Agente di raccolta traffico Azure ExpressRoute

L'agente di raccolta traffico ExpressRoute consente il campionamento dei flussi di rete inviati sui circuiti ExpressRoute. I log dei flussi vengono inviati a un'area di lavoro Log Analytics in cui è possibile creare query di log personalizzate per un'ulteriore analisi. È anche possibile esportare i dati in qualsiasi strumento di visualizzazione o SIEM (Security Information and Event Management) di propria scelta. I log dei flussi possono essere abilitati sia per il peering privato che per il peering Microsoft con l'agente di raccolta traffico ExpressRoute.

Diagramma dell'agente di raccolta traffico di ExpressRoute in un ambiente Azure.

Utilizzare casi

I log dei flussi consentono di esaminare varie informazioni dettagliate sul traffico. Di seguito sono illustrati alcuni casi d'uso comuni:

Monitoraggio della rete

  • Monitorare il traffico del peering privato di Azure e del peering Microsoft
  • Visibilità near real-time sulla velocità effettiva e sulle prestazioni della rete
  • Eseguire la diagnosi della rete
  • Previsione della capacità

Monitorare l'utilizzo della rete e l'ottimizzazione dei costi

  • Analizzare le tendenze del traffico filtrando i flussi campionati in base a IP, porta o applicazioni
  • Talker principali per un indirizzo IP di origine, un indirizzo IP di destinazione o applicazioni
  • Ottimizzare le spese per il traffico di rete analizzando le tendenze del traffico

Analisi forense della rete

  • Identificare gli indirizzi IP compromessi analizzando tutti i flussi di rete associati
  • Esportare i log dei flussi in uno strumento SIEM (Security Information and Event Management) per monitorare, correlare gli eventi, generare avvisi di sicurezza

Raccolta e campionamento dei log dei flussi

I log dei flussi vengono raccolti a intervalli di 1 minuto. Tutti i pacchetti raccolti per un determinato flusso vengono aggregati e importati in un'area di lavoro Log Analytics per ulteriori analisi. Durante la raccolta dei flussi, non tutti i pacchetti vengono acquisiti nel proprio record di flusso. L'agente di raccolta traffico ExpressRoute usa una frequenza di campionamento di 1:4096, ovvero viene acquisito 1 pacchetto su ogni 4096 pacchetti. Pertanto, i flussi a bassa frequenza di campionamento (in byte totali) potrebbero non essere raccolti. Questa dimensione di campionamento non influisce sull'analisi del traffico di rete quando i dati campionati vengono aggregati in un periodo di tempo più lungo. Il tempo di raccolta dei flussi e la frequenza di campionamento sono fissi e non possono essere modificati.

Circuiti ExpressRoute supportati

L'agente di raccolta traffico ExpressRoute supporta i circuiti gestiti dal provider e i circuiti ExpressRoute Direct. Attualmente l'agente di raccolta traffico ExpressRoute supporta solo i circuiti con una larghezza di banda di 1 Gbps o superiore.

Schema del log dei flussi

Column Type Descrizione
ATCRegion string Area di distribuzione dell'agente di raccolta traffico ExpressRoute.
ATCResourceId string ID risorsa di Azure dell'agente di raccolta traffico ExpressRoute.
BgpNextHop string Hop successivo BGP (Border Gateway Protocol) definito nella tabella di routing.
DestinationIp string Indirizzo IP di destinazione.
DestinationPort int Porta di destinazione TCP.
Dot1qCustomerVlanId int VlanId Dot1q del cliente.
Dot1qVlanId int VlanId Dot1q.
DstAsn int Numero sistema autonomo (ASN) di destinazione.
DstMask int Maschera della subnet di destinazione.
DstSubnet string Rete virtuale di destinazione dell'INDIRIZZO IP di destinazione.
ExRCircuitDirectPortId string ID risorsa di Azure della porta diretta del circuito ExpressRoute.
ExRCircuitId string ID risorsa di Azure del circuito ExpressRoute.
ExRCircuitServiceKey string Chiave di servizio del circuito ExpressRoute.
FlowRecordTime datetime Timestamp (UTC) in cui il circuito ExpressRoute ha generato questo record di flusso.
Flowsequence long Sequenza di questo flusso.
IcmpType int Tipo di protocollo specificato nell'intestazione IP.
IpClassOfService int Classe IP del servizio specificata nell'intestazione IP.
IpProtocolIdentifier int Tipo di protocollo specificato nell'intestazione IP.
IpVerCode int Versione IP definita nell'intestazione IP.
MaxTtl int Durata massima (TTL) definita nell'intestazione IP.
MinTtl int Durata minima (TTL) definita nell'intestazione IP.
NextHop string Hop successivo in base alla tabella di inoltro.
NumberOfBytes long Numero totale di byte dei pacchetti acquisiti in questo flusso.
NumberOfPackets long Numero totale di pacchetti acquisiti in questo flusso.
OperationName string Operazione specifica dell'agente di raccolta traffico ExpressRoute che ha generato questo record di flusso.
PeeringType string Tipo di peering del circuito ExpressRoute.
Protocollo int Tipo di protocollo specificato nell'intestazione IP.
_ResourceId string Identificatore univoco della risorsa a cui è associato il record.
SchemaVersion string Versione dello schema del record di flusso.
SourceIp string Indirizzo IP di origine.
SourcePort int Porta di origine TCP.
SourceSystem string
SrcAsn int Numero sistema autonomo (ASN) di origine.
SrcMask int Maschera della subnet di origine.
SrcSubnet string Rete virtuale di origine dell'INDIRIZZO IP di origine.
_SubscriptionId string Identificatore univoco della sottoscrizione a cui è associato il record
TcpFlag int Flag TCP definito nell'intestazione TCP.
TenantId string
TimeGenerated datetime Timestamp (UTC) in cui l'agente di raccolta traffico ExpressRoute ha generato questo record di flusso.
Type string Nome della tabella

Aree di disponibilità

L'agente di raccolta traffico ExpressRoute è supportato nelle aree seguenti:

Si noti che se l'area desiderata non è ancora supportata, è possibile distribuire Agente di raccolta traffico ExpressRoute in un'altra area nella stessa area geo-politica del circuito ExpressRoute.

Paese Nome area
America del Nord
  • Canada orientale
  • Canada centrale
  • Stati Uniti centrali
  • Stati Uniti centrali EUAP
  • Stati Uniti centro-settentrionali
  • Stati Uniti centro-meridionali
  • Stati Uniti centro-occidentali
  • Stati Uniti orientali
  • Stati Uniti orientali 2
  • Stati Uniti occidentali
  • West US 2
  • Stati Uniti occidentali 3
America del Sud
  • Brasile meridionale
  • Brasile meridionale
Europa
  • Europa occidentale
  • Europa settentrionale
  • Regno Unito meridionale
  • Regno Unito occidentale
  • Francia centrale
  • Francia meridionale
  • Germania settentrionale
  • Germania centro-occidentale
  • Svezia centrale
  • Svezia meridionale
  • Svizzera settentrionale
  • Svizzera occidentale
  • Norvegia orientale
  • Norvegia occidentale
  • Italia settentrionale
  • Polonia Centrale
Asia
  • Asia orientale
  • Asia sud-orientale
  • India centrale
  • India meridionale
  • Giappone occidentale
  • Corea meridionale
  • Emirati Arabi Uniti settentrionali
  • Emirati Arabi Uniti centrali
Africa
  • Sudafrica settentrionale
  • Sudafrica occidentale
Pacifico
  • Australia centrale
  • Australia centrale 2
  • Australia orientale
  • Australia sud-orientale

Prezzi

Zona Tempo di attività dell'istanza dell'agente di raccolta Dati elaborati per GB
Zona 1 $0,60/ora $0,10/GB
Zona 2 $0,80/ora $0,20/GB
Zona 3 $0,80/ora $0,20/GB

Passaggi successivi