Schéma et agrégation de données de Traffic Analytics

Traffic Analytics est une solution cloud qui offre une visibilité de l’activité des utilisateurs et des applications dans vos réseaux cloud. Traffic Analytics analyse les journaux de flux d’Azure Network Watcher pour fournir des insights sur le flux de trafic dans votre cloud Azure. Avec Traffic Analytics, vous pouvez effectuer les actions suivantes :

Visualiser l’activité réseau de l’ensemble de vos abonnements Azure et identifier les zones réactives.
Identifier les menaces de sécurité, et sécuriser votre réseau avec des informations comme les ports ouverts, les applications qui tentent d’accéder à Internet et les machines virtuelles se connectant à des réseaux non fiables.
Comprendre les modèles de flux de trafic entre les régions Azure et Internet pour optimiser le déploiement de votre réseau, afin de bénéficier de performances et d’une capacité adéquates.
Identifier les erreurs de configuration réseau à l’origine d’échecs de connexion dans votre réseau.
Connaître la consommation du réseau en octets, paquets ou flux.

Agrégation de données

Journaux de flux de réseau virtuel
Journaux de flux de groupe de sécurité réseau

Tous les journaux de flux entre FlowIntervalStartTime et FlowIntervalEndTime sont capturés à des intervalles d’une minute en tant que blobs dans un compte de stockage.
L’intervalle de traitement par défaut de Traffic Analytics est de 60 minutes, ce qui signifie que chaque heure, Traffic Analytics sélectionne des objets blob à partir du compte de stockage pour l’agrégation. Cependant, si un intervalle de traitement de 10 minutes est sélectionné, Traffic Analytics sélectionne plutôt des blobs du compte de stockage toutes les 10 minutes.
Les flux qui ont le même Source IP, Destination IP, Destination port, NSG name, NSG rule, Flow Direction, et Transport layer protocol (TCP or UDP) sont regroupés en un flux unique par l’analyse du trafic (remarque : le port source n’est pas inclus dans l’agrégation).
Ce même enregistrement est décoré (voir les détails dans la section ci-dessous) et ingéré dans les journaux Azure Monitor par Traffic Analytics. Ce processus peut prendre jusqu’à 1 heure.
Le champ FlowStartTime indique la première occurrence de ce type de flux agrégé (même tuple de quatre éléments) dans l’intervalle de traitement des journaux de flux entre FlowIntervalStartTime et FlowIntervalEndTime.
Pour toute ressource dans l’analyse du trafic, les flux indiqués dans le portail Azure correspondent à tous les flux vus. Toutefois, dans les journaux Azure Monitor, l’utilisateur voit uniquement l’enregistrement unique réduit. Pour voir tous les flux, utilisez le champ blob_id, qui peut être référencé à partir du stockage. Le nombre total de flux pour cet enregistrement correspond aux flux individuels visibles dans l’objet blob.

Tous les journaux de flux au sein d’un groupe de sécurité réseau entre FlowIntervalStartTime_t et FlowIntervalEndTime_t sont capturés à des intervalles d’une minute en tant que blobs dans un compte de stockage.
L’intervalle de traitement par défaut de Traffic Analytics est de 60 minutes, ce qui signifie que chaque heure, Traffic Analytics sélectionne des objets blob à partir du compte de stockage pour l’agrégation. Cependant, si un intervalle de traitement de 10 minutes est sélectionné, Traffic Analytics sélectionne plutôt des blobs du compte de stockage toutes les 10 minutes.
Les flux qui ont le même Source IP, Destination IP, Destination port, NSG name, NSG rule, Flow Direction, et Transport layer protocol (TCP or UDP) sont regroupés en un flux unique par l’analyse du trafic (remarque : le port source n’est pas inclus dans l’agrégation).
Ce même enregistrement est décoré (voir les détails dans la section ci-dessous) et ingéré dans les journaux Azure Monitor par Traffic Analytics. Ce processus peut prendre jusqu’à 1 heure.
Le champ FlowStartTime_t indique la première occurrence de ce type de flux agrégé (même tuple de quatre éléments) dans l’intervalle de traitement des journaux de flux entre FlowIntervalStartTime_t et FlowIntervalEndTime_t.
Pour les ressources dans l’analyse du trafic, les flux indiqués dans le portail Azure correspondent à tous les flux vus par le groupe de sécurité réseau. Toutefois, dans les journaux Azure Monitor, l’utilisateur voit uniquement l’enregistrement unique réduit. Pour voir tous les flux, utilisez le champ blob_id, qui peut être référencé à partir du stockage. Le nombre total de flux pour cet enregistrement correspond aux flux individuels visibles dans l’objet blob.

Schéma Traffic Analytics

L’analyse du trafic est basée sur les journaux Azure Monitor, ce qui vous permet d’exécuter des requêtes personnalisées sur les données décorées par l’analyse du trafic et de définir des alertes.

Journaux de flux de réseau virtuel
Journaux de flux de groupe de sécurité réseau

Le tableau suivant répertorie les champs du schéma et ce qu’ils signifient pour les journaux de flux de réseau virtuel. Pour plus d’informations, consultez NTANetAnalytics.

Champ	Format	Commentaires
Nom_de_table	NTANetAnalytics	Table des données Traffic Analytics.
SubType	Registre des flux	Sous-type des journaux de flux. Utilisez uniquement FlowLog. Les autres valeurs de SubType sont destinées à une utilisation en interne.
FASchemaVersion	3	Version du schéma. Ne reflète pas la version du journal de flux de réseau virtuel.
TimeProcessed	Date et heure (UTC)	Date et heure auxquelles Traffic Analytics a traité les journaux de flux bruts issus du compte de stockage.
FlowIntervalStartTime	Date et heure (UTC)	Heure de début de l’intervalle de traitement des journaux de flux (heure à partir de laquelle l’intervalle de flux est mesuré).
FlowIntervalEndTime	Date et heure (UTC)	Date et heure de fin de l’intervalle de traitement des journaux de flux.
FlowStartTime	Date et heure (UTC)	Première occurrence du flux (qui sera ensuite agrégé) dans l’intervalle de traitement des journaux de flux entre `FlowIntervalStartTime` et `FlowIntervalEndTime`. Ce flux est agrégé selon une logique d’agrégation.
FlowEndTime	Date et heure (UTC)	Dernière occurrence du flux (qui sera ensuite agrégé) dans l’intervalle de traitement des journaux de flux entre `FlowIntervalStartTime` et `FlowIntervalEndTime`.
Type d’écoulement	- IntraVNet - InterVNet - S2S - P2S - AzurePublic - ExternalPublic - MaliciousFlow - Inconnu privé - Inconnu	Pour voir les définitions, consultez Remarques.
SrcIp	Adresse IP source	Espace vide utilisé pour les flux AzurePublic et ExternalPublic.
DestIp	Adresse IP de destination	Espace vide utilisé pour les flux AzurePublic et ExternalPublic.
TargetResourceId	ResourceGroupName/ResourceName	ID de la ressource pour laquelle la journalisation des flux et l’analyse du trafic sont activées.
TargetResourceType	VirtualNetwork/Sous-réseau/Interface réseau	Type de ressource pour laquelle la journalisation des flux et l’analyse du trafic sont activées (réseau virtuel, sous-réseau, carte réseau ou groupe de sécurité réseau).
FlowLogResourceId	NomDuGroupeDeRessources/NomDuSurveillantDeRéseau/NomDuJournalDeFlux	ID de ressource du journal de flux.
DestPort	Port de destination	Port utilisé pour le trafic entrant.
L4Protocole	- T - U	Protocole de transport. T = TCP U = UDP
L7Protocole	Nom du protocole	Dérivé du port de destination.
FlowDirection	- I = Entrant - O = Sortant	Direction du flux : entrant ou sortant de la ressource cible par journal de flux.
FlowStatus	- A = Autorisé - D = Refusé	État du flux : autorisé ou refusé par ressource cible par journal de flux.
AclList	<SubscriptionID>/<resourcegroup_Name>/<NSG_Name>	Groupe de sécurité réseau associé au flux.
AclRule	NSG_Rule_Name	Règle de groupe de sécurité réseau qui a autorisé ou refusé le flux.
MACAddress	Adresse MAC	Adresse MAC de la carte réseau à laquelle le flux a été capturé.
SrcAbonnement	Identifiant d’abonnement	ID d’abonnement pour le réseau virtuel, l’interface réseau ou la machine virtuelle dont fait partie l’adresse IP source dans le flux.
DestSubscription	Identifiant d’abonnement	ID d’abonnement du réseau virtuel/de l’interface réseau/de la machine virtuelle dont fait partie l’adresse IP de destination dans le flux.
SrcRégion	Région Azure	Région Azure du réseau virtuel/de l’interface réseau/de la machine virtuelle à laquelle appartient l’adresse IP source dans le flux.
DestRegion	Région Azure	Région Azure du réseau virtuel dont fait partie l’adresse IP de destination dans le flux.
SrcNic	<Nom_du_groupe_de_ressources>/<Nom_de_l_interface_réseau>	Carte réseau associée à l’adresse IP source dans le flux.
DestNic	<Nom_du_groupe_de_ressources>/<Nom_de_l_interface_réseau>	Carte réseau associée à l’adresse IP de destination dans le flux.
SrcVm	< >resourcegroup_Name/<VirtualMachineName>	Machine virtuelle associée à l’adresse IP source dans le flux.
DestVm	< >resourcegroup_Name/<VirtualMachineName>	Machine virtuelle associée à l’adresse IP de destination dans le flux.
SrcSubnet	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Sous-réseau associé à l’adresse IP source dans le flux.
DestSubnet	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Sous-réseau associé à l’adresse IP de destination dans le flux.
SrcApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Passerelle applicative associée à l’adresse IP source dans le flux.
DestApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Passerelle applicative associée à l’adresse IP de destination dans le flux.
SrcExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ID de circuit ExpressRoute : quand le flux est envoyé à partir du site via ExpressRoute.
DestExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ID de circuit ExpressRoute : quand le flux est reçu du cloud par ExpressRoute.
ExpressRouteCircuitPeeringType	- AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering	Type de peering ExpressRoute impliqué dans le flux.
SrcLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Équilibreur de charge associé à l’adresse IP source dans le flux.
DestLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Équilibreur de charge associé à l’adresse IP de destination dans le flux.
SrcLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Passerelle de réseau local associée à l’adresse IP source dans le flux.
DestLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Passerelle de réseau local associée à l’adresse IP de destination dans le flux.
Type de Connexion	- VNetPeering - VpnGateway - ExpressRoute	Type de la connexion.
ConnectionName	<SubscriptionID>/<ResourceGroupName>/<ConnectionName>	Nom de la connexion. Pour le type de flux P2S, le format est <GatewayName>_<VPNClientIP>
ConnectingVNets	Liste de noms de réseau virtuel séparés par un espace.	Dans une topologie de réseau en étoile, les réseaux virtuels hub sont renseignés ici.
Pays	Code de pays à deux lettres (ISO 3166-1 alpha-2)	Champ rempli pour le type de flux ExternalPublic. Toutes les adresses IP indiquées dans le champ PublicIPs ont le même code de pays.
AzureRegion	Emplacements de la région Azure	Champ rempli pour le type de flux AzurePublic. Toutes les adresses IP indiquées dans le champ PublicIPs se trouvent dans la même région Azure.
AllowedInFlows	-	Nombre de flux entrants qui ont été autorisés. Cela représente le nombre de flux ayant partagé le même jeu de quatre tuples entrant sur l’interface réseau où les flux ont été capturés.
DeniedInFlows	-	Nombre de flux entrants ayant été refusés. (Trafic entrant sur l’interface réseau où les flux ont été capturés).
AllowedOutFlows	-	Nombre de flux sortants ayant été autorisés. (Flux sortants sur l’interface réseau où les flux ont été capturés).
DeniedOutFlows	-	Nombre de flux sortants ayant été refusés. (Trafic sortant sur l’interface réseau où les flux ont été capturés).
PacketsDestToSrc	-	Représente les paquets envoyés de la destination à la source du flux.
PacketsSrcToDest	-	Représente les paquets envoyés de la source à la destination du flux.
BytesDestToSrc	-	Représente les octets envoyés de la destination à la source du flux.
BytesSrcToDest	-	Représente les octets envoyés de la source à la destination du flux.
CompletedFlows	-	Nombre total de flux terminés (mis à jour avec une valeur non nulle quand chaque flux atteint un événement terminé).
SrcPublicIPs	< >SOURCE_PUBLIC_IP\|<>FLOW_STARTED_COUNT\|<>FLOW_ENDED_COUNT\|<>OUTBOUND_PACKETS\|<>INBOUND_PACKETS\|<>OUTBOUND_BYTES\|<INBOUND_BYTES>	Entrées séparées par des barres.
DestPublicIPs	< >DESTINATION_PUBLIC_IP\|<>FLOW_STARTED_COUNT\|<>FLOW_ENDED_COUNT\|<>OUTBOUND_PACKETS\|<>INBOUND_PACKETS\|<>OUTBOUND_BYTES\|<INBOUND_BYTES>	Entrées séparées par des barres.
FlowEncryption (en anglais)	- Chiffré - Non chiffré - Matériel non pris en charge - Logiciel non prêt - Abandon en raison de l’absence de chiffrement - Découverte non prise en charge - Destination sur le même hôte - Retour à l’absence de chiffrement.	Niveau de chiffrement des flux.
PrivateEndpointResourceId	<ResourceGroup/privateEndpointResource>	ID de ressource de la ressource du point de terminaison privé. Renseigné lorsque le trafic transite à destination ou à partir d’une ressource de point de terminaison privé.
PrivateLinkResourceId	<ResourceGroup/ResourceType/privateLinkResource>	ID de ressource du service de liaison privée. Renseigné lorsque le trafic transite à destination ou à partir d’une ressource de point de terminaison privé.
PrivateLinkResourceName	Texte brut	Nom de ressource du service de liaison privée. Renseigné lorsque le trafic transite à destination ou à partir d’une ressource de point de terminaison privé.
IsFlowCapturedAtUDRHop	- Vrai - Faux	Si le flux a été capturé au niveau d’un tronçon UDR, la valeur est Vraie.

Remarque

NTANetAnalytics dans les journaux de flux de réseau virtuel remplace AzureNetworkAnalytics_CL utilisé dans les journaux de flux de groupe de sécurité réseau.

Le tableau suivant répertorie les champs du schéma et ce qu’ils signifient pour les journaux de flux de groupe de sécurité réseau.

Champ	Format	Commentaires
Nom_de_table	AzureNetworkAnalytics_CL	Table des données Traffic Analytics.
SubType_s	Registre des flux	Sous-type des journaux de flux. Utilisez uniquement FlowLog. Les autres valeurs de SubType_s sont destinées à une utilisation en interne.
FASchemaVersion_s	2	Version du schéma. Ne reflète pas la version du journal de flux du groupe de sécurité réseau.
TimeProcessed_t	Date et heure (UTC)	Date et heure auxquelles Traffic Analytics a traité les journaux de flux bruts issus du compte de stockage.
FlowIntervalStartTime_t	Date et heure (UTC)	Heure de début de l’intervalle de traitement des journaux de flux (heure à partir de laquelle l’intervalle de flux est mesuré).
FlowIntervalEndTime_t	Date et heure (UTC)	Date et heure de fin de l’intervalle de traitement des journaux de flux.
FlowStartTime_t	Date et heure (UTC)	Première occurrence du flux (qui sera ensuite agrégé) dans l’intervalle de traitement des journaux de flux entre `FlowIntervalStartTime_t` et `FlowIntervalEndTime_t`. Ce flux est agrégé selon une logique d’agrégation.
FlowEndTime_t	Date et heure (UTC)	Dernière occurrence du flux (qui sera ensuite agrégé) dans l’intervalle de traitement des journaux de flux entre `FlowIntervalStartTime_t` et `FlowIntervalEndTime_t`. Pour les journaux de flux version 2, ce champ contient la date et l’heure à laquelle a démarré le dernier flux ayant le même jeu de quatre tuples (signalé par la lettre B dans l’enregistrement de flux bruts)
FlowType_s	- IntraVNet - InterVNet - S2S - P2S - AzurePublic - ExternalPublic - MaliciousFlow - Inconnu privé - Inconnu	Pour voir les définitions, consultez Remarques.
SrcIP_s	Adresse IP source	Espace vide utilisé pour les flux AzurePublic et ExternalPublic.
DestIP_s	Adresse IP de destination	Espace vide utilisé pour les flux AzurePublic et ExternalPublic.
VMIP_s	Adresse IP de la machine virtuelle	Champ utilisé pour les flux AzurePublic et ExternalPublic.
DestPort_d	Port de destination	Port utilisé pour le trafic entrant.
L4Protocol_s	- T - U	Protocole de transport. T = TCP U = UDP.
L7Protocol_s	Nom du protocole	Dérivé du port de destination.
FlowDirection_s	- I = Entrant - O = Sortant	Direction du flux : entrant ou sortant du groupe de sécurité réseau par journal de flux.
FlowStatus_s	- A = Autorisé - D = Refusé	État du flux, qu’il soit autorisé ou refusé par le groupe de sécurité réseau par journal de flux.
NSGList_s	<SubscriptionID>/<resourcegroup_Name>/<NSG_Name>	Groupe de sécurité réseau associé au flux.
NSGRules_s	<Valeur d’index 0>\|<NSG_Rule_Name>\|<Direction du flux>\|<État du flux><Nombre_de_flux_traités_par_la_règle>	Règle de groupe de sécurité réseau qui a autorisé ou refusé ce flux.
NSGRule_s	NSG_Rule_Name	Règle de groupe de sécurité réseau qui a autorisé ou refusé ce flux.
NSGRuleType_s	- Défini par l’utilisateur - Par défaut	Type de règle de groupe de sécurité réseau utilisée par le flux.
MACAddress_s	Adresse MAC	Adresse MAC de la carte réseau à laquelle le flux a été capturé.
Subscription_g	L’abonnement du réseau virtuel/de l’interface réseau/de la machine virtuelle Azure est renseigné dans ce champ	Applicable uniquement pour les types de flux S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow et UnknownPrivate (types de flux où seul un côté est Azure).
Subscription1_g	Identifiant d’abonnement	ID d’abonnement pour le réseau virtuel, l’interface réseau ou la machine virtuelle dont fait partie l’adresse IP source dans le flux.
Subscription2_g	Identifiant d’abonnement	ID d’abonnement du réseau virtuel/de l’interface réseau/de la machine virtuelle dont fait partie l’adresse IP de destination dans le flux.
Region_s	Région Azure pour le réseau virtuel, l’interface réseau ou la machine virtuelle dont fait partie l’adresse IP dans le flux.	Applicable uniquement pour les types de flux S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow et UnknownPrivate (types de flux où seul un côté est Azure).
Region1_s	Région Azure	Région Azure du réseau virtuel/de l’interface réseau/de la machine virtuelle à laquelle appartient l’adresse IP source dans le flux.
Region2_s	Région Azure	Région Azure du réseau virtuel dont fait partie l’adresse IP de destination dans le flux.
NIC_s	<Nom_du_groupe_de_ressources>/<Nom_de_l_interface_réseau>	Carte réseau associée à la machine virtuelle qui envoie ou reçoit le trafic.
NIC1_s	<Nom_du_groupe_de_ressources>/<Nom_de_l_interface_réseau>	Carte réseau associée à l’adresse IP source dans le flux.
NIC2_s	<Nom_du_groupe_de_ressources>/<Nom_de_l_interface_réseau>	Carte réseau associée à l’adresse IP de destination dans le flux.
VM_s	<Nom_du_groupe_de_ressources>/<Nom_de_l_interface_réseau>	Machine virtuelle associée à l’interface réseau NIC_s.
VM1_s	< >resourcegroup_Name/<VirtualMachineName>	Machine virtuelle associée à l’adresse IP source dans le flux.
VM2_s	< >resourcegroup_Name/<VirtualMachineName>	Machine virtuelle associée à l’adresse IP de destination dans le flux.
Subnet_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Sous-réseau associé à NIC_s.
Subnet1_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Sous-réseau associé à l’adresse IP source dans le flux.
Subnet2_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Sous-réseau associé à l’adresse IP de destination dans le flux.
ApplicationGateway1_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Passerelle d’application associée à l’adresse IP source dans le flux.
ApplicationGateway2_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Passerelle d’application associée à l’adresse IP de destination dans le flux.
ExpressRouteCircuit1_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ID de circuit ExpressRoute : quand le flux est envoyé à partir du site via ExpressRoute.
ExpressRouteCircuit2_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ID de circuit ExpressRoute : quand le flux est reçu du cloud par ExpressRoute.
ExpressRouteCircuitPeeringType_s	- AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering	Type de peering ExpressRoute impliqué dans le flux.
LoadBalancer1_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Équilibreur de charge associé à l’adresse IP source dans le flux.
LoadBalancer2_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Équilibreur de charge associé à l’adresse IP de destination dans le flux.
LocalNetworkGateway1_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Passerelle de réseau local associée à l’adresse IP source dans le flux.
LocalNetworkGateway2_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Passerelle de réseau local associée à l’adresse IP de destination dans le flux.
ConnectionType_s	- VNetPeering - VpnGateway - ExpressRoute	Type de la connexion.
ConnectionName_s	<SubscriptionID>/<ResourceGroupName>/<ConnectionName>	Nom de la connexion. Pour le type de flux P2S, le format est <nom de passerelle>_<IP du client VPN>.
ConnectingVNets_s	Liste de noms de réseau virtuel séparés par un espace	Dans une topologie de réseau en étoile, les réseaux virtuels hub sont renseignés ici.
Country_s	Code de pays à deux lettres (ISO 3166-1 alpha-2)	Champ rempli pour le type de flux ExternalPublic. Toutes les adresses IP indiquées dans le champ PublicIPs_s ont le même code de pays.
AzureRegion_s	Emplacements de la région Azure	Champ rempli pour le type de flux AzurePublic. Toutes les adresses IP indiquées dans le champ PublicIPs_s se trouvent dans la même région Azure.
AllowedInFlows_d		Nombre de flux entrants qui ont été autorisés. Cela représente le nombre de flux ayant partagé le même jeu de quatre tuples entrant sur l’interface réseau où les flux ont été capturés.
DeniedInFlows_d		Nombre de flux entrants ayant été refusés. (Trafic entrant sur l’interface réseau où les flux ont été capturés).
AllowedOutFlows_d		Nombre de flux sortants ayant été autorisés. (Flux sortants sur l’interface réseau où les flux ont été capturés).
DeniedOutFlows_d		Nombre de flux sortants ayant été refusés. (Trafic sortant sur l’interface réseau où les flux ont été capturés).
FlowCount_d	Action déconseillée. Total des flux ayant utilisé le même tuple de quatre éléments. Pour les types de flux ExternalPublic et AzurePublic, ce nombre inclut également les flux provenant de différentes adresses PublicIP.
InboundPackets_d	Représente les paquets envoyés de la destination à la source du flux	Renseigné uniquement pour la version 2 du schéma du journal de flux de groupe de sécurité réseau.
OutboundPackets_d	Représente les paquets envoyés de la source à la destination du flux	Renseigné uniquement pour la version 2 du schéma du journal de flux de groupe de sécurité réseau.
InboundBytes_d	Représente les octets envoyés de la destination à la source du flux	Renseigné uniquement pour la version 2 du schéma du journal de flux de groupe de sécurité réseau.
OutboundBytes_d	Représente les octets envoyés de la source à la destination du flux	Renseigné uniquement pour la version 2 du schéma du journal de flux de groupe de sécurité réseau.
CompletedFlows_d		Renseigné avec une valeur différente de zéro uniquement pour la version 2 du schéma du journal de flux de groupe de sécurité réseau.
PublicIPs_s	< >PUBLIC_IP\|<>FLOW_STARTED_COUNT\|<>FLOW_ENDED_COUNT\|<>OUTBOUND_PACKETS\|<>INBOUND_PACKETS\|<>OUTBOUND_BYTES\|<INBOUND_BYTES>	Entrées séparées par des barres.
SrcPublicIPs_s	< >SOURCE_PUBLIC_IP\|<>FLOW_STARTED_COUNT\|<>FLOW_ENDED_COUNT\|<>OUTBOUND_PACKETS\|<>INBOUND_PACKETS\|<>OUTBOUND_BYTES\|<INBOUND_BYTES>	Entrées séparées par des barres.
DestPublicIPs_s	< >DESTINATION_PUBLIC_IP\|<>FLOW_STARTED_COUNT\|<>FLOW_ENDED_COUNT\|<>OUTBOUND_PACKETS\|<>INBOUND_PACKETS\|<>OUTBOUND_BYTES\|<INBOUND_BYTES>	Entrées séparées par des barres.
IsFlowCapturedAtUDRHop_b	- Vrai - Faux	Si le flux a été capturé au niveau d’un tronçon UDR, la valeur est Vraie.

Important

Le schéma de Traffic Analytics a été mis à jour le 22 août 2019. Le nouveau schéma fournit les adresses IP source et de destination séparément, ce qui élimine la nécessité d’analyser le champ FlowDirection et simplifie les requêtes. Le schéma mis à jour a subi les modifications suivantes :

FASchemaVersion_s mis à jour de 1 vers 2.
Champs dépréciés : VMIP_s, Subscription_g, Region_s, NSGRules_s, Subnet_s, VM_s, NIC_s, PublicIPs_s, FlowCount_d
Nouveaux champs : SrcPublicIPs_s, DestPublicIPs_s, NSGRule_s

Schéma des détails de l’adresse IP publique

Traffic Analytics fournit des données WHOIS et l’emplacement géographique de toutes les adresses IP publiques dans votre environnement. Pour une adresse IP malveillante, l’analytique du trafic fournit un domaine DNS, un type de menace et des descriptions de thread identifiées par les solutions d’intelligence de sécurité Microsoft. Les détails IP sont publiés dans votre espace de travail Log Analytics afin que vous puissiez créer des requêtes personnalisées et y placer des alertes. Vous pouvez également accéder à des requêtes préremplies à partir du tableau de bord Traffic Analytics.

Journaux de flux de réseau virtuel
Journaux de flux de groupe de sécurité réseau

Le tableau suivant détaille le schéma IP public. Pour plus d’informations, consultez NTAIpDetails.

Champ	Format	Commentaires
Nom_de_table	NTAIpDetails	Table contenant les données d’adresse IP de Traffic Analytics.
SubType	Registre des flux	Sous-type des journaux de flux. Utilisez uniquement FlowLog. Les autres valeurs de SubType sont destinées au fonctionnement interne du produit.
FASchemaVersion	3	Version du schéma. Ne reflète pas la version du journal de flux de réseau virtuel.
FlowIntervalStartTime	Date et heure (UTC)	Heure de début de l’intervalle de traitement des journaux de flux (heure à partir de laquelle l’intervalle de flux est mesuré).
FlowIntervalEndTime	Date et heure (UTC)	Date et heure de fin de l’intervalle de traitement des journaux de flux.
Type d’écoulement	- AzurePublic - ExternalPublic - MaliciousFlow	Pour voir les définitions, consultez Remarques.
IP	Adresse IP publique	Adresse IP publique dont les informations sont fournies dans l’enregistrement.
PublicIPDetails	Informations sur l’adresse IP	Pour AzurePublic IP : service Azure possédant l’adresse IP ou l’adresse IP publique virtuelle Microsoft pour l’adresse IP 168.63.129.16. Adresse IP ExternalPublic/Malveillante : informations WhoIS de l’adresse IP.
Type de menace	Menace posée par une adresse IP malveillante	Pour les adresses IP malveillantes uniquement. Une des menaces de la liste des valeurs actuellement autorisées. Pour plus d’informations, consultez Remarques.
DNSDomain	Domaine DNS	Pour les adresses IP malveillantes uniquement. Nom de domaine associé à cette adresse IP.
MenaceDescription	Description de la menace	Pour les adresses IP malveillantes uniquement. Description de la menace constituée par l’adresse IP malveillante.
Lieu	Emplacement de l’adresse IP	Pour l’adresse IP publique Azure : région Azure du réseau virtuel, de l’interface réseau ou de la machine virtuelle dont fait partie l’adresse IP, ou Globale pour l’adresse IP 168.63.129.16. Pour l’adresse IP publique externe et l’adresse IP malveillante : code de pays à deux lettres (ISO 3166-1 alpha-2) où l’adresse IP est située.
Url	URL correspondant à l’adresse IP malveillante	Pour les adresses IP malveillantes uniquement.
Port	Port correspondant à l’adresse IP malveillante	Pour les adresses IP malveillantes uniquement.

Remarque

NTAIPDetails dans les journaux de flux de réseau virtuel remplace AzureNetworkAnalyticsIPDetails_CL utilisé dans les journaux de flux de groupe de sécurité réseau.
L’analyse de trafic peut journaliser des FQDN malveillants sur l’adresse IP pour les flux malveillants. Pour filtrer, utilisez le port, l’URL et les champs de domaine en fonction des besoins.

Le tableau suivant détaille le schéma IP public.

Champ	Format	Commentaires
Nom_de_table	AzureNetworkAnalyticsIPDetails_CL	Table contenant les données d’adresse IP de Traffic Analytics.
SubType_s	Registre des flux	Sous-type des journaux de flux. Utilisez uniquement « FlowLog ». Les autres valeurs de SubType_s sont destinées au fonctionnement interne du produit.
FASchemaVersion_s	2	Version du schéma. Ne reflète pas la version du journal de flux du groupe de sécurité réseau.
FlowIntervalStartTime_t	Date et heure (UTC)	Heure de début de l’intervalle de traitement des journaux de flux (heure à partir de laquelle l’intervalle de flux est mesuré).
FlowIntervalEndTime_t	Date et heure (UTC)	Date et heure de fin de l’intervalle de traitement des journaux de flux.
FlowType_s	- AzurePublic - ExternalPublic - MaliciousFlow	Pour voir les définitions, consultez Remarques.
IP	Adresse IP publique	Adresse IP publique dont les informations sont fournies dans l’enregistrement.
Lieu	Emplacement de l’adresse IP	- Pour Adresse IP publique Azure : région Azure du réseau virtuel, de l’interface réseau ou de la machine virtuelle auxquels l’adresse IP appartient, OU Globale pour l’adresse IP 168.63.129.16. - Pour l’adresse IP publique externe et l’adresse IP malveillante : code de pays à 2 lettres où l’adresse IP est située (ISO 3166-1 alpha-2).
PublicIPDetails	Informations sur l’adresse IP	- Pour AzurePublic IP : service Azure possédant l’adresse IP ou Adresse IP publique virtuelle Microsoft pour 168.63.129.16. - Adresse IP publique externe/adresse IP malveillante : informations WhoIS de l’adresse IP.
Type de menace	Menace posée par une adresse IP malveillante	Pour les adresses IP malveillantes uniquement : une des menaces de la liste des valeurs actuellement autorisées (voir Types de menaces).
MenaceDescription	Description de la menace	Pour les adresses IP malveillantes uniquement. Description de la menace constituée par l’adresse IP malveillante.
DNSDomain	Domaine DNS	Pour les adresses IP malveillantes uniquement. Nom de domaine associé à l’adresse IP malveillante.
Url	URL correspondant à l’adresse IP malveillante	Pour les adresses IP malveillantes uniquement.
Port	Port correspondant à l’adresse IP malveillante	Pour les adresses IP malveillantes uniquement.

Types de menaces

Le tableau suivant répertorie les valeurs actuellement autorisées pour le ThreatType champ dans le schéma de détails IP d’analyse du trafic.

Valeur	Descriptif
Réseau de robots (Botnet)	Indicateur détaillant un nœud/membre de botnet.
C2	Indicateur détaillant un nœud de commande et de contrôle d’un botnet.
Minage de crypto-monnaies	Le trafic impliquant cette adresse réseau/URL est une indication de l’abus de CyrptoMining/de ressources.
DarkNet (en anglais)	Indicateur d’un nœud/réseau darknet.
Les DDoS	Indicateurs relatifs à une campagne DDoS active ou à venir.
URL Malveillante	URL de service malveillant.
Programme malveillant	Indicateur décrivant un fichier ou des fichiers malveillants.
Hameçonnage	Indicateurs relatifs à une campagne de hameçonnage.
Proxy	Indicateur d’un service de proxy.
PUA	Application potentiellement indésirable.
Liste de surveillance	Compartiment générique dans lequel les indicateurs sont placés lorsqu’il est impossible de déterminer exactement en quoi consiste la menace ou lorsque celle-ci nécessite une interprétation manuelle. `WatchList` ne doit généralement pas être utilisé par les partenaires qui envoient des données dans le système.

Remarques

En cas de flux AzurePublic et ExternalPublic, l’adresse IP de la machine virtuelle Azure détenue par le client est renseignée dans le champ VMIP_s, alors que les adresses IP publiques sont renseignées dans le champ PublicIPs_s. Pour ces deux types de flux, vous devez utiliser les champs VMIP_s etPublicIPs_s au lieu des champs SrcIP_s etDestIP_s. Pour les adresses IP AzurePublic et ExternalPublic, nous agrégeons davantage pour que le nombre d’enregistrements ingérés dans l’espace de travail Log Analytics soit minimal. (Ce champ sera déconseillé. Utilisez SrcIp_s et DestIp_s selon que la machine virtuelle était la source ou la destination dans le flux).
Certains noms de champs sont ajoutés à _s ou _d, qui ne signifient pas la source et la destination, mais indiquent respectivement les types de données chaîne et décimal.
Sur la base des adresses IP impliquées dans les flux, nous classons les flux dans les types de flux suivants :
- IntraVNet : les deux adresses IP dans le flux se trouvent dans le même réseau virtuel Azure.
- InterVNet : les adresses IP dans le flux se trouvent dans deux réseaux virtuels Azure différents.
- S2S (Site à site) : l’une des adresses IP fait partie du réseau virtuel Azure tandis que l’autre adresse IP fait partie du réseau client (Site) qui est connecté au réseau virtuel par le biais d’une passerelle VPN ou ExpressRoute.
- P2S (Point à site) : l’une des adresses IP fait partie du réseau virtuel Azure tandis que l’autre adresse IP fait partie du réseau client (Site) qui est connecté au réseau virtuel Azure par le biais d’une passerelle VPN.
- AzurePublic: l’une des adresses IP appartient à un réseau virtuel Azure, tandis que l’autre adresse IP est une adresse IP publique Azure appartenant à Microsoft. Les adresses IP publiques détenues par un client ne font pas partie de ce type de flux. Par exemple, le trafic envoyé à partir d’une machine virtuelle d’un client vers un service Azure (point de terminaison de stockage) est classé dans ce type de flux.
- ExternalPublic: l’une des adresses IP appartient à un réseau virtuel Azure, tandis que l’autre adresse IP est une adresse IP publique qui n’appartient pas à Microsoft ou une partie d’un abonnement appartenant au client visible pour l’analytique du trafic et n’est pas signalée comme malveillante dans les flux ASC que l’analytique du trafic consomme pour l’intervalle de traitement entre FlowIntervalStartTime_t et FlowIntervalEndTime_t.
- MaliciousFlow: l’une des adresses IP appartient à un réseau virtuel Azure, tandis que l’autre adresse IP est une adresse IP publique qui n’est pas détenue par Microsoft ou une partie d’un abonnement appartenant au client visible pour l’analytique du trafic et est signalée comme malveillante dans les flux ASC que l’analytique du trafic consomme pour l’intervalle de traitement entre FlowIntervalStartTime_t et FlowIntervalEndTime_t.
- UnknownPrivate : l’une des adresses IP fait partie d’un réseau virtuel Azure tandis que l’autre adresse IP fait partie de la plage d’adresses IP privées, telles que définies dans la RFC 1918, qui ne peuvent pas être mappées par Traffic Analytics à un site client ou au réseau virtuel Azure.
- Unknown : impossible de mapper l’une des adresses IP dans les flux avec la topologie cliente dans Azure ou localement (sur site).

Remarque

Un abonnement est visible pour l’analyse du trafic dans un espace de travail Log Analytics s’il contient un journal de flux configuré pour cet espace de travail.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-08-20

Partager via

Schéma et agrégation de données de Traffic Analytics

Agrégation de données

Schéma Traffic Analytics

Schéma des détails de l’adresse IP publique

Types de menaces

Remarques

Contenu connexe

Commentaires

Ressources supplémentaires