Schemat analizy ruchu i agregacja danych

Analiza ruchu to oparte na chmurze rozwiązanie, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. Analiza ruchu analizuje dzienniki przepływu usługi Azure Network Watcher, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Dzięki analizie ruchu można wykonywać następujące czynności:

Wizualizuj aktywność sieci w ramach subskrypcji platformy Azure i zidentyfikuj punkty aktywne.
Zidentyfikuj zagrożenia bezpieczeństwa i zabezpiecz sieć przy użyciu informacji, takich jak otwarte porty, aplikacje próbujące uzyskać dostęp do Internetu i maszyny wirtualne łączące się z nieuczciwymi sieciami.
Poznaj wzorce przepływu ruchu w różnych regionach platformy Azure i Internecie, aby zoptymalizować wdrożenie sieci pod kątem wydajności i pojemności.
Wskazuje błędy konfiguracji sieci prowadzące do nieporozumień połączeń w sieci.
Znajomość użycia sieci w bajtach, pakietach lub przepływach.

Agregacja danych

Dzienniki przepływu sieci wirtualnej
Dzienniki przepływu sieciowej grupy zabezpieczeń

Wszystkie dzienniki przepływu między elementami FlowIntervalStartTime i FlowIntervalEndTime są przechwytywane w odstępach jednej minuty jako obiekty blob na koncie magazynu.
Domyślny interwał przetwarzania analizy ruchu wynosi 60 minut, co oznacza, że co godzinę analiza ruchu wybiera obiekty blob z konta magazynu w celu agregacji. Jeśli jednak wybrano interwał przetwarzania wynoszący 10 minut, analiza ruchu będzie wybierać obiekty blob z konta magazynu co 10 minut.
Przepływy, które mają te same Source IPprzepływy , , Destination IPDestination portNSG nameNSG ruleFlow Directioni Transport layer protocol (TCP or UDP) są podzielone na jeden przepływ przez analizę ruchu (Uwaga: port źródłowy jest wykluczony w celu agregacji).
Ten pojedynczy rekord jest ozdobiony (szczegóły w poniższej sekcji) i pozyskiwany w dziennikach usługi Azure Monitor przez analizę ruchu. Ten proces może potrwać do 1 godziny.
FlowStartTime pole wskazuje pierwsze wystąpienie takiego zagregowanego przepływu (te same cztery krotki) w interwale przetwarzania dziennika przepływu między FlowIntervalStartTime i FlowIntervalEndTime.
W przypadku dowolnego zasobu w analizie ruchu przepływy wskazane w witrynie Azure Portal to łączna liczba przepływów, ale w dziennikach usługi Azure Monitor użytkownik widzi tylko pojedynczy, ograniczony rekord. Aby wyświetlić wszystkie przepływy, użyj blob_id pola , do którego można odwoływać się z magazynu. Łączna liczba przepływów dla tego rekordu jest zgodna z poszczególnymi przepływami widocznymi w obiekcie blob.

Wszystkie dzienniki przepływu w sieciowej grupie zabezpieczeń między elementami FlowIntervalStartTime_t i FlowIntervalEndTime_t są przechwytywane w odstępach jednej minuty jako obiekty blob na koncie magazynu.
Domyślny interwał przetwarzania analizy ruchu wynosi 60 minut, co oznacza, że co godzinę analiza ruchu wybiera obiekty blob z konta magazynu w celu agregacji. Jeśli jednak wybrano interwał przetwarzania wynoszący 10 minut, analiza ruchu będzie wybierać obiekty blob z konta magazynu co 10 minut.
Przepływy, które mają te same Source IPprzepływy , , Destination IPDestination portNSG nameNSG ruleFlow Directioni Transport layer protocol (TCP or UDP) są podzielone na jeden przepływ przez analizę ruchu (Uwaga: port źródłowy jest wykluczony w celu agregacji).
Ten pojedynczy rekord jest ozdobiony (szczegóły w poniższej sekcji) i pozyskiwany w dziennikach usługi Azure Monitor przez analizę ruchu. Ten proces może potrwać do 1 godziny.
FlowStartTime_t pole wskazuje pierwsze wystąpienie takiego zagregowanego przepływu (te same cztery krotki) w interwale przetwarzania dziennika przepływu między FlowIntervalStartTime_t i FlowIntervalEndTime_t.
W przypadku dowolnego zasobu w analizie ruchu przepływy wskazane w witrynie Azure Portal to łączne przepływy widoczne dla sieciowej grupy zabezpieczeń, ale w dziennikach usługi Azure Monitor użytkownik widzi tylko jeden, ograniczony rekord. Aby wyświetlić wszystkie przepływy, użyj blob_id pola , do którego można odwoływać się z magazynu. Łączna liczba przepływów dla tego rekordu jest zgodna z poszczególnymi przepływami widocznymi w obiekcie blob.

Schemat analizy ruchu

Analiza ruchu jest oparta na dziennikach usługi Azure Monitor, dzięki czemu można uruchamiać niestandardowe zapytania dotyczące danych ozdobionych analizą ruchu i ustawiać alerty.

Dzienniki przepływu sieci wirtualnej
Dzienniki przepływu sieciowej grupy zabezpieczeń

W poniższej tabeli wymieniono pola w schemacie i informacje, które oznaczają dzienniki przepływu sieci wirtualnej. Aby uzyskać więcej informacji, zobacz NTANetAnalytics.

Pole	Formatuj	Komentarze
TableName	NTANetAnalytics (Analityka Sieciowa)	Tabela danych analizy ruchu.
Podtypu	Dziennik przepływu	Podtyp dzienników przepływu. Użyj tylko flowLog, inne wartości SubType są przeznaczone do użytku wewnętrznego.
FASchemaVersion (wersja FASchema)	3	Wersja schematu. Nie odzwierciedla wersji dziennika przepływu sieci wirtualnej.
TimeProcessed	Data i godzina w formacie UTC	Czas, w którym analiza ruchu przetworzyła nieprzetworzone dzienniki przepływu z konta magazynu.
FlowIntervalStartTime	Data i godzina w formacie UTC	Czas rozpoczęcia interwału przetwarzania dziennika przepływu (czas pomiaru interwału przepływu).
FlowIntervalEndTime	Data i godzina w formacie UTC	Czas zakończenia interwału przetwarzania dziennika przepływu.
Czas rozpoczęcia przepływu	Data i godzina w formacie UTC	Pierwsze wystąpienie przepływu (które jest agregowane) w interwale przetwarzania dziennika przepływu między `FlowIntervalStartTime` i `FlowIntervalEndTime`. Ten przepływ jest agregowany na podstawie logiki agregacji.
Czas zakończenia przepływu	Data i godzina w formacie UTC	Ostatnie wystąpienie przepływu (które jest agregowane) w interwale przetwarzania dziennika przepływu między `FlowIntervalStartTime` i `FlowIntervalEndTime`.
Typ przepływu	- IntraVNet - InterVNet - S2S - Protokół P2S — AzurePublic - ExternalPublic (Zewnętrzny) - Złośliwy przepływ - Nieznany prywatny -Nieznany	Zobacz Uwagi dotyczące definicji.
Identyfikator SrcIp	Źródłowy adres IP	Puste w przepływach AzurePublic i ExternalPublic.
DestIp	Docelowy adres IP	Puste w przepływach AzurePublic i ExternalPublic.
TargetResourceId (Identyfikator zasobu docelowego)	ResourceGroupName/ResourceName	Identyfikator zasobu, w którym włączono rejestrowanie przepływu i analizę ruchu.
DocelowyTypZasobu	VirtualNetwork/Subnet/NetworkInterface	Typ zasobu, w którym włączono rejestrowanie przepływu i analizę ruchu (sieć wirtualna, podsieć, kartę sieciową lub sieciową grupę zabezpieczeń).
Identyfikator FlowLogResourceId	Nazwa_grupyZasobów/NazwaNetworkWatcher/NazwaDziennika przepływu	Identyfikator zasobu dziennika przepływu.
Port docelowy	Port docelowy	Port, w którym ruch jest przychodzący.
Protokół L4	- T - U	Protokół transportowy. T = TCP U = UDP
Protokół L7	Nazwa protokołu	Pochodzi z portu docelowego.
Kierunek przepływu	- I = przychodzący - O = wychodzący	Kierunek przepływu: w dzienniku przepływu lub poza zasobem docelowym.
Stan przepływu	- A = Dozwolone - D = Odmowa	Stan przepływu: dozwolony lub blokowany przez zasób docelowy na dziennik przepływu.
Lista ACL	<SubscriptionID>/<resourcegroup_Name>/<NSG_Name>	Sieciowa grupa zabezpieczeń skojarzona z przepływem.
AclRule	NSG_Rule_Name	Reguła sieciowej grupy zabezpieczeń, która zezwala na przepływ lub go odrzuca.
ADRES MACAddress	Adres MAC	Adres MAC karty sieciowej, w której przechwycono przepływ.
Subskrypcja Src	Identyfikator subskrypcji	Identyfikator subskrypcji sieci wirtualnej/ interfejsu sieciowego/ maszyny wirtualnej, do którego należy źródłowy adres IP w przepływie.
DestSubscription,	Identyfikator subskrypcji	Identyfikator subskrypcji sieci wirtualnej/ interfejsu sieciowego/ maszyny wirtualnej, do którego należy docelowy adres IP w przepływie.
Region Src	Region świadczenia usługi Azure	Region sieci wirtualnej/interfejsu sieciowego/maszyny wirtualnej platformy Azure, do którego należy źródłowy adres IP w przepływie.
DestRegion (Region pochodzenia)	Region świadczenia usługi Azure	Region sieci wirtualnej platformy Azure, do którego należy docelowy adres IP w przepływie.
SrcNic (SrcNic)	< >resourcegroup_Name/<NetworkInterfaceName>	Karta sieciowa skojarzona ze źródłowym adresem IP w przepływie.
DestNic	< >resourcegroup_Name/<NetworkInterfaceName>	Karta sieciowa skojarzona z docelowym adresem IP w przepływie.
SrcVm (SrcVm)	< >resourcegroup_Name/<VirtualMachineName>	Maszyna wirtualna skojarzona ze źródłowym adresem IP w przepływie.
DestVm	< >resourcegroup_Name/<VirtualMachineName>	Maszyna wirtualna skojarzona z docelowym adresem IP w przepływie.
SrcSubnet (Podsieć SrcSubnet)	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Podsieć skojarzona ze źródłowym adresem IP w przepływie.
DestSubnet	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Podsieć skojarzona z docelowym adresem IP w przepływie.
SrcApplicationGateway	<SubscriptionID/><ResourceGroupName>/<ApplicationGatewayName>	Usługa Application Gateway skojarzona ze źródłowym adresem IP w przepływie.
DestApplicationGateway (Brama Aplikacji)	<SubscriptionID/><ResourceGroupName>/<ApplicationGatewayName>	Brama aplikacji skojarzona z docelowym adresem IP w przepływie.
SrcExpressRouteCircuit	<SubscriptionID/><ResourceGroupName>/<ExpressRouteCircuitName>	Identyfikator obwodu usługi ExpressRoute — gdy przepływ jest wysyłany z lokacji za pośrednictwem usługi ExpressRoute.
DestExpressRouteCircuit	<SubscriptionID/><ResourceGroupName>/<ExpressRouteCircuitName>	Identyfikator obwodu usługi ExpressRoute — gdy przepływ jest odbierany z chmury przez usługę ExpressRoute.
ExpressRouteCircuitPeeringType	— AzurePrivatePeering — AzurePublicPeering — MicrosoftPeering	Typ komunikacji równorzędnej usługi ExpressRoute zaangażowany w przepływ.
SrcLoadBalancer	<SubscriptionID/><ResourceGroupName>/<LoadBalancerName>	Moduł równoważenia obciążenia skojarzony ze źródłowym adresem IP w przepływie.
DestLoadBalancer	<SubscriptionID/><ResourceGroupName>/<LoadBalancerName>	Moduł równoważenia obciążenia skojarzony z docelowym adresem IP w przepływie.
SrcLocalNetworkGateway (Brama Sieci Lokalnej)	<SubscriptionID/ResourceGroupName/LocalNetworkGatewayNameSubscriptionID/><ResourceGroupName>/<LocalNetworkGatewayName>	Brama sieci lokalnej skojarzona ze źródłowym adresem IP w przepływie.
DestLocalNetworkGateway (Brama Sieci Lokalnej)	<SubscriptionID/ResourceGroupName/LocalNetworkGatewayNameSubscriptionID/><ResourceGroupName>/<LocalNetworkGatewayName>	Brama sieci lokalnej skojarzona z docelowym adresem IP w przepływie.
Typ połączenia	- Komunikacja równorzędna sieci VNetPeering - Brama sieci VPN — ExpressRoute	Typ połączenia.
Nazwa połączenia	<SubscriptionID/><ResourceGroupName>/<ConnectionName>	Nazwa połączenia. Dla typu przepływu P2S jest on sformatowany jako <GatewayName>_<VPNClientIP>
Łączenie sieci wirtualnych	Rozdzielona spacją lista nazw sieci wirtualnych.	W topologii piasty i szprych sieci wirtualne piasty są wypełniane tutaj.
Kraj	Dwuliterowy kod kraju (ISO 3166-1 alfa-2)	Wypełnione jako typ przepływu ExternalPublic. Wszystkie adresy IP w polu PublicIPs mają ten sam kod kraju.
Region platformy AzureRegion	Lokalizacje regionów platformy Azure	Wypełnione jako typ przepływu AzurePublic. Wszystkie adresy IP w polu PublicIPs współużytkuje region świadczenia usługi Azure.
DozwolonePrzepływy	-	Liczba dozwolonych przepływów przychodzących, które reprezentują liczbę przepływów, które współużytkowały ten sam czterokrotny ruch przychodzący do interfejsu sieciowego, w którym przechwycono przepływ.
DeniedInFlows	-	Liczba przepływów przychodzących, które zostały odrzucone. (Ruch przychodzący do interfejsu sieciowego, w którym przechwycono przepływ).
DozwoloneWypływy	-	Liczba dozwolonych przepływów wychodzących (ruch wychodzący do interfejsu sieciowego, w którym przechwycono przepływ).
DeniedOutFlows	-	Liczba przepływów wychodzących, które zostały odrzucone (ruch wychodzący do interfejsu sieciowego, w którym przechwycono przepływ).
PakietyDestToSrc	-	Reprezentuje pakiety wysyłane z miejsca docelowego do źródła przepływu.
PakietySrcToDest	-	Reprezentuje pakiety wysyłane ze źródła do miejsca docelowego przepływu .
BytesDestToSrc	-	Reprezentuje bajty wysyłane z miejsca docelowego do źródła przepływu.
BytesSrcToDest	-	Reprezentuje bajty wysyłane ze źródła do miejsca docelowego przepływu.
Ukończone przepływy	-	Całkowita liczba ukończonych przepływów (wypełniona wartością inną niż zero, gdy przepływ zostanie ukończone zdarzenie).
SrcPublicIPs	< >SOURCE_PUBLIC_IP\|<>FLOW_STARTED_COUNT\|<>FLOW_ENDED_COUNT\|<>OUTBOUND_PACKETS\|<>INBOUND_PACKETS\|<>OUTBOUND_BYTES\|<INBOUND_BYTES>	Wpisy oddzielone słupkami.
DestPublicIPs	< >DESTINATION_PUBLIC_IP\|<>FLOW_STARTED_COUNT\|<>FLOW_ENDED_COUNT\|<>OUTBOUND_PACKETS\|<>INBOUND_PACKETS\|<>OUTBOUND_BYTES\|<INBOUND_BYTES>	Wpisy oddzielone słupkami.
Szyfrowanie przepływu	-Szyfrowane -Niezaszyfrowane — Nieobsługiwany sprzęt — Oprogramowanie nie jest gotowe - Upuszczanie z powodu braku szyfrowania — Odnajdywanie nie jest obsługiwane — Miejsce docelowe na tym samym hoście — Powrót do braku szyfrowania.	Poziom szyfrowania przepływów.
PrivateEndpointResourceId	<GrupaZasobów/prywatnyZasóbKońcowy>	Identyfikator zasobu prywatnego punktu końcowego. Wypełniane, gdy ruch przepływa do lub z zasobu prywatnego punktu końcowego.
Identyfikator PrivateLinkResourceId	<GrupaZasobów/TypZasobu/privateLinkResource>	Identyfikator zasobu usługi łącza prywatnego. Wypełniane, gdy ruch przepływa do lub z zasobu prywatnego punktu końcowego.
PrivateLinkResourceName (Nazwa zasobu prywatnego)	Zwykły tekst	Nazwa zasobu usługi łącza prywatnego. Wypełniane, gdy ruch przepływa do lub z zasobu prywatnego punktu końcowego.
IsFlowCapturedAtUDRHop	-Prawdziwy -Fałszywy	Jeśli przepływ został przechwycony przy przeskoku trasy zdefiniowanej przez użytkownika, wartość to True.

Uwaga

NTANetAnalytics w dziennikach przepływu sieci wirtualnej zastępuje AzureNetworkAnalytics_CL używane w dziennikach przepływu sieciowej grupy zabezpieczeń.

W poniższej tabeli wymieniono pola w schemacie i informacje, które oznaczają dla dzienników przepływu sieciowej grupy zabezpieczeń.

Pole	Formatuj	Komentarze
TableName	AzureNetworkAnalytics_CL	Tabela danych analizy ruchu.
SubType_s	Dziennik przepływu	Podtyp dzienników przepływu. Użyj tylko flowLog, inne wartości SubType_s są przeznaczone do użytku wewnętrznego.
FASchemaVersion_s	2	Wersja schematu. Nie odzwierciedla wersji dziennika przepływu sieciowej grupy zabezpieczeń.
TimeProcessed_t	Data i godzina w formacie UTC	Czas, w którym analiza ruchu przetworzyła nieprzetworzone dzienniki przepływu z konta magazynu.
FlowIntervalStartTime_t	Data i godzina w formacie UTC	Czas rozpoczęcia interwału przetwarzania dziennika przepływu (czas pomiaru interwału przepływu).
FlowIntervalEndTime_t	Data i godzina w formacie UTC	Czas zakończenia interwału przetwarzania dziennika przepływu.
FlowStartTime_t	Data i godzina w formacie UTC	Pierwsze wystąpienie przepływu (które jest agregowane) w interwale przetwarzania dziennika przepływu między `FlowIntervalStartTime_t` i `FlowIntervalEndTime_t`. Ten przepływ jest agregowany na podstawie logiki agregacji.
FlowEndTime_t	Data i godzina w formacie UTC	Ostatnie wystąpienie przepływu (które jest agregowane) w interwale przetwarzania dziennika przepływu między `FlowIntervalStartTime_t` i `FlowIntervalEndTime_t`. Jeśli chodzi o dziennik przepływu w wersji 2, to pole zawiera czas ostatniego przepływu z tą samą czteroczęściową krotką (oznaczoną jako B w nieprzetworzonym rekordzie przepływu).
FlowType_s	- IntraVNet - InterVNet - S2S - Protokół P2S — AzurePublic - ExternalPublic (Zewnętrzny) - Złośliwy przepływ - Nieznany prywatny -Nieznany	Zobacz Uwagi dotyczące definicji.
SrcIP_s	Źródłowy adres IP	Puste w przepływach AzurePublic i ExternalPublic.
DestIP_s	Docelowy adres IP	Puste w przepływach AzurePublic i ExternalPublic.
VMIP_s	Adres IP maszyny wirtualnej	Służy do przepływów AzurePublic i ExternalPublic.
DestPort_d	Port docelowy	Port, w którym ruch jest przychodzący.
L4Protocol_s	- T - U	Protokół transportowy. T = TCP U = UDP.
L7Protocol_s	Nazwa protokołu	Pochodzi z portu docelowego.
FlowDirection_s	- I = Przychodzące - O = wychodzący	Kierunek przepływu: w lub poza siecią grupę zabezpieczeń na dziennik przepływu.
FlowStatus_s	- A = Dozwolone - D = Odmowa	Stan przepływu dozwolony lub blokowany przez sieciową grupę zabezpieczeń na dziennik przepływu.
NSGList_s	<SubscriptionID>/<resourcegroup_Name>/<NSG_Name>	Sieciowa grupa zabezpieczeń skojarzona z przepływem.
NSGRules_s	<Wartość indeksu 0>\|<NSG_Rule_Name>\|<Kierunek Przepływu>\|<Stan Przepływu>\|<Ilość Przepływów Przetworzonych wg Zasady>	Reguła sieciowej grupy zabezpieczeń, która zezwala na ten przepływ lub go odrzuca.
NSGRule_s	NSG_Rule_Name	Reguła sieciowej grupy zabezpieczeń, która zezwala na ten przepływ lub go odrzuca.
NSGRuleType_s	— Zdefiniowane przez użytkownika -Domyślny	Typ reguły sieciowej grupy zabezpieczeń używanej przez przepływ.
MACAddress_s	Adres MAC	Adres MAC karty sieciowej, w której przechwycono przepływ.
Subscription_g	Subskrypcja sieci wirtualnej platformy Azure/interfejsu sieciowego/maszyny wirtualnej jest wypełniana w tym polu	Dotyczy tylko typów przepływów FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow i UnknownPrivate (typy przepływów, których tylko jedna strona to Azure).
Subscription1_g	Identyfikator subskrypcji	Identyfikator subskrypcji sieci wirtualnej/ interfejsu sieciowego/ maszyny wirtualnej, do którego należy źródłowy adres IP w przepływie.
Subscription2_g	Identyfikator subskrypcji	Identyfikator subskrypcji sieci wirtualnej/ interfejsu sieciowego/maszyny wirtualnej, do którego należy docelowy adres IP w przepływie.
Region_s	Region sieci wirtualnej/ interfejsu sieciowego/maszyny wirtualnej, do którego należy adres IP w przepływie.	Dotyczy tylko typów przepływów FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow i UnknownPrivate (typy przepływów, których tylko jedna strona to Azure).
Region1_s	Region świadczenia usługi Azure	Region sieci wirtualnej/interfejsu sieciowego/maszyny wirtualnej platformy Azure, do którego należy źródłowy adres IP w przepływie.
Region2_s	Region świadczenia usługi Azure	Region sieci wirtualnej platformy Azure, do którego należy docelowy adres IP w przepływie.
NIC_s	< >resourcegroup_Name/<NetworkInterfaceName>	Karta sieciowa skojarzona z maszyną wirtualną wysyłającą lub odbierając ruch.
NIC1_s	< >resourcegroup_Name/<NetworkInterfaceName>	Karta sieciowa skojarzona ze źródłowym adresem IP w przepływie.
NIC2_s	< >resourcegroup_Name/<NetworkInterfaceName>	Karta sieciowa skojarzona z docelowym adresem IP w przepływie.
VM_s	< >resourcegroup_Name/<NetworkInterfaceName>	Maszyna wirtualna skojarzona z interfejsem sieciowym NIC_s.
VM1_s	< >resourcegroup_Name/<VirtualMachineName>	Maszyna wirtualna skojarzona ze źródłowym adresem IP w przepływie.
VM2_s	< >resourcegroup_Name/<VirtualMachineName>	Maszyna wirtualna skojarzona z docelowym adresem IP w przepływie.
Subnet_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Podsieć skojarzona z NIC_s.
Subnet1_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Podsieć skojarzona ze źródłowym adresem IP w przepływie.
Subnet2_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Podsieć skojarzona z docelowym adresem IP w przepływie.
ApplicationGateway1_s	<SubscriptionID/><ResourceGroupName>/<ApplicationGatewayName>	Usługa Application Gateway skojarzona z źródłowym adresem IP w przepływie.
ApplicationGateway2_s	<SubscriptionID/><ResourceGroupName>/<ApplicationGatewayName>	Brama aplikacji skojarzona z docelowym adresem IP w przepływie.
ExpressRouteCircuit1_s	<SubscriptionID/><ResourceGroupName>/<ExpressRouteCircuitName>	Identyfikator obwodu usługi ExpressRoute — gdy przepływ jest wysyłany z lokacji za pośrednictwem usługi ExpressRoute.
ExpressRouteCircuit2_s	<SubscriptionID/><ResourceGroupName>/<ExpressRouteCircuitName>	Identyfikator obwodu usługi ExpressRoute — gdy przepływ jest odbierany z chmury przez usługę ExpressRoute.
ExpressRouteCircuitPeeringType_s	— AzurePrivatePeering — AzurePublicPeering — MicrosoftPeering	Typ komunikacji równorzędnej usługi ExpressRoute zaangażowany w przepływ.
LoadBalancer1_s	<SubscriptionID/><ResourceGroupName>/<LoadBalancerName>	Moduł równoważenia obciążenia skojarzony ze źródłowym adresem IP w przepływie.
LoadBalancer2_s	<SubscriptionID/><ResourceGroupName>/<LoadBalancerName>	Moduł równoważenia obciążenia skojarzony z docelowym adresem IP w przepływie.
LocalNetworkGateway1_s	<SubscriptionID/ResourceGroupName/LocalNetworkGatewayNameSubscriptionID/><ResourceGroupName>/<LocalNetworkGatewayName>	Brama sieci lokalnej skojarzona z źródłowym adresem IP w przepływie.
LocalNetworkGateway2_s	<SubscriptionID/ResourceGroupName/LocalNetworkGatewayNameSubscriptionID/><ResourceGroupName>/<LocalNetworkGatewayName>	Brama sieci lokalnej skojarzona z docelowym adresem IP w przepływie.
ConnectionType_s	- Komunikacja równorzędna sieci VNetPeering - Brama sieci VPN — ExpressRoute	Typ połączenia.
ConnectionName_s	<SubscriptionID/><ResourceGroupName>/<ConnectionName>	Nazwa połączenia. W przypadku typu przepływu P2S jest on sformatowany jako <nazwa> bramy_<VPN Client IP>.
ConnectingVNets_s	Rozdzielona spacją lista nazw sieci wirtualnych	W przypadku topologii piasty i szprych sieci wirtualne piasty są wypełniane tutaj.
Country_s	Dwuliterowy kod kraju (ISO 3166-1 alfa-2)	Wypełnione jako typ przepływu ExternalPublic. Wszystkie adresy IP w polu PublicIPs_s mają ten sam kod kraju.
AzureRegion_s	Lokalizacje regionów platformy Azure	Wypełnione jako typ przepływu AzurePublic. Wszystkie adresy IP w polu PublicIPs_s współużytkuje region świadczenia usługi Azure.
Dozwolone Przepływy_d		Liczba dozwolonych przepływów przychodzących, które reprezentują liczbę przepływów, które współużytkowały ten sam czterokrotny ruch przychodzący do interfejsu sieciowego, w którym przechwycono przepływ.
DeniedInFlows_d		Liczba przepływów przychodzących, które zostały odrzucone. (Ruch przychodzący do interfejsu sieciowego, w którym przechwycono przepływ).
AllowedOutFlows_d		Liczba dozwolonych przepływów wychodzących (ruch wychodzący do interfejsu sieciowego, w którym przechwycono przepływ).
DeniedOutFlows_d		Liczba przepływów wychodzących, które zostały odrzucone (ruch wychodzący do interfejsu sieciowego, w którym przechwycono przepływ).
FlowCount_d	Przestarzałe. Łączna liczba przepływów pasujących do tej samej czwórki. W przypadku typów przepływów ExternalPublic i AzurePublic liczba obejmuje również przepływy z różnych adresów PublicIP.
InboundPackets_d	Reprezentuje pakiety wysyłane z miejsca docelowego do źródła przepływu	Wypełnione tylko dla wersji 2 schematu dziennika przepływu sieciowej grupy zabezpieczeń.
OutboundPackets_d	Reprezentuje pakiety wysyłane ze źródła do miejsca docelowego przepływu	Wypełnione tylko dla wersji 2 schematu dziennika przepływu sieciowej grupy zabezpieczeń.
InboundBytes_d	Reprezentuje bajty wysyłane z miejsca docelowego do źródła przepływu	Wypełnione tylko dla wersji 2 schematu dziennika przepływu sieciowej grupy zabezpieczeń.
OutboundBytes_d	Reprezentuje bajty wysyłane ze źródła do miejsca docelowego przepływu	Wypełnione tylko dla wersji 2 schematu dziennika przepływu sieciowej grupy zabezpieczeń.
CompletedFlows_d		Wypełniony wartością niezerowymi tylko dla schematu dziennika przepływu sieciowej grupy zabezpieczeń w wersji 2.
PublicIPs_s	< >PUBLIC_IP\|<>FLOW_STARTED_COUNT\|<>FLOW_ENDED_COUNT\|<>OUTBOUND_PACKETS\|<>INBOUND_PACKETS\|<>OUTBOUND_BYTES\|<INBOUND_BYTES>	Wpisy oddzielone słupkami.
SrcPublicIPs_s	< >SOURCE_PUBLIC_IP\|<>FLOW_STARTED_COUNT\|<>FLOW_ENDED_COUNT\|<>OUTBOUND_PACKETS\|<>INBOUND_PACKETS\|<>OUTBOUND_BYTES\|<INBOUND_BYTES>	Wpisy oddzielone słupkami.
DestPublicIPs_s	< >DESTINATION_PUBLIC_IP\|<>FLOW_STARTED_COUNT\|<>FLOW_ENDED_COUNT\|<>OUTBOUND_PACKETS\|<>INBOUND_PACKETS\|<>OUTBOUND_BYTES\|<INBOUND_BYTES>	Wpisy oddzielone słupkami.
IsFlowCapturedAtUDRHop_b	-Prawdziwy -Fałszywy	Jeśli przepływ został przechwycony przy przeskoku trasy zdefiniowanej przez użytkownika, wartość to True.

Ważne

Schemat analizy ruchu został zaktualizowany 22 sierpnia 2019 r. Nowy schemat udostępnia oddzielnie źródłowe i docelowe adresy IP, usuwając konieczność analizowania FlowDirection pola tak, aby zapytania są prostsze. Zaktualizowany schemat miał następujące zmiany:

FASchemaVersion_s zaktualizowano z zakresu od 1 do 2.
Przestarzałe pola: VMIP_s, , Subscription_gRegion_sNSGRules_sSubnet_sVM_s, , NIC_sPublicIPs_sFlowCount_d
Nowe pola: SrcPublicIPs_s, , DestPublicIPs_sNSGRule_s

Schemat szczegółów publicznego adresu IP

Analiza ruchu udostępnia dane WHOIS i lokalizację geograficzną dla wszystkich publicznych adresów IP w danym środowisku. W przypadku złośliwego adresu IP analiza ruchu udostępnia opisy domen DNS, typu zagrożeń i wątków zidentyfikowane przez rozwiązania analizy zabezpieczeń firmy Microsoft. Szczegóły adresu IP są publikowane w obszarze roboczym usługi Log Analytics, dzięki czemu można tworzyć zapytania niestandardowe i umieszczać na nich alerty. Dostęp do wstępnie wypełnionych zapytań można również uzyskać z poziomu pulpitu nawigacyjnego analizy ruchu.

Dzienniki przepływu sieci wirtualnej
Dzienniki przepływu sieciowej grupy zabezpieczeń

W poniższej tabeli przedstawiono schemat publicznego adresu IP. Aby uzyskać więcej informacji, zobacz NTAIpDetails.

Pole	Formatuj	Komentarze
TableName	NTAIpDetails (Szczegóły Wyszukiwania)	Tabela zawierająca dane szczegółów adresu IP analizy ruchu.
Podtypu	Dziennik przepływu	Podtyp dzienników przepływu. Użyj tylko usługi FlowLog. Inne wartości podtypu są przeznaczone dla wewnętrznych elementów roboczych produktu.
FASchemaVersion (wersja FASchema)	3	Wersja schematu. Nie odzwierciedla wersji dziennika przepływu sieci wirtualnej.
FlowIntervalStartTime	Data i godzina w formacie UTC	Godzina rozpoczęcia interwału przetwarzania dziennika przepływu (czas pomiaru interwału przepływu).
FlowIntervalEndTime	Data i godzina w formacie UTC	Godzina zakończenia interwału przetwarzania dziennika przepływu.
Typ przepływu	— AzurePublic - ExternalPublic (Zewnętrzny) - Złośliwy przepływ	Zobacz Uwagi dotyczące definicji.
Adres IP	Publiczny adres IP	Publiczny adres IP, którego informacje są podane w rekordzie.
PublicIPDetails (Publiczne Adresy IP)	Informacje o adresie IP	W przypadku adresu IP AzurePublic: usługa platformy Azure będąca właścicielem adresu IP lub wirtualnego publicznego adresu IP firmy Microsoft dla adresu IP 168.63.129.16. ExternalPublic/Złośliwy adres IP: WhoIS informacji o adresie IP.
Typ zagrożenia	Zagrożenie stwarzane przez złośliwy adres IP	Tylko w przypadku złośliwych adresów IP. Jedno z zagrożeń z listy aktualnie dozwolonych wartości. Aby uzyskać więcej informacji, zobacz Uwagi.
Domena DNS	Domena DNS	Tylko w przypadku złośliwych adresów IP. Nazwa domeny skojarzona z tym adresem IP.
Opis zagrożenia	Opis zagrożenia	Tylko w przypadku złośliwych adresów IP. Opis zagrożenia stwarzanego przez złośliwy adres IP.
Lokalizacja	Lokalizacja adresu IP	Publiczny adres IP platformy Azure: region sieci wirtualnej/ interfejsu sieciowego/maszyny wirtualnej, do której należy adres IP lub adres globalny dla adresu IP 168.63.129.16. W przypadku zewnętrznego publicznego adresu IP i złośliwego adresu IP: dwuliterowy kod kraju (ISO 3166-1 alfa-2), w którym znajduje się adres IP.
Adres URL	Adres URL odpowiadający złośliwemu adresowi IP	Tylko w przypadku złośliwych adresów IP.
Port	Port odpowiadający złośliwemu adresowi IP	Tylko w przypadku złośliwych adresów IP.

Uwaga

NTAIPDetails w dziennikach przepływu sieci wirtualnej zastępuje AzureNetworkAnalyticsIPDetails_CL używane w dziennikach przepływu sieciowej grupy zabezpieczeń.
Analiza ruchu może rejestrować dowolną złośliwą nazwę FQDN skojarzona z adresem IP pod kątem złośliwych przepływów. Aby odfiltrować, użyj w razie potrzeby pól portów, adresów URL i domeny.

W poniższej tabeli przedstawiono schemat publicznego adresu IP.

Pole	Formatuj	Komentarze
TableName	AzureNetworkAnalyticsIPDetails_CL	Tabela zawierająca dane szczegółów adresu IP analizy ruchu.
SubType_s	Dziennik przepływu	Podtyp dzienników przepływu. Użyj tylko ciągu "FlowLog", inne wartości SubType_s są przeznaczone dla wewnętrznych elementów roboczych produktu.
FASchemaVersion_s	2	Wersja schematu. Nie odzwierciedla wersji dziennika przepływu sieciowej grupy zabezpieczeń.
FlowIntervalStartTime_t	Data i godzina w formacie UTC	Godzina rozpoczęcia interwału przetwarzania dziennika przepływu (czas, z którego mierzony jest interwał przepływu).
FlowIntervalEndTime_t	Data i godzina w formacie UTC	Godzina zakończenia interwału przetwarzania dziennika przepływu.
FlowType_s	— AzurePublic - ExternalPublic (Zewnętrzny) - Złośliwy przepływ	Zobacz Uwagi dotyczące definicji.
Adres IP	Publiczny adres IP	Publiczny adres IP, którego informacje są podane w rekordzie.
Lokalizacja	Lokalizacja adresu IP	— W przypadku publicznego adresu IP platformy Azure: region sieci wirtualnej/interfejsu sieciowego/maszyny wirtualnej, do której należy adres IP LUB globalny dla adresu IP 168.63.129.16. - W przypadku zewnętrznego publicznego adresu IP i złośliwego adresu IP: 2-literowy kod kraju, w którym znajduje się adres IP (ISO 3166-1 alfa-2).
PublicIPDetails (Publiczne Adresy IP)	Informacje o adresie IP	— W przypadku adresu IP AzurePublic: usługa platformy Azure będąca właścicielem adresu IP lub wirtualnego adresu IP firmy Microsoft dla adresu 168.63.129.16. - ExternalPublic/Złośliwy adres IP: WhoIS informacji o adresie IP.
Typ zagrożenia	Zagrożenie stwarzane przez złośliwy adres IP	W przypadku tylko złośliwych adresów IP: jedno z zagrożeń z listy aktualnie dozwolonych wartości (zobacz Typy zagrożeń).
Opis zagrożenia	Opis zagrożenia	Tylko w przypadku złośliwych adresów IP. Opis zagrożenia stwarzanego przez złośliwy adres IP.
Domena DNS	Domena DNS	Tylko w przypadku złośliwych adresów IP. Nazwa domeny skojarzona ze złośliwym adresem IP.
Adres URL	Adres URL odpowiadający złośliwemu adresowi IP	Tylko w przypadku złośliwych adresów IP.
Port	Port odpowiadający złośliwemu adresowi IP	Tylko w przypadku złośliwych adresów IP.

Typy zagrożeń

W poniższej tabeli wymieniono obecnie dozwolone wartości pola ThreatType w schemacie szczegółów adresu IP analizy ruchu.

Wartość	Opis
Botnet (botnet)	Wskaźnik szczegółowo opisujący węzeł/element członkowski botnetu.
Klasa C2	Wskaźnik szczegółowo węzła poleceń i sterowania botnetu.
Kopanie kryptowalut	Ruch związany z tym adresem sieciowym/adresem URL wskazuje na nadużycie CyrptoMining/Resource.
DarkNet (Sieć DarkNet)	Wskaźnik węzła/sieci Darknet.
Atak DDoS	Wskaźniki dotyczące aktywnej lub nadchodzącej kampanii DDoS.
Złośliwy adres URL	Adres URL obsługujący złośliwe oprogramowanie.
Złośliwe oprogramowanie	Wskaźnik opisujący złośliwy plik lub pliki.
Wyłudzanie informacji	Wskaźniki dotyczące kampanii wyłudzającej informacje.
serwer pośredniczący	Wskaźnik usługi serwera proxy.
PUA	Potencjalnie niepożądane aplikacje.
Lista do obejrzenia	Ogólny zasobnik, w którym wskaźniki są umieszczane, gdy nie można określić dokładnie tego, co to jest zagrożenie lub wymaga ręcznej interpretacji. `WatchList` zazwyczaj nie powinny być używane przez partnerów przesyłając dane do systemu.

Uwagi

W przypadku przepływów AzurePublic i ExternalPublic adres IP maszyny wirtualnej platformy Azure należący do klienta jest wypełniany w VMIP_s polu, podczas gdy publiczne adresy IP są wypełniane w PublicIPs_s polu. W przypadku tych dwóch typów przepływów należy użyć pól VMIP_s i PublicIPs_s zamiast SrcIP_s i DestIP_s . W przypadku adresów IP AzurePublic i ExternalPublic agregujemy dalej, aby liczba rekordów pozyskanych do obszaru roboczego usługi Log Analytics jest minimalna. (To pole będzie przestarzałe. Użyj SrcIP_s i DestIP_s w zależności od tego, czy maszyna wirtualna była źródłem, czy miejscem docelowym w przepływie).
Niektóre nazwy pól są dołączane za pomocą _s elementu lub _d, które nie oznaczają źródła i miejsca docelowego, ale wskazują odpowiednio ciąg typów danych i dziesiętne.
Na podstawie adresów IP zaangażowanych w przepływ kategoryzujemy przepływy na następujące typy przepływów:
- IntraVNet: Oba adresy IP w przepływie znajdują się w tej samej sieci wirtualnej platformy Azure.
- InterVNet: adresy IP w przepływie znajdują się w dwóch różnych sieciach wirtualnych platformy Azure.
- S2S (Lokacja-lokacja): jeden z adresów IP należy do sieci wirtualnej platformy Azure, a drugi adres IP należy do sieci klienta (lokacji) połączonej z siecią wirtualną za pośrednictwem bramy sieci VPN lub usługi ExpressRoute.
- P2S (Punkt-lokacja): jeden z adresów IP należy do sieci wirtualnej platformy Azure, a drugi adres IP należy do sieci klienta (lokacji) połączonej z siecią wirtualną platformy Azure za pośrednictwem bramy sieci VPN.
- AzurePublic: jeden z adresów IP należy do sieci wirtualnej platformy Azure, a drugi adres IP jest publicznym adresem IP platformy Azure należącym do firmy Microsoft. Publiczne adresy IP klienta nie są częścią tego typu przepływu. Na przykład każda maszyna wirtualna należąca do klienta wysyłająca ruch do usługi platformy Azure (punkt końcowy usługi Storage) zostanie skategoryzowana w ramach tego typu przepływu.
- ExternalPublic: Jeden z adresów IP należy do sieci wirtualnej platformy Azure, a drugi adres IP jest publicznym adresem IP, który nie jest własnością firmy Microsoft lub częścią subskrypcji należącej do klienta widocznej dla analizy ruchu i nie jest zgłaszany jako złośliwy w kanałach informacyjnych usługi ASC, z których korzysta analiza ruchu na potrzeby interwału przetwarzania między FlowIntervalStartTime_t i FlowIntervalEndTime_t.
- MaliciousFlow: Jeden z adresów IP należy do sieci wirtualnej platformy Azure, a drugi adres IP jest publicznym adresem IP, który nie jest własnością firmy Microsoft lub częścią subskrypcji należącej do klienta widocznej w analizie ruchu i jest zgłaszany jako złośliwy w kanałach informacyjnych usługi ASC używanych przez analizę ruchu na potrzeby interwału przetwarzania między FlowIntervalStartTime_t i FlowIntervalEndTime_t.
- UnknownPrivate: jeden z adresów IP należy do sieci wirtualnej platformy Azure, podczas gdy drugi adres IP należy do prywatnego zakresu adresów IP zdefiniowanego w dokumencie RFC 1918 i nie można go zamapować przez analizę ruchu do witryny należącej do klienta lub sieci wirtualnej platformy Azure.
- Unknown: Nie można zamapować jednego z adresów IP w przepływie z topologią klienta na platformie Azure i lokalną (lokacją).

Uwaga

Subskrypcja jest widoczna dla analizy ruchu w obszarze roboczym usługi Log Analytics, jeśli zawiera dziennik przepływu skonfigurowany dla tego obszaru roboczego.

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-08-20

Udostępnij przez

Schemat analizy ruchu i agregacja danych

Agregacja danych

Schemat analizy ruchu

Schemat szczegółów publicznego adresu IP

Typy zagrożeń

Uwagi

Powiązana zawartość

Sprzężenie zwrotne

Dodatkowe źródła