流量分析結構描述和資料彙總

流量分析是一個雲端式解決方案，可顯示雲端網路中的使用者和應用程式活動。流量分析可以分析 Azure 網路監看員流量記錄，以針對 Azure 雲端中的流量流程提供見解。透過流量分析，您可以：

視覺化您的 Azure 訂用帳戶之間的網路活動，並識別作用點。
透過開放的連接埠、嘗試存取網際網路的應用程式，和連線至流氓惡意網路的虛擬機器 (VM) 等資訊，識別網路的安全性威脅並保護您的網路。
了解各個 Azure 區域間和網際網路的流量流程模式，使網路部署達到最理想的效能和容量。
找出導致網路連線失敗的網路設定錯誤。
了解以位元組、封包或流量計算的網路使用量。

資料彙總

虛擬網路流量記錄
網路安全性群組流量記錄

FlowIntervalStartTime 與 FlowIntervalEndTime 之間的所有流量記錄都會以一分鐘間隔擷取為儲存體帳戶中的 Blob。
流量分析的預設處理間隔為 60 分鐘，這表示每一個小時流量分析都會從儲存體帳戶中挑選 Blob 以進行彙總。不過，如果選取的處理間隔為 10 分鐘，則流量分析會改為每隔 10 分鐘從儲存體帳戶挑選 Blob。
具有相同 Source IP、Destination IP、Destination port、NSG name、NSG rule、Flow Direction 和 Transport layer protocol (TCP or UDP) 的流量會由流量分析加入單一流量 (注意：來源連接埠會針對彙總排除)。
此單一記錄會加以裝飾 (下方小節中有詳細資料)，並由流量分析內嵌至 Azure 監視器記錄。此流程可能需要花費 1 小時。
FlowStartTime 欄位表示在 FlowIntervalStartTime 與 FlowIntervalEndTime 之間的流量記錄處理間隔中，第一次出現這類彙總流量 (相同的四元組)。
對於流量分析中的任何資源，Azure 入口網站中指出的流程是所看到的流程總計，但在 Azure 監視器記錄中，使用者只會看到經過縮減的單一記錄。若要查看所有流量，請使用可從儲存體參考的 blob_id 欄位。該記錄的流量總計會符合 Blob 中所見的個別流量數。

FlowIntervalStartTime_t 與 FlowIntervalEndTime_t 之間網路安全性群組的所有流量記錄都會以一分鐘間隔擷取為儲存體帳戶中的 Blob。
流量分析的預設處理間隔為 60 分鐘，這表示每一個小時流量分析都會從儲存體帳戶中挑選 Blob 以進行彙總。不過，如果選取的處理間隔為 10 分鐘，則流量分析會改為每隔 10 分鐘從儲存體帳戶挑選 Blob。
具有相同 Source IP、Destination IP、Destination port、NSG name、NSG rule、Flow Direction 和 Transport layer protocol (TCP or UDP) 的流量會由流量分析加入單一流量 (注意：來源連接埠會針對彙總排除)。
此單一記錄會加以裝飾 (下方小節中有詳細資料)，並由流量分析內嵌至 Azure 監視器記錄。此流程可能需要花費 1 小時。
FlowStartTime_t 欄位表示在 FlowIntervalStartTime_t 與 FlowIntervalEndTime_t 之間的流量記錄處理間隔中，第一次出現這類彙總流量 (相同的四元組)。
針對流量分析中的任何資源，Azure 入口網站中指出的流程是網路安全性群組所看到的流程總計，但在 Azure 監視器記錄中，使用者只會看到經過縮減的單一記錄。若要查看所有流量，請使用可從儲存體參考的 blob_id 欄位。該記錄的流量總計會符合 Blob 中所見的個別流量數。

流量分析結構描述

流量分析會建置在 Azure 監視器記錄之上，因此您可以在由流量分析裝飾的資料上執行自訂查詢，並在其上方設定警示。

虛擬網路流量記錄
網路安全性群組流量記錄

下表列出結構描述中的欄位，以及它們代表虛擬網路流量記錄的欄位。如需詳細資訊，請參閱 NTANetAnalytics。

欄位	格式	註解
表名	NTANetAnalytics	流量分析資料的資料表。
SubType	FlowLog	流量記錄的子類型。僅使用 FlowLog，SubType 的其他值會用於內部用途。
FASchemaVersion	3	結構描述版本。不會反映虛擬網路流量記錄版本。
處理時間	日期和時間 (UTC)	流量分析處理儲存體帳戶中原始流量記錄的時間。
FlowIntervalStartTime	日期和時間 (UTC)	流量記錄處理間隔的開始時間 (測量流程間隔的時間)。
FlowIntervalEndTime	日期和時間 (UTC)	流量記錄處理間隔的結束時間。
FlowStartTime	日期和時間 (UTC)	在 `FlowIntervalStartTime` 與 `FlowIntervalEndTime` 之間的流量記錄處理間隔中，第一次出現流量 (其會進行彙總)。此流程會根據彙總邏輯進行彙總。
FlowEndTime	日期和時間 (UTC)	在 `FlowIntervalStartTime` 與 `FlowIntervalEndTime` 之間的流量記錄處理間隔中，最後一次出現流程 (其會進行彙總)。
FlowType	- 內部VNet - InterVNet - S2S - P2S - AzurePublic - 外部公用 - 惡意流量 - 未知私人 - 未知	請參閱備註以取得定義。
SrcIp	來源 IP 位址	在 AzurePublic 和 ExternalPublic 流程為空白。
DestIp	目的地 IP 位址	在 AzurePublic 和 ExternalPublic 流程為空白。
目標資源Id	ResourceGroupName/ResourceName （資源組名稱/資源名稱）	已啟用流量記錄和流量分析之資源的識別碼。
目標資源類型	虛擬網路/子網/網路介面	已啟用流量記錄和流量分析之資源的類型 (虛擬網路、子網路、NIC 或網路安全性群組)。
FlowLogResourceId	ResourceGroupName/NetworkWatcherName/FlowLogName	流量記錄的資源識別碼。
DestPort	目的地連接埠	流量傳入的連接埠。
L4協定	- 時間 - U	傳輸通訊協定。 T = TCP 協定 U = UDP
L7協定	通訊協定名稱	衍生自目的地連接埠。
FlowDirection	- I = 輸入 - O = 輸出	流量方向：根據流量記錄輸入或輸出目標資源。
流狀態	- A = 允許 - D = 拒絕	流量狀態：每個流量記錄的目標資源允許或拒絕。
AclList	<訂閱 ID>/<resourcegroup_Name>/<NSG_Name>	與流程相關聯的網路安全性群組。
AclRule	NSG 規則名稱	允許或拒絕流程的網路安全性群組規則。
MAC 位址	MAC 位址	擷取流程所在之 NIC 的 MAC 位址。
SrcSubscription	訂用帳戶識別碼	流程中來源 IP 所屬虛擬網路/網路介面/虛擬機器的訂用帳戶識別碼。
DestSubscription	訂用帳戶識別碼	流程中目的地 IP 所屬虛擬網路/網路介面/虛擬機器的訂用帳戶識別碼。
SrcRegion	Azure 區域	流程中來源 IP 所屬虛擬網路/網路介面/虛擬機器的 Azure 區域。
DestRegion	Azure 區域	流程中目的地 IP 所屬虛擬網路的 Azure 區域。
SrcNic	<資源群組_名稱>/<網路介面名稱>	與流程中來源 IP 相關聯的 NIC。
DestNic	<資源群組_名稱>/<網路介面名稱>	與流程中目的地 IP 相關聯的 NIC。
SrcVm	<resourcegroup_Name>/<VirtualMachineName>	與流程中來源 IP 相關聯的虛擬機器。
DestVm	<resourcegroup_Name>/<VirtualMachineName>	與流程中目的地 IP 相關聯的虛擬機器。
SrcSubnet	< >ResourceGroup_Name/<VirtualNetwork_Name>/<子網名稱>	與流程中來源 IP 相關聯的子網路。
DestSubnet	< >ResourceGroup_Name/<VirtualNetwork_Name>/<子網名稱>	與流程中目的地 IP 相關聯的子網路。
SrcApplicationGateway	<訂閱 ID>/<資源群組名稱>/<應用程式閘道名稱>	與流程中來源 IP 相關聯的應用程式閘道。
DestApplicationGateway	<訂閱 ID>/<資源群組名稱>/<應用程式閘道名稱>	與流程中目的地 IP 相關聯的應用程式閘道。
SrcExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute 線路識別碼 - 當流程是透過 ExpressRoute 從網站傳送時。
DestExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute 線路識別碼 - 當流程是由 ExpressRoute 從雲端接收時。
ExpressRouteCircuitPeeringType	- AzurePrivatePeering - AzurePublicPeering - 微軟對等互連	流程中涉及的 ExpressRoute 對等互連類型。
SrcLoadBalancer	<SubscriptionID>/<資源群組名稱>/<負載平衡器名稱>	與流程中來源 IP 相關聯的負載平衡器。
DestLoadBalancer	<SubscriptionID>/<資源群組名稱>/<負載平衡器名稱>	與流程中目的地 IP 相關聯的負載平衡器。
SrcLocalNetworkGateway	<訂閱 ID>/<資源群組名稱>/<本地網路閘道名稱>	與流程中來源 IP 相關聯的本機網路閘道。
DestLocalNetworkGateway	<訂閱 ID>/<資源群組名稱>/<本地網路閘道名稱>	與流程中目的地 IP 相關聯的本機網路閘道。
連接類型	- VNet對等互連 - VPN網關 - ExpressRoute	連線類型。
連接名稱	<訂閱ID>/<ResourceGroupName>/<連接名稱>	連線名稱。針對流程類型 P2S，其會格式化為 <GatewayName>_<VPNClientIP>
連接 VNet	以空格分隔的虛擬網路名稱清單。	在中樞和支點拓撲中，會在此填入中樞虛擬網路。
國家/地區	雙字母國碼 (地區碼) (ISO 3166-1 alpha-2)	使用 ExternalPublic 流程類型時填入。 PublicIPs 欄位中的所有 IP 位址都會共用相同的國碼 (地區碼)。
AzureRegion	Azure 區域位置	使用 AzurePublic 流程類型時填入。 PublicIPs 欄位中的所有 IP 位址都會共用 Azure 區域。
AllowedInFlows	-	允許的輸入流程計數，其代表輸入網路介面 (擷取流程的位置) 且共用相同四元組的流程數。
DeniedInFlows	-	拒絕的輸入流程計數。 (輸入至擷取流程的網路介面)。
AllowedOutFlows	-	允許的輸出流程計數 (輸出至擷取流程的網路介面)。
DeniedOutFlows	-	拒絕的輸出流量計數 (輸出至擷取流量的網路介面)。
PacketsDestToSrc	-	代表從目的地傳送至流程來源的封包
PacketsSrcToDest	-	表示從來源傳送至流程目的地的封包。
BytesDestToSrc	-	表示從目的地傳送至流量來源的位元組。
BytesSrcToDest	-	表示從來源傳送至流程目的地的位元組。
CompletedFlows	-	完成的流程總數 (當流程取得已完成事件時填入非零值)。
SrcPublicIPs	<SOURCE_PUBLIC_IP>\|<FLOW_STARTED_COUNT>\|<FLOW_ENDED_COUNT>\|<OUTBOUND_PACKETS>\|<INBOUND_PACKETS>\|<OUTBOUND_BYTES>\|<INBOUND_BYTES>	以分隔線分隔的項目。
DestPublicIPs	<DESTINATION_PUBLIC_IP>\|<FLOW_STARTED_COUNT>\|<FLOW_ENDED_COUNT>\|<OUTBOUND_PACKETS>\|<INBOUND_PACKETS>\|<OUTBOUND_BYTES>\|<INBOUND_BYTES>	以分隔線分隔的項目。
流加密	- 已加密 - 未加密 - 不支援的硬體 - 軟體尚未就緒 - 因為沒有加密而卸除 - 不支援探索 - 目的地位於相同的主機上 - 回復為無加密。	流程的加密層級。
私有端點資源識別碼	<資源群組/私有端點資源>	私人端點的資源識別碼。當流程流向私人端點資源或從中流動時填入。
PrivateLinkResourceId	<ResourceGroup/ResourceType/privateLinkResource>	私人連結服務的資源識別碼。當流程流向私人端點資源或從中流動時填入。
PrivateLinkResourceName （私有鏈接資源名稱）	純文字	私人連結服務的資源名稱。當流程流向私人端點資源或從中流動時填入。
IsFlowCapturedAtUDRHop	- 真 -偽	如果流程是在 UDR 躍點擷取，則值為 True。

附註

虛擬網路流量記錄中的 NTANetAnalytics 會取代網路安全性群組流量記錄中使用的 AzureNetworkAnalytics_CL。

下表列出結構描述中的欄位，以及它們代表網路安全性群組流量記錄的欄位。

欄位	格式	註解
表名	AzureNetworkAnalytics_CL	流量分析資料的資料表。
SubType_s	FlowLog	流量記錄的子類型。僅使用 FlowLog，SubType_s 的其他值會用於內部用途。
FASchemaVersion_s	2	結構描述版本。不會反映網路安全性群組流量記錄版本。
TimeProcessed_t	日期和時間 (UTC)	流量分析處理儲存體帳戶中原始流量記錄的時間。
FlowIntervalStartTime_t	日期和時間 (UTC)	流量記錄處理間隔的開始時間 (測量流程間隔的時間)。
FlowIntervalEndTime_t	日期和時間 (UTC)	流量記錄處理間隔的結束時間。
FlowStartTime_t	日期和時間 (UTC)	在 `FlowIntervalStartTime_t` 與 `FlowIntervalEndTime_t` 之間的流量記錄處理間隔中，第一次出現流量 (其會進行彙總)。此流程會根據彙總邏輯進行彙總。
FlowEndTime_t	日期和時間 (UTC)	在 `FlowIntervalStartTime_t` 與 `FlowIntervalEndTime_t` 之間的流量記錄處理間隔中，最後一次出現流程 (其會進行彙總)。就流量記錄 v2 而言，此欄位包含相同四位元的最後流程 (在原始流程記錄中標示為 B) 起始的時間。
FlowType_s	- 內部VNet - InterVNet - S2S - P2S - AzurePublic - 外部公用 - 惡意流量 - 未知私人 - 未知	請參閱備註以取得定義。
SrcIP_s	來源 IP 位址	在 AzurePublic 和 ExternalPublic 流程為空白。
DestIP_s	目的地 IP 位址	在 AzurePublic 和 ExternalPublic 流程為空白。
VMIP_s	VM 的 IP	用於 AzurePublic 和 ExternalPublic 流程。
DestPort_d	目的地連接埠	流量傳入的連接埠。
L4Protocol_s	- 時間 - U	傳輸通訊協定。 T = TCP U = UDP。
L7Protocol_s	通訊協定名稱	衍生自目的地連接埠。
FlowDirection_s	- I = 輸入 - O = 輸出	流量方向：根據流量記錄輸入或輸出網路安全性群組。
FlowStatus_s	- A = 允許 - D = 拒絕	流程的狀態，根據流量記錄由網路安全性群組允許或拒絕。
NSGList_s	<訂閱 ID>/<resourcegroup_Name>/<NSG_Name>	與流程相關聯的網路安全性群組。
NSGRules_s	<索引值 0>\|<NSG_Rule_Name>\|<流量方向>\|<流量狀態>\|<FlowCount ProcessedByRule>	允許或拒絕此流程的網路安全性群組規則。
NSGRule_s	NSG 規則名稱	允許或拒絕此流程的網路安全性群組規則。
NSGRuleType_s	- 使用者定義 - 預設值	流程所使用的網路安全性群組規則類型。
MACAddress_s	MAC 位址	擷取流程所在之 NIC 的 MAC 位址。
Subscription_g	此欄位中會填入 Azure 虛擬網路/網路介面/虛擬機器的訂用帳戶	僅適用於 FlowType = S2S、P2S、AzurePublic、ExternalPublic、MaliciousFlow 和 UnknownPrivate 流程類型 (只有一端是 Azure 的流程類型)。
Subscription1_g	訂用帳戶識別碼	流程中來源 IP 所屬虛擬網路/網路介面/虛擬機器的訂用帳戶識別碼。
Subscription2_g	訂用帳戶識別碼	流程中目的地 IP 所屬虛擬網路/網路介面/虛擬機器的訂用帳戶識別碼。
Region_s	流程中 IP 所屬虛擬網路/網路介面/虛擬機器的 Azure 區域。	僅適用於 FlowType = S2S、P2S、AzurePublic、ExternalPublic、MaliciousFlow 和 UnknownPrivate 流程類型 (只有一端是 Azure 的流程類型)。
Region1_s	Azure 區域	流程中來源 IP 所屬虛擬網路/網路介面/虛擬機器的 Azure 區域。
Region2_s	Azure 區域	流程中目的地 IP 所屬虛擬網路的 Azure 區域。
NIC_s	<資源群組_名稱>/<網路介面名稱>	與 VM 傳送或接收流量相關聯的 NIC。
NIC1_s	<資源群組_名稱>/<網路介面名稱>	與流程中來源 IP 相關聯的 NIC。
NIC2_s	<資源群組_名稱>/<網路介面名稱>	與流程中目的地 IP 相關聯的 NIC。
VM_s	<資源群組_名稱>/<網路介面名稱>	與網路介面 NIC_s 相關聯的虛擬機器。
VM1_s	<resourcegroup_Name>/<VirtualMachineName>	與流程中來源 IP 相關聯的虛擬機器。
VM2_s	<resourcegroup_Name>/<VirtualMachineName>	與流程中目的地 IP 相關聯的虛擬機器。
Subnet_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<子網名稱>	與 NIC_s 相關聯的子網路。
Subnet1_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<子網名稱>	與流程中來源 IP 相關聯的子網路。
Subnet2_s	< >ResourceGroup_Name/<VirtualNetwork_Name>/<子網名稱>	與流程中目的地 IP 相關聯的子網路。
ApplicationGateway1_s	<訂閱 ID>/<資源群組名稱>/<應用程式閘道名稱>	與流程中來源 IP 相關聯的應用程式閘道。
ApplicationGateway2_s	<訂閱 ID>/<資源群組名稱>/<應用程式閘道名稱>	與流程中目的地 IP 相關聯的應用程式閘道。
ExpressRouteCircuit1_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute 線路識別碼 - 當流程是透過 ExpressRoute 從網站傳送時。
ExpressRouteCircuit2_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ExpressRoute 線路識別碼 - 當流程是由 ExpressRoute 從雲端接收時。
ExpressRouteCircuitPeeringType_s	- AzurePrivatePeering - AzurePublicPeering - 微軟對等互連	流程中涉及的 ExpressRoute 對等互連類型。
LoadBalancer1_s	<SubscriptionID>/<資源群組名稱>/<負載平衡器名稱>	與流程中來源 IP 相關聯的負載平衡器。
LoadBalancer2_s	<SubscriptionID>/<資源群組名稱>/<負載平衡器名稱>	與流程中目的地 IP 相關聯的負載平衡器。
LocalNetworkGateway1_s	<訂閱 ID>/<資源群組名稱>/<本地網路閘道名稱>	與流程中來源 IP 相關聯的本機網路閘道。
LocalNetworkGateway2_s	<訂閱 ID>/<資源群組名稱>/<本地網路閘道名稱>	與流程中目的地 IP 相關聯的本機網路閘道。
ConnectionType_s	- VNet對等互連 - VPN網關 - ExpressRoute	連線類型。
ConnectionName_s	<訂閱ID>/<ResourceGroupName>/<連接名稱>	連線名稱。針對流程類型 P2S，其會格式化為 <閘道名稱>_<VPN 用戶端 IP>。
ConnectingVNets_s	以空格分隔的虛擬網路名稱清單	如果是中樞和支點拓撲，則會在此填入中樞虛擬網路。
Country_s	雙字母國碼 (地區碼) (ISO 3166-1 alpha-2)	使用 ExternalPublic 流程類型時填入。 PublicIPs_s 欄位中的所有 IP 位址都會共用相同的國碼 (地區碼)。
AzureRegion_s	Azure 區域位置	使用 AzurePublic 流程類型時填入。 PublicIPs_s 欄位中的所有 IP 位址都會共用 Azure 區域。
AllowedInFlows_d		允許的輸入流程計數，其代表輸入網路介面 (擷取流程的位置) 且共用相同四元組的流程數。
DeniedInFlows_d		拒絕的輸入流程計數。 (輸入至擷取流程的網路介面)。
AllowedOutFlows_d		允許的輸出流程計數 (輸出至擷取流程的網路介面)。
DeniedOutFlows_d		拒絕的輸出流量計數 (輸出至擷取流量的網路介面)。
FlowCount_d	已被取代。符合相同四元組的總流程。如果是 ExternalPublic 和 AzurePublic 流程類型，計數也會包括來自各種 PublicIP 位址的流程。
InboundPackets_d	代表從目的地傳送至流程來源的封包	僅針對網路安全性群組流量記錄結構描述第 2 版填入。
OutboundPackets_d	代表從來源傳送至流程目的地的封包	僅針對網路安全性群組流量記錄結構描述第 2 版填入。
InboundBytes_d	代表從目的地傳送至流程來源的位元組	僅針對網路安全性群組流量記錄結構描述第 2 版填入。
OutboundBytes_d	代表從來源傳送至流程目的地的位元組	僅針對網路安全性群組流量記錄結構描述第 2 版填入。
CompletedFlows_d		僅針對網路安全性群組流量記錄結構描述第 2 版填入非零值。
PublicIPs_s	<PUBLIC_IP>\|<FLOW_STARTED_COUNT>\|<FLOW_ENDED_COUNT>\|<OUTBOUND_PACKETS>\|<INBOUND_PACKETS>\|<OUTBOUND_BYTES>\|<INBOUND_BYTES>	以分隔線分隔的項目。
SrcPublicIPs_s	<SOURCE_PUBLIC_IP>\|<FLOW_STARTED_COUNT>\|<FLOW_ENDED_COUNT>\|<OUTBOUND_PACKETS>\|<INBOUND_PACKETS>\|<OUTBOUND_BYTES>\|<INBOUND_BYTES>	以分隔線分隔的項目。
DestPublicIPs_s	<DESTINATION_PUBLIC_IP>\|<FLOW_STARTED_COUNT>\|<FLOW_ENDED_COUNT>\|<OUTBOUND_PACKETS>\|<INBOUND_PACKETS>\|<OUTBOUND_BYTES>\|<INBOUND_BYTES>	以分隔線分隔的項目。
IsFlowCapturedAtUDRHop_b	- 真 -偽	如果流程是在 UDR 躍點擷取，則值為 True。

重要事項

流量分析結構描述已於 2019 年 8 月 22 日更新。新的結構描述會個別提供來源和目的地 IP，而不需要剖析 FlowDirection 欄位，因此查詢變得更簡單。更新的結構描述具有下列變更：

FASchemaVersion_s 已從 1 更新為 2。
已淘汰的欄位：VMIP_s、Subscription_g、Region_s、NSGRules_s、Subnet_s、VM_s、NIC_s、PublicIPs_s、FlowCount_d
新欄位：SrcPublicIPs_s、DestPublicIPs_s、NSGRule_s

公用 IP 詳細資料結構描述

流量分析可為您環境中的所有公用 IP 提供 WHOIS 資料和地理位置。針對惡意 IP，流量分析會提供 DNS 網域、威脅類型和執行緒描述，如 Microsoft 安全性情報解決方案所識別。 IP 詳細資料會發佈至 Log Analytics 工作區，以便您建立自訂查詢，並對其放置警示。您也可以從流量分析儀表板存取預先填入的查詢。

虛擬網路流量記錄
網路安全性群組流量記錄

下表詳細說明公用IP架構。如需詳細資訊，請參閱 NTAIpDetails。

欄位	格式	註解
表名	NTAIpDetails	包含流量分析 IP 詳細資料的資料表。
SubType	FlowLog	流量記錄的子類型。僅使用 FlowLog。 SubType 的其他值會用於產品的內部運作。
FASchemaVersion	3	結構描述版本。不會反映虛擬網路流量記錄版本。
FlowIntervalStartTime	日期和時間 (UTC)	流量記錄處理間隔的開始時間 (測量流程間隔的時間)。
FlowIntervalEndTime	日期和時間 (UTC)	流量記錄處理間隔的結束時間。
FlowType	- AzurePublic - 外部公用 - 惡意流量	請參閱備註以取得定義。
IP	公用 IP	記錄中有提供其資訊的公用 IP。
PublicIPDetails	IP 的相關資訊	針對 AzurePublic IP：擁有 IP 168.63.129.16 的 IP 或 Microsoft 虛擬公用 IP 的 Azure 服務。 ExternalPublic/惡意 IP：IP 的 WhoIS 資訊。
威脅類型	惡意 IP 所造成的威脅	僅限惡意 IP。目前允許值清單中的其中一個威脅。如需詳細資訊，請參閱備註。
DNS域名	DNS 網域	僅限惡意 IP。與此 IP 關聯的網域名稱。
威脅描述	威脅的描述	僅限惡意 IP。惡意 IP 所造成的威脅描述。
位置	IP 的位置	針對 Azure 公用 IP：IP 所屬的虛擬網路/網路介面/虛擬機器的 Azure 區域，或 IP 168.63.129.16 的全域範圍。針對外部公用 IP 和惡意 IP：IP 所在的雙字母國碼 (地區碼) (ISO 3166-1 alpha-2)。
Url	對應至惡意 IP 的 URL	僅限惡意 IP。
通訊埠	對應至惡意 IP 的連接埠	僅限惡意 IP。

附註

虛擬網路流量記錄中的 NTAIPDetails 會取代網路安全組流量記錄中使用的 AzureNetworkAnalyticsIPDetails_CL。
流量分析可以記錄與惡意流程 IP 相關聯的任何惡意 FQDN。若要篩選出，請視需要使用埠、URL 和網域欄位。

下表詳細說明公用IP架構。

欄位	格式	註解
表名	AzureNetworkAnalyticsIPDetails_CL	包含流量分析 IP 詳細資料的資料表。
SubType_s	FlowLog	流量記錄的子類型。僅使用 "FlowLog"，SubType_s 的其他值會用於產品的內部運作。
FASchemaVersion_s	2	結構描述版本。不會反映網路安全性群組流量記錄版本。
FlowIntervalStartTime_t	日期和時間 (UTC)	流量記錄處理間隔的開始時間 (測量流程間隔的時間)。
FlowIntervalEndTime_t	日期和時間 (UTC)	流量記錄處理間隔的結束時間。
FlowType_s	- AzurePublic - 外部公用 - 惡意流量	請參閱備註以取得定義。
IP	公用 IP	記錄中有提供其資訊的公用 IP。
位置	IP 的位置	- 針對 Azure 公用 IP：IP 所屬虛擬網路/網路介面/虛擬機器的 Azure 區域，或 IP 168.63.129.16 的全域範圍。 - 針對外部公用 IP 和惡意 IP：IP 所在的雙字母國碼 (地區碼) (ISO 3166-1 alpha-2)。
PublicIPDetails	IP 的相關資訊	- 針對 AzurePublic IP：擁有 168.63.129.16 的 IP 或 Microsoft 虛擬公用 IP 的 Azure 服務。 - ExternalPublic/惡意 IP：IP 的 WhoIS 資訊。
威脅類型	惡意 IP 所造成的威脅	僅限惡意IP：目前允許值清單中的其中一個威脅（請參閱威脅類型）。
威脅描述	威脅的描述	僅限惡意 IP。惡意 IP 所造成的威脅描述。
DNS域名	DNS 網域	僅限惡意 IP。與惡意 IP 相關聯的功能變數名稱。
Url	對應至惡意 IP 的 URL	僅限惡意 IP。
通訊埠	對應至惡意 IP 的連接埠	僅限惡意 IP。

威脅類型

下表列出了交通流量分析 IP 詳細資訊架構中欄位 ThreatType 的當前允許值。

值	說明
殭屍網路	詳細說明殭屍網路節點/成員的指標。
C2	詳細說明殭屍網路的命令與控制節點的指標。
加密挖礦	涉及此網路位址/URL 的流量代表 CyrptoMining /資源濫用。
暗網	Darknet 節點/網路的指標。
DDoS 攻擊	與作用中或即將到來的 DDoS 活動相關的指標。
惡意網址	提供惡意程式碼的 URL。
惡意程式碼	描述惡意檔案的指標。
網路釣魚	與網路釣魚活動相關的指標。
Proxy	Proxy 服務的指標。
PUA	潛在的垃圾應用程式。
WatchList	一般貯體，當無法確切判斷威脅是什麼，或需要手動解譯時，就會將指標放置其中。 `WatchList` 通常不應該由提交資料給系統的合作夥伴使用。

備註

如果是 AzurePublic 和 ExternalPublic 流程，則客戶擁有的 Azure 虛擬機器 IP 會在 VMIP_s 欄位中填入，而公用 IP 位址則會填入 PublicIPs_s 欄位中。針對這兩種流量類型，您應該使用 VMIP_s 和 PublicIPs_s，而不是使用 SrcIP_s 和 DestIP_s 欄位。針對 AzurePublic 和 ExternalPublic IP 位址，我們會進一步進行彙總，以便將擷取至 Log Analytics 工作區的記錄數目降到最低。 (此欄位將被取代。視虛擬機器是流程中的來源或目的地而定，使用SrcIP_s 和 DestIP_s)。
某些欄位名稱會附加 _s 或 _d，其並不表示來源和目的地，而是分別表示資料類型字串和十進位。
根據流程所涉及的 IP 位址，我們會將流程分為下列流程類型：
- IntraVNet：流程中的 IP 位址都位於相同的 Azure 虛擬網路中。
- InterVNet：流程中的 IP 位址位於兩個不同的 Azure 虛擬網路中。
- S2S (站對站)：其中一個 IP 位址屬於 Azure 虛擬網路，而另一個 IP 位址屬於客戶網路 (網站)，其透過 VPN 閘道或 ExpressRoute 連線到虛擬網路。
- P2S (點對站)：其中一個 IP 位址屬於 Azure 虛擬網路，而另一個 IP 位址屬於客戶網路 (網站)，其透過 VPN 閘道連線到 Azure 虛擬網路。
- AzurePublic：其中一個 IP 位址屬於 Azure 虛擬網路，而另一個 IP 位址則是 Microsoft 所擁有的 Azure 公用 IP 位址。客戶擁有的公用 IP 位址不屬於此流程類型。例如，任何客戶所擁有且將流量傳送至 Azure 服務 (儲存體端點) 的 VM 會分類為此流程類型。
- ExternalPublic：其中一個 IP 位址屬於 Azure 虛擬網路，而另一個 IP 位址是公用 IP，不屬於 Microsoft 所擁有，或流量分析可見的客戶擁有訂用帳戶的一部分，而且不會在流量分析在和 FlowIntervalStartTime_t之間的FlowIntervalEndTime_t處理間隔所取用的 ASC 摘要中報告為惡意。
- MaliciousFlow：其中一個 IP 位址屬於 Azure 虛擬網路，而另一個 IP 位址是公用 IP，不屬於 Microsoft 所擁有，或流量分析可見的客戶擁有訂用帳戶的一部分，而且會在流量分析在和之間的FlowIntervalStartTime_tFlowIntervalEndTime_t處理間隔所取用的 ASC 摘要中報告為惡意。
- UnknownPrivate：其中一個 IP 位址屬於 Azure 虛擬網路，而另一個 IP 位址屬於 RFC 1918 中定義的私人 IP 範圍，而且無法由流量分析對應至客戶擁有的網站或 Azure 虛擬網路。
- Unknown：無法將流程中的任一 IP 位址與 Azure 及內部部署環境 (網站) 中的客戶拓撲對應。

附註

如果訂用帳戶包含設定至 Log Analytics 工作區的流量記錄，則該訂用帳戶會對該工作區的流量分析可見。

意見反應

此頁面對您有幫助嗎？

Last updated on 2025-08-20