سجلات تشخيص Azure Firewall (قديمة)

مقالة
12/09/2023

سجلات التشخيص هي استعلامات سجل جدار حماية Azure الأصلية التي تقوم إخراج بيانات السجل بتنسيق نص غير منظم أو حر.

يتم دعم فئات السجل التالية في سجلات التشخيص:

قاعدة تطبيق Azure Firewall
قاعدة شبكة Azure Firewall
وكيل Azure Firewall DNS

سجل قاعدة التطبيق

يتم حفظ سجل قاعدة التطبيق في حساب تخزين، ويتم دفقه إلى مراكز الأحداث و/أو إرساله إلى سجلات Azure Monitor فقط إذا قمت بتمكينه لكل Azure Firewall. ينتج عن كل اتصال جديد يطابق إحدى قواعد التطبيق التي تم تكوينها سجل للاتصال المقبول/المرفوض. يتم تسجيل البيانات بتنسيق JSON، كما هو موضح في الأمثلة التالية:

Category: application rule logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.

{
 "category": "AzureFirewallApplicationRule",
 "time": "2018-04-16T23:45:04.8295030Z",
 "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
 "operationName": "AzureFirewallApplicationRuleLog",
 "properties": {
     "msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
 }
}

{
  "category": "AzureFirewallApplicationRule",
  "time": "2018-04-16T23:45:04.8295030Z",
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
  "operationName": "AzureFirewallApplicationRuleLog",
  "properties": {
      "msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals"
  }
}

سجل قاعدة الشبكة

يتم حفظ سجل قاعدة الشبكة في حساب تخزين، ويتم دفقه إلى مراكز الأحداث و/أو إرساله إلى سجلات Azure Monitor فقط إذا قمت بتمكينه لكل Azure Firewall. ينتج عن كل اتصال جديد يطابق إحدى قواعد الشبكة التي تم تكوينها سجل للاتصال المقبول/المرفوض. يتم تسجيل البيانات بتنسيق JSON، كما هو موضح في المثال التالي:

Category: network rule logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.

{
 "category": "AzureFirewallNetworkRule",
 "time": "2018-06-14T23:44:11.0590400Z",
 "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
 "operationName": "AzureFirewallNetworkRuleLog",
 "properties": {
     "msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
 }
}

سجل وكيل DNS

يتم حفظ سجل وكيل DNS في حساب تخزين، ويتم دفقه إلى مراكز الأحداث، و/أو إرساله إلى سجلات Azure Monitor فقط إذا قمت بتمكينه لكل جدار حماية Azure. يتعقب هذا السجل رسائل DNS إلى خادم DNS تم تكوينه باستخدام وكيل DNS. يتم تسجيل البيانات بتنسيق JSON، كما هو موضح في الأمثلة التالية:

Category: DNS proxy logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.

نجاح:

{
  "category": "AzureFirewallDnsProxy",
  "time": "2020-09-02T19:12:33.751Z",
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
  "operationName": "AzureFirewallDnsProxyLog",
  "properties": {
      "msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
  }
}

فشل:

{
  "category": "AzureFirewallDnsProxy",
  "time": "2020-09-02T19:12:33.751Z",
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
  "operationName": "AzureFirewallDnsProxyLog",
  "properties": {
      "msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
  }
}

تنسيق msg:

[client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]

التخزين

لديك ثلاثة خيارات لتخزين سجلاتك:

حساب التخزين: من الأفضل استخدام حسابات التخزين للسجلات حينما يتم تخزين السجلات لمدة أطول ومراجعتها عند الحاجة.
مراكز الأحداث: تعد مراكز الأحداث خياراً رائعاً للتكامل مع معلومات الأمان الأخرى وأدوات إدارة الأحداث (SIEM) للحصول على تنبيهات حول مواردك.
سجلات Azure Monitor من الأفضل استخدام سجلات Azure Monitor للمراقبة العامة في الوقت الفعلي لتطبيقك أو الاطلاع على الاتجاهات.

تمكين سجلات التشخيص

لمعرفة كيفية تمكين التسجيل التشخيصي باستخدام مدخل Microsoft Azure، راجع مراقبة سجلات Azure Firewall (القديمة) والمقاييس.

الخطوات التالية

مقاييس وتنبيهات Azure Firewall

Share via