLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Das lokale Netzwerkgateway, das der Ziel-IP im Flow zugeordnet ist.
ConnectionType	- VNetPeering - VpnGateway (Englisch) - ExpressRoute	Der Verbindungstyp.
Verbindungsname	<SubscriptionID>/<ResourceGroupName/>ConnectionName<>	Der Verbindungsname. Beim Flowtyp P2S lautet die Formatierung <Gatewayname>_<IP-Adresse des VPN-Clients>.
ConnectingVNets	Durch Leerzeichen getrennte Liste mit Namen virtueller Netzwerke	Bei einer Hub-Spoke-Topologie werden hier virtuelle Hubnetzwerke aufgefüllt.
Country	Zweibuchstabige Landeskennzahl (ISO 3166-1 Alpha-2)	Wird für den Flowtyp „ExternalPublic“ aufgefüllt. Alle IP-Adressen im Feld „PublicIPs“ weisen die gleiche Landeskennzahl auf.
AzureRegion	Standorte in der Azure-Region	Wird für den Flowtyp „AzurePublic“ aufgefüllt. Alle IP-Adressen im Feld „PublicIPs“ weisen die gleiche Azure-Region auf.
ErlaubteEingangsflüsse	-	Zulässige Anzahl eingehender Flows, die auch die Anzahl von Flows darstellt, die das gleiche eingehende 4-Tupel an der Netzwerkschnittstelle aufweisen, an der der Flow erfasst wurde.
DeniedInFlows	-	Anzahl der eingehenden Flows, die abgelehnt wurden. (Eingehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)
Zulässige Abflüsse	-	Anzahl der ausgehenden Flows, die zugelassen wurden. (Ausgehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)
DeniedOutFlows	-	Anzahl der ausgehenden Flows, die abgelehnt wurden. (Ausgehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)
PacketsDestToSrc	-	Stellt Pakete dar, die vom Ziel an die Quelle des Datenflusses gesendet werden.
PacketsSrcToDest	-	Stellt Pakete dar, die von der Quelle an das Ziel des Datenflusses gesendet werden.
BytesDestToSrc	-	Stellt Bytes dar, die vom Ziel an die Quelle des Datenflusses gesendet werden.
BytesSrcToDest	-	Stellt Bytes dar, die von der Quelle an die Ziel des Flows gesendet werden.
CompletedFlows	-	Die Gesamtanzahl abgeschlossener Flows (aufgefüllt mit einem Wert ungleich null, wenn ein Flow ein abgeschlossenes Ereignis erhält).
SrcPublicIPs	< >SOURCE_PUBLIC_IP\|<>FLOW_STARTED_COUNT\|<>FLOW_ENDED_COUNT\|<>OUTBOUND_PACKETS\|<>INBOUND_PACKETS\|<>OUTBOUND_BYTES\|<INBOUND_BYTES>	Einträge sind durch Balken getrennt.
DestPublicIPs	< >DESTINATION_PUBLIC_IP\|<>FLOW_STARTED_COUNT\|<>FLOW_ENDED_COUNT\|<>OUTBOUND_PACKETS\|<>INBOUND_PACKETS\|<>OUTBOUND_BYTES\|<INBOUND_BYTES>	Einträge sind durch Balken getrennt.
FlowVerschlüsselung	– Verschlüsselt – Unverschlüsselt – Nicht unterstützte Hardware – Software nicht bereit – Aufgrund nicht vorhandener Verschlüsselung verworfen – Ermittlung nicht unterstützt – Ziel auf demselben Host – Fallback zu „Keine Verschlüsselung“	Verschlüsselungsebene von Flows.
PrivateEndpointResourceId	<ResourceGroup/privateEndpointResource>	Die Ressourcen-ID der privaten Endpunktressource. Aufgefüllt, wenn Datenverkehr zu oder von einer privaten Endpunktressource fließt.
PrivateLinkResourceId	<ResourceGroup/ResourceType/privateLinkResource>	Ressourcen-ID des privaten Linkdienstes. Aufgefüllt, wenn Datenverkehr zu oder von einer privaten Endpunktressource fließt.
PrivateLinkResourceName	Nur-Text	Ressourcenname des privaten Linkdienstes. Aufgefüllt, wenn Datenverkehr zu oder von einer privaten Endpunktressource fließt.
IsFlowCapturedAtUDRHop	-STIMMT – Falsch	Wenn der Flow bei einem UDR-Hop erfasst wurde, ist der Wert „Wahr“.

Hinweis

NTANetAnalytics in VNet-Datenflussprotokollen ersetzt AzureNetworkAnalytics_CL in Netzwerksicherheitsgruppen-Datenflussprotokollen.

In der folgenden Tabelle sind die Felder im Schema und ihre Bedeutung für Datenflussprotokolle für Netzwerksicherheitsgruppen (NSGs) aufgeführt.

Feld	Format	Kommentare
Tabellenname	AzureNetworkAnalytics_CL	Tabelle für Traffic Analytics-Daten.
SubType_s	FlowLog	Untertyp für die Flowprotokolle. Verwenden Sie nur FlowLog, die anderen Werte für SubType_s sind für die interne Nutzung bestimmt.
FASchemaVersion_s	2	Schemaversion. Die Version des Netzwerksicherheitsgruppen-Datenflussprotokolls wird nicht berücksichtigt.
TimeProcessed_t	Datum und Uhrzeit (UTC).	Der Zeitpunkt, zu dem Traffic Analytics die unformatierten Flowprotokolle aus dem Speicherkonto verarbeitet hat.
FlowIntervalStartTime_t	Datum und Uhrzeit (UTC).	Startzeit des Verarbeitungsintervalls für das Datenflussprotokoll (Zeit, ab der das Flussintervall gemessen wird).
FlowIntervalEndTime_t	Datum und Uhrzeit (UTC).	Endzeit des Verarbeitungsintervalls des Datenflussprotokolls.
FlowStartTime_t	Datum und Uhrzeit (UTC).	Das erste Vorkommen des Flows (der aggregiert wird) im Verarbeitungsintervall des Datenflussprotokolls zwischen `FlowIntervalStartTime_t` und `FlowIntervalEndTime_t`. Dieser Flow wird basierend auf Aggregationslogik aggregiert.
FlowEndTime_t	Datum und Uhrzeit (UTC).	Das letzte Vorkommen des Flows (der aggregiert wird) im Verarbeitungsintervall des Datenflussprotokolls zwischen `FlowIntervalStartTime_t` und `FlowIntervalEndTime_t`. Beim Flowprotokoll V2 enthält dieses Feld den Zeitpunkt, zu dem der letzte Flow mit dem gleichen 4-Tupel gestartet wurde (im unformatierten Flowdatensatz als B markiert).
FlowType_s	- IntraVNet - InterVNet - S2S - P2S - AzureÖffentlich - Externe Öffentlichkeit – MaliciousFlow – Unbekannt privat – Unbekannt	Die Definitionen finden Sie unter Hinweise.
SrcIP_s	Quell-IP-Adresse	In AzurePublic- und ExternalPublic-Flows leer.
DestIP_s	IP-Zieladresse	In AzurePublic- und ExternalPublic-Flows leer.
VMIP_s	IP der VM	Wird für AzurePublic- und ExternalPublic-Flows verwendet.
DestPort_d	Zielport	Port, an dem Datenverkehr eingeht.
L4Protocol_s	– T – U	Transportprotokoll. T = TCP U = UDP.
L7Protocol_s	Name des Protokolls	Wird aus dem Zielport abgeleitet.
FlowDirection_s	– I = Inbound (eingehend) – O = Outbound (ausgehend)	Richtung des Flows: ein- oder ausgehend in der Netzwerksicherheitsgruppe pro Datenflussprotokoll.
FlowStatus_s	– A = Allowed (zulässig) – D = Denied (verweigert)	Status des Flows: von der Netzwerksicherheitsgruppe pro Datenflussprotokoll zugelassen oder verweigert.
NSGList_s	<SubscriptionID>/<resourcegroup_Name>/<NSG_Name>	Die Netzwerksicherheitsgruppe, die dem Flow zugeordnet ist.
NSGRules_s	<Indexwert 0>\|<NSG_Rule_Name>\|<Flowrichtung>\|<Flowstatus>\|<FlowCount ProcessedByRule>	Netzwerksicherheitsgruppenregel, die diesen Flow zugelassen oder verweigert hat.
NSGRule_s	NSG_Rule_Name	Netzwerksicherheitsgruppenregel, die diesen Flow zugelassen oder verweigert hat.
NSGRuleType_s	– Benutzerdefiniert – Standard	Der Typ der vom Flow verwendeten Netzwerksicherheitsgruppenregel.
MACAddress_s	MAC-Adresse	Die MAC-Adresse des Netzwerkadapters, an dem der Flow erfasst wurde.
Subscription_g	Das Abonnement des virtuellen Azure-Netzwerks, der Azure-Netzwerkschnittstelle oder der Azure-VM wird in diesem Feld angegeben.	Gilt nur für folgende Flowtypen: S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow und UnknownPrivate (Flowtypen, bei denen es sich bei nur einer Seite um Azure handelt).
Subscription1_g	Abonnement-ID	Abonnement-ID des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Quell-IP-Adresse im Flow gehört.
Subscription2_g	Abonnement-ID	Abonnement-ID des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Ziel-IP-Adresse im Flow gehört.
Region_s	Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die IP-Adresse im Flow gehört.	Gilt nur für folgende Flowtypen: S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow und UnknownPrivate (Flowtypen, bei denen es sich bei nur einer Seite um Azure handelt).
Region1_s	Azure-Region	Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Quell-IP-Adresse im Flow gehört.
Region2_s	Azure-Region	Azure-Region des virtuellen Netzwerks, zu dem die Ziel-IP-Adresse im Flow gehört.
NIC_s	< >resourcegroup_Name/<NetworkInterfaceName>	Der Netzwerkadapter, der der VM zugeordnet ist, die Datenverkehr sendet oder empfängt.
NIC1_s	< >resourcegroup_Name/<NetworkInterfaceName>	Der Netzwerkadapter, der der Quell-IP-Adresse im Flow zugeordnet ist.
NIC2_s	< >resourcegroup_Name/<NetworkInterfaceName>	Der Netzwerkadapter, der der Ziel-IP-Adresse im Flow zugeordnet ist.
VM_s	< >resourcegroup_Name/<NetworkInterfaceName>	Die VM, die der Netzwerkschnittstelle „NIC_s“ zugeordnet ist.
VM1_s	< >resourcegroup_Name/<VirtualMachineName>	Die VM, die der Quell-IP-Adresse im Flow zugeordnet ist.
VM2_s	< >resourcegroup_Name/<VirtualMachineName>	Die VM, die der Ziel-IP-Adresse im Flow zugeordnet ist.
Subnet_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<Subnetzname>	Das Subnetz, das „NIC_s“ zugeordnet ist.
Subnet1_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<Subnetzname>	Das Subnetz, das der Quell-IP-Adresse im Flow zugeordnet ist.
Subnet2_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<Subnetzname>	Das Subnetz, das der Ziel-IP-Adresse im Flow zugeordnet ist.
ApplicationGateway1_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Das Anwendungsgateway, das der Quell-IP-Adresse im Flow zugeordnet ist.
ApplicationGateway2_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Das Anwendungsgateway, das der Ziel-IP-Adresse im Flow zugeordnet ist.
ExpressRouteCircuit1_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-Verbindungs-ID, wenn der Flow vom Standort über ExpressRoute gesendet wird.
ExpressRouteCircuit2_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute-Verbindungs-ID, wenn der Flow von ExpressRoute aus der Cloud empfangen wird.
ExpressRouteCircuitPeeringType_s	– AzurePrivatePeering – AzurePublicPeering - MicrosoftPeering	Am Flow beteiligter ExpressRoute-Peeringtyp.
LoadBalancer1_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Das Lastenausgleichsmodul, das der Quell-IP-Adresse im Flow zugeordnet ist.
LoadBalancer2_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Das Lastenausgleichsmodul, das der Ziel-IP-Adresse im Flow zugeordnet ist.
LocalNetworkGateway1_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Das lokale Netzwerkgateway, das der Quell-IP-Adresse im Flow zugeordnet ist.
LocalNetworkGateway2_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Das lokale Netzwerkgateway, das der Ziel-IP-Adresse im Flow zugeordnet ist.
ConnectionType_s	- VNetPeering - VpnGateway (Englisch) - ExpressRoute	Der Verbindungstyp
ConnectionName_s	<SubscriptionID>/<ResourceGroupName/>ConnectionName<>	Der Verbindungsname. Beim Flowtyp P2S lautet die Formatierung <Gatewayname>_<IP-Adresse des VPN-Clients>.
ConnectingVNets_s	Durch Leerzeichen getrennte Liste mit Namen virtueller Netzwerke	Im Fall einer Hub-Spoke-Topologie werden hier virtuelle Hubnetzwerke aufgefüllt.
Country_s	Zweibuchstabige Landeskennzahl (ISO 3166-1 Alpha-2)	Wird für den Flowtyp „ExternalPublic“ aufgefüllt. Alle IP-Adressen im Feld „PublicIPs_s“ weisen die gleiche Landeskennzahl auf.
AzureRegion_s	Standorte in der Azure-Region	Wird für den Flowtyp „AzurePublic“ aufgefüllt. Alle IP-Adressen im Feld „PublicIPs_s“ weisen die gleiche Azure-Region auf.
ZulässigeEingangsströme_d		Zulässige Anzahl eingehender Flows, die auch die Anzahl von Flows darstellt, die das gleiche eingehende 4-Tupel an der Netzwerkschnittstelle aufweisen, an der der Flow erfasst wurde.
DeniedInFlows_d		Anzahl der eingehenden Flows, die abgelehnt wurden. (Eingehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)
AllowedOutFlows_d		Anzahl der ausgehenden Flows, die zugelassen wurden. (Ausgehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)
DeniedOutFlows_d		Anzahl der ausgehenden Flows, die abgelehnt wurden. (Ausgehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)
FlowCount_d	Veraltet. Gesamtanzahl von Flows, die dem gleichen 4-Tupel entsprechen. Bei den Flowtypen „ExternalPublic“ und „AzurePublic“ enthält diese Zahl auch die Flows von verschiedenen PublicIP-Adressen.
InboundPackets_d	Stellt Pakete dar, die vom Ziel an die Quelle des Datenflusses gesendet werden.	Wird nur für Version 2 des Netzwerksicherheitsgruppen-Datenflussprotokollschemas aufgefüllt.
OutboundPackets_d	Stellt Pakete dar, die von der Quelle an das Ziel des Datenflusses gesendet werden.	Wird nur für Version 2 des Netzwerksicherheitsgruppen-Datenflussprotokollschemas aufgefüllt.
InboundBytes_d	Stellt Bytes dar, die vom Ziel an die Quelle des Datenflusses gesendet werden.	Wird nur für Version 2 des Netzwerksicherheitsgruppen-Datenflussprotokollschemas aufgefüllt.
OutboundBytes_d	Stellt Bytes dar, die von der Quelle an die Ziel des Datenflusses gesendet werden.	Wird nur für Version 2 des Netzwerksicherheitsgruppen-Datenflussprotokollschemas aufgefüllt.
CompletedFlows_d		Wird nur für Version 2 des Netzwerksicherheitsgruppen-Datenflussprotokollschemas mit einem Wert ungleich 0 aufgefüllt.
PublicIPs_s	< >PUBLIC_IP\|<>FLOW_STARTED_COUNT\|<>FLOW_ENDED_COUNT\|<>OUTBOUND_PACKETS\|<>INBOUND_PACKETS\|<>OUTBOUND_BYTES\|<INBOUND_BYTES>	Einträge sind durch Balken getrennt.
SrcPublicIPs_s	< >SOURCE_PUBLIC_IP\|<>FLOW_STARTED_COUNT\|<>FLOW_ENDED_COUNT\|<>OUTBOUND_PACKETS\|<>INBOUND_PACKETS\|<>OUTBOUND_BYTES\|<INBOUND_BYTES>	Einträge sind durch Balken getrennt.
DestPublicIPs_s	< >DESTINATION_PUBLIC_IP\|<>FLOW_STARTED_COUNT\|<>FLOW_ENDED_COUNT\|<>OUTBOUND_PACKETS\|<>INBOUND_PACKETS\|<>OUTBOUND_BYTES\|<INBOUND_BYTES>	Einträge sind durch Balken getrennt.
IsFlowCapturedAtUDRHop_b	-STIMMT – Falsch	Wenn der Flow bei einem UDR-Hop erfasst wurde, ist der Wert „Wahr“.

Wichtig

Das Traffic Analytics-Schema wurde am 22. August 2019 aktualisiert. Das neue Schema bietet getrennte Quell- und Ziel-IP-Adressen, für deren Entfernung das Feld FlowDirection nicht mehr analysiert werden muss. Dadurch werden Abfragen vereinfacht. Das aktualisierte Schema weist die folgenden Änderungen auf:

FASchemaVersion_s wurde von „1“ in „2“ geändert.
Veraltete Felder: VMIP_s, Subscription_g, Region_s, NSGRules_s, Subnet_s, VM_s, NIC_s, PublicIPs_s, FlowCount_d
Neue Felder: SrcPublicIPs_s, DestPublicIPs_s, NSGRule_s

Schema für Details zu öffentlichen IP-Adressen

Traffic Analytics stellt WHOIS-Daten und einen geografischen Standort für alle öffentlichen IP-Adressen in Ihrer Umgebung bereit. Bei einer böswilligen IP stellt die Datenverkehrsanalyse DNS-Domäne, Bedrohungstyp und Threadbeschreibungen bereit, die von Microsoft Security Intelligence-Lösungen identifiziert werden. IP-Adressdetails werden in Ihrem Log Analytics-Arbeitsbereich veröffentlicht, sodass Sie benutzerdefinierte Abfragen erstellen und Warnungen dafür vorsehen können. Über das Traffic Analytics-Dashboard können Sie auch auf vorab aufgefüllte Abfragen zugreifen.

Datenflussprotokolle für virtuelle Netzwerke
Datenflussprotokolle für Netzwerksicherheitsgruppen

In der folgenden Tabelle wird das öffentliche IP-Schema beschrieben. Weitere Informationen finden Sie unter NTAIpDetails.

Feld	Format	Kommentare
Tabellenname	NTAIpDetails	Tabelle mit Traffic Analytics-Daten zu IP-Adressdetails.
SubType	FlowLog	Untertyp für die Flowprotokolle. Verwenden Sie nur FlowLog. Die anderen Werte für „SubType“ sind für die interne Funktion des Produkts bestimmt.
FASchemaVersion	3	Schemaversion. Spiegelt nicht die Version des VNet-Datenflussprotokolls wider.
FlowIntervalStartTime	Datum und Uhrzeit (UTC).	Startzeit des Verarbeitungsintervalls für das Datenflussprotokoll (Zeit, ab der das Datenflussintervall gemessen wird).
FlowIntervalEndTime	Datum und Uhrzeit (UTC).	Endzeit des Verarbeitungsintervalls des Datenflussprotokolls.
Durchflussart	- AzureÖffentlich - Externe Öffentlichkeit – MaliciousFlow	Die Definitionen finden Sie unter Hinweise.
IP	Öffentliche IP-Adresse	Öffentliche IP-Adresse, deren Informationen im Datensatz angegeben werden.
PublicIPDetails	Informationen zur IP-Adresse	Für öffentliche Azure-IP-Adresse: Azure-Dienst, zu dem die IP-Adresse gehört, oder virtuelle öffentliche Microsoft-IP-Adresse für IP-Adresse 168.63.129.16. Für externe öffentliche/schädliche IP-Adressen: WhoIS-Informationen zur IP-Adresse.
Typ der Bedrohung	Bedrohung durch schädliche IP-Adresse	Nur für böswillige IP-Adressen: Eine der Bedrohungen aus der Liste der derzeit zulässigen Werte. Weitere Informationen finden Sie unter Notizen.
DNSDomain	DNS-Domäne	Nur für böswillige IP-Adressen: Der dieser IP-Adresse zugeordnete Domänenname.
BedrohungBeschreibung	Beschreibung der Bedrohung	Nur für böswillige IP-Adressen: Beschreibung der Bedrohung durch die böswillige IP-Adresse.
Ort	Standort der IP-Adresse	Für öffentliche Azure-IP-Adresse: Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die IP-Adresse gehört, oder „Global“ für IP-Adresse 168.63.129.16. Für externe öffentliche IP-Adressen und böswillige IP-Adressen: Landeskennzahl aus zwei Buchstaben für den Standort der IP-Adresse (ISO 3166-1 Alpha-2).
Url	URL, die dieser schädlichen IP-Adresse entspricht	Nur für böswillige IP-Adressen:
Hafen	Port, der dieser schädlichen IP-Adresse entspricht	Nur für böswillige IP-Adressen:

Hinweis

NTAIPDetails in VNet-Datenflussprotokollen ersetzt AzureNetworkAnalyticsIPDetails_CL in Netzwerksicherheitsgruppen-Datenflussprotokollen.
Traffic Analytics kann alle bösartigen FQDN protokollieren, die der IP für böswillige Flows zugeordnet sind. Um herauszufiltern, verwenden Sie die Port-, URL- und Domänenfelder nach Bedarf.

In der folgenden Tabelle wird das öffentliche IP-Schema beschrieben.

Feld	Format	Kommentare
Tabellenname	AzureNetworkAnalyticsIPDetails_CL	Tabelle mit Traffic Analytics-Daten zu IP-Adressdetails.
SubType_s	FlowLog	Untertyp für die Flowprotokolle. Verwenden Sie nur „FlowLog“, denn andere Werte für „SubType_s“ sind für die interne Funktion des Produkts bestimmt.
FASchemaVersion_s	2	Schemaversion. Die Version des Netzwerksicherheitsgruppen-Datenflussprotokolls wird nicht berücksichtigt.
FlowIntervalStartTime_t	Datum und Uhrzeit in UTC	Startzeit des Verarbeitungsintervalls für das Datenflussprotokoll (Zeit, ab der das Flowintervall gemessen wird).
FlowIntervalEndTime_t	Datum und Uhrzeit in UTC	Endzeit des Verarbeitungsintervalls des Datenflussprotokolls.
FlowType_s	- AzureÖffentlich - Externe Öffentlichkeit – MaliciousFlow	Die Definitionen finden Sie unter Hinweise.
IP	Öffentliche IP-Adresse	Öffentliche IP-Adresse, deren Informationen im Datensatz angegeben werden.
Ort	Standort der IP-Adresse	– Für öffentliche Azure-IP-Adresse: Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die IP-Adresse gehört, ODER „Global“ für IP-Adresse 168.63.129.16. – Für externe öffentliche IP-Adressen und schädliche IP-Adressen: Landeskennzahl aus zwei Buchstaben für das Land/die Region der IP-Adresse (ISO 3166-1 alpha-2).
PublicIPDetails	Informationen zur IP-Adresse	– Für öffentliche Azure-IP-Adresse: Azure-Dienst, zu dem die IP-Adresse gehört, oder „virtuelle öffentliche Microsoft-IP-Adresse“ für IP-Adresse 168.63.129.16. – Für externe öffentliche/schädliche IP-Adressen: WhoIS-Informationen zur IP-Adresse.
Typ der Bedrohung	Bedrohung durch schädliche IP-Adresse	Nur für böswillige IPs: Eine der Bedrohungen aus der Liste der aktuell zulässigen Werte (siehe Bedrohungstypen).
BedrohungBeschreibung	Beschreibung der Bedrohung	Nur für böswillige IP-Adressen: Beschreibung der Bedrohung durch die böswillige IP-Adresse.
DNSDomain	DNS-Domäne	Nur für böswillige IP-Adressen: Domänenname, der dieser schädlichen IP-Adresse zugeordnet ist.
Url	URL, die dieser schädlichen IP-Adresse entspricht	Nur für böswillige IP-Adressen:
Hafen	Port, der dieser schädlichen IP-Adresse entspricht	Nur für böswillige IP-Adressen:

Bedrohungstypen

In der folgenden Tabelle sind die derzeit zulässigen Werte für das ThreatType Feld im IP-Detailschema der Datenverkehrsanalyse aufgeführt.

Wert	Beschreibung
Botnetz	Der Indikator zeigt Details zu einem Botnetknoten/-mitglied an.
C2	Ein Indikator, der Details zum Befehls- und Steuerknoten eines Botnet anzeigt.
Krypto-Bergbau	Datenverkehr, an dem diese Netzwerkadresse/URL beteiligt ist, weist auf CyrptoMining/Ressourcenmissbrauch hin.
DarkNet	Der Indikator weist auf einen Darknetknoten/ein Darknet hin.
DDoS	Diese Indikatoren beziehen sich auf eine aktive oder bevorstehende DDoS-Kampagne.
Bösartige URL	Diese URL stellt Schadsoftware bereit.
Schadsoftware	Dieser Indikator beschreibt eine oder mehrere schädliche Dateien.
Phishing	Diese Indikatoren beziehen sich auf eine Phishingkampagne.
Stellvertreter	Dieser Indikator weist auf einen Proxydienst hin.
PUA	Dies steht für eine potenziell unerwünschte Anwendung.
WatchList	Ein generischer Bucket, in den Indikatoren platziert werden, wenn nicht genau ermittelt werden kann, um welche Bedrohung es sich handelt, oder wenn eine von Benutzenden durchgeführte Interpretation erforderlich ist. `WatchList` darf in der Regel nicht von Partnern verwendet werden, die Daten an das System übermitteln.

Notizen

Bei AzurePublic- und ExternalPublic-Flows wird die IP-Adresse der im Kundenbesitz befindlichen Azure-VM im Feld VMIP_s aufgefüllt, öffentliche IP-Adressen werden im Feld PublicIPs_s aufgefüllt. Bei diesen beiden Flowtypen müssen die Felder VMIP_s und PublicIPs_s anstelle von SrcIP_s und DestIP_s verwendet werden. Für AzurePublic- und ExternalPublic-IP-Adressen erfolgt eine weitere Aggregation, damit die Anzahl der Datensätze, die im Log Analytics-Arbeitsbereich erfasst werden, möglichst klein ist. (Dieses Feld wird eingestellt und als veraltet markiert. Verwenden Sie „SrcIP_s“ und „DestIP_s“, je nachdem, ob die VM die Quelle oder das Ziel im Datenfluss war).
An einige Feldnamen wird _s oder _d angefügt. Dies gibt jedoch nicht die Quelle bzw. das Ziel an, sondern die Datentypen Zeichenfolge bzw. Dezimalzahl.
Basierend auf den am Flow beteiligten IP-Adressen werden die Flows in die folgenden Flowtypen unterteilt:
- IntraVNet: Beide IP-Adressen im Flow befinden sich im gleichen virtuellen Azure-Netzwerk.
- InterVNet: Die IP-Adressen im Flow befinden sich in zwei verschiedenen virtuellen Azure-Netzwerken.
- S2S (Site-to-Site): Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk die andere zu einem Kundennetzwerk (Standort), das über ExpressRoute oder ein VPN-Gateway mit dem virtuellen Netzwerk verbunden ist.
- P2S (Point-to-Site): Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk die andere zu einem Kundennetzwerk (Standort), das über ein VPN-Gateway mit dem virtuellen Azure-Netzwerk verbunden ist.
- AzurePublic: Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk, während die andere IP-Adresse eine öffentliche Azure-IP-Adresse im Besitz von Microsoft ist. Öffentliche IP-Adressen im Kundenbesitz gehören nicht zu diesem Flowtyp. Beispielsweise würde eine VM im Kundenbesitz, die Datenverkehr an einen Azure-Dienst (Storage-Endpunkt) sendet, in diesen Flowtyp kategorisiert.
- ExternalPublic: Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk, während die andere IP-Adresse eine öffentliche IP-Adresse ist, die nicht im Besitz von Microsoft oder Teil eines kundeneigenen Abonnements ist, das für die Datenverkehrsanalyse sichtbar ist und in den ASC-Feeds nicht als bösartig gemeldet wird, die Datenverkehrsanalysen für das Verarbeitungsintervall zwischen FlowIntervalStartTime_t und .FlowIntervalEndTime_t
- MaliciousFlow: Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk, während die andere IP-Adresse eine öffentliche IP-Adresse ist, die nicht im Besitz von Microsoft oder Teil eines kundeneigenen Abonnements ist, das für die Datenverkehrsanalyse sichtbar ist und in den ASC-Feeds als böswillig gemeldet wird, die Datenverkehrsanalysen für das Verarbeitungsintervall zwischen FlowIntervalStartTime_t und .FlowIntervalEndTime_t
- UnknownPrivate: Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk die andere zu einem privaten IP-Adressbereich, wie in RFC 1918 definiert. Diese kann von Traffic Analytics keinem Standort im Kundenbesitz und keinem virtuellen Azure-Netzwerk zugeordnet werden.
- Unknown: Keine der IP-Adressen in den Flows kann der Kundentopologie in Azure oder einem lokalen Standort zugeordnet werden.

Hinweis

Ein Abonnement ist für Traffic Analytics in einem Log Analytics-Arbeitsbereich sichtbar, wenn es ein Datenflussprotokoll enthält, das für diesen Arbeitsbereich konfiguriert ist.

Feedback

War diese Seite hilfreich?

Last updated on 2025-08-20

Freigeben über

Schema- und Datenaggregation in Traffic Analytics

Daten-Aggregation

Traffic Analytics-Schema

Schema für Details zu öffentlichen IP-Adressen

Bedrohungstypen

Notizen

Verwandte Inhalte

Feedback

Zusätzliche Ressourcen