Monitorování protokolů a metrik Azure Firewallu

  • Článek
  • 4 min ke čtení

Bránu Azure Firewall můžete monitorovat pomocí protokolů brány firewall. K auditu operací na prostředcích brány Azure Firewall můžete také použít protokoly aktivit. Pomocí metrik můžete zobrazit čítače výkonu na portálu.

Některé z těchto protokolů jsou přístupné z webu Azure Portal. Protokoly je možné odeslat do protokolů Azure Monitor, Storage a Event Hubs a analyzovat je v protokolech Azure Monitor nebo pomocí různých nástrojů, jako jsou Excel a Power BI.

Poznámka

Tento článek byl nedávno aktualizován, aby používal Azure Monitor protokoly místo Log Analytics. Data protokolu se pořád ukládají do Log Analyticsho pracovního prostoru a pořád se shromažďují a analyzují pomocí stejné služby Log Analytics. Aktualizujeme terminologii, aby lépe odrážela roli protokolů v Azure monitor. Podrobnosti najdete v tématu Azure monitor změny terminologie .

Poznámka

Tento článek používá modul Azure Az PowerShell, což je doporučený modul PowerShellu pro interakci s Azure. Pokud chcete začít s modulem Az PowerShell, projděte si téma věnované instalaci Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Požadavky

Než začnete, přečtěte si Azure Firewall a metriky, ve které najdete přehled diagnostických protokolů a metrik dostupných pro Azure Firewall.

Povolení diagnostického protokolování prostřednictvím webu Azure Portal

Než se data v protokolech po dokončení tohoto procesu zapnutí protokolování diagnostiky zobrazí, může to trvat několik minut. Pokud nic nevidíte, zkuste to znovu po několika minutách.

  1. V Azure Portal otevřete skupinu prostředků brány firewall a vyberte bránu firewall.

  2. V části Monitorování vyberte Nastavení diagnostiky.

    Pro Azure Firewall jsou k dispozici čtyři protokoly specifické pro službu:

    • AzureFirewallApplicationRule
    • AzureFirewallNetworkRule
    • AzureFirewallDnsProxy

  3. Vyberte Přidat nastavení diagnostiky. Stránka Nastavení diagnostiky obsahuje nastavení diagnostických protokolů.

  4. V tomto příkladu Azure Monitor protokoly uloží, proto jako název zadejte Analýza protokolů brány firewall.

  5. V části Protokol vyberte AzureFirewallApplicationRule, AzureFirewallNetworkRule a AzureFirewallDnsProxy, abyste shromažďovaly protokoly.

  6. Vyberte Send to Log Analytics (Odeslat do Log Analytics) a nakonfigurujte pracovní prostor.

  7. Vyberte své předplatné.

  8. Vyberte Uložit.

Povolení protokolování diagnostiky pomocí PowerShellu

Protokolování aktivit je u každého prostředku Správce prostředků povolené automaticky. Abyste mohli začít shromažďovat data dostupná prostřednictvím těchto protokolů, musíte zapnout protokolování diagnostiky.

Pokud chcete povolit protokolování diagnostiky pomocí PowerShellu, postupujte následovně:

  1. Poznamenejte si ID prostředku pracovního prostoru služby Log Analytics, ve kterém jsou uložená data protokolu. Tato hodnota má tvar:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    Ve svém předplatném můžete použít libovolný pracovní prostor. Tuto informaci najdete pomocí webu Azure Portal Informace se nacházejí na stránce Vlastností prostředku.

  2. Poznamenejte si ID prostředku brány firewall. Tato hodnota má tvar:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    Tuto informaci najdete pomocí webu Azure Portal.

  3. Povolte protokolování diagnostiky pro všechny protokoly a metriky pomocí následující rutiny PowerShellu:

       $diagSettings = @{
   Name = 'toLogAnalytics'
   ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
   WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
   Enabled = $true
   }
Set-AzDiagnosticSetting  @diagSettings

Povolení protokolování diagnostiky pomocí Azure CLI

Protokolování aktivit je u každého prostředku Správce prostředků povolené automaticky. Abyste mohli začít shromažďovat data dostupná prostřednictvím těchto protokolů, musíte zapnout protokolování diagnostiky.

Pokud chcete povolit protokolování diagnostiky pomocí Azure CLI, postupujte následovně:

  1. Poznamenejte si ID prostředku pracovního prostoru služby Log Analytics, ve kterém jsou uložená data protokolu. Tato hodnota má tvar:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    Ve svém předplatném můžete použít libovolný pracovní prostor. Tuto informaci najdete pomocí webu Azure Portal Informace se nacházejí na stránce Vlastností prostředku.

  2. Poznamenejte si ID prostředku brány firewall. Tato hodnota má tvar:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    Tuto informaci najdete pomocí webu Azure Portal.

  3. Povolte protokolování diagnostiky pro všechny protokoly a metriky pomocí následujícího příkazu Azure CLI:

       az monitor diagnostic-settings create -n 'toLogAnalytics'
   --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
   --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
   --logs '[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]' 
   --metrics '[{\"category\": \"AllMetrics\",\"enabled\": true}]'

Zobrazení a analýza protokolu aktivit

Data protokolu aktivit si můžete zobrazit použitím jedné z následujících metod:

  • Nástroje Azure: Načtěte informace z protokolu aktivit prostřednictvím Azure PowerShellu, Azure CLI, rozhraní Azure REST API nebo webu Azure Portal. Podrobné pokyny k jednotlivým metodám najdete v článku o operacích s protokoly aktivit ve Správci prostředků.

  • Power BI: Pokud ještě účet Power BI nemáte, můžete ho vyzkoušet zdarma. Díky balíčku obsahu protokoly aktivit Azure pro Power BI můžete svá data analyzovat pomocí předkonfigurovaných řídicích panelů, které můžete použít okamžitě nebo si je upravit.

  • Microsoft Sentinel: Protokoly služby Azure Firewall můžete připojit ke službě Microsoft Sentinel. Díky tomu můžete zobrazit data protokolů v sešitech, používat je k vytváření vlastních upozornění Azure Firewall začlenit je za účelem vylepšení vyšetřování. Datový Azure Firewall Microsoft Sentinel je v současné době ve verzi Public Preview. Další informace najdete v tématu Připojení dat z Azure Firewall.

    Přehled najdete v následujícím videu od Mohita Kumara:

Zobrazení a analyzování protokolů pravidel sítě a aplikace

Azure Firewall Workbook poskytuje flexibilní plátno pro Azure Firewall dat. Můžete ji použít k vytváření bohatých vizuálních sestav v rámci Azure Portal. Můžete využít několik bran firewall nasazených v Azure a zkombinovat je do sjednocených interaktivních prostředí.

Můžete se také připojit k účtu úložiště a načíst položky protokolu JSON s protokoly přístupu a výkonu. Po stažení souborů JSON je můžete převést do formátu CSV a zobrazit si je v Excelu, Power BI nebo jiném nástroji s vizualizací dat.

Tip

Pokud znáte Visual Studio a máte představu, jak u konstant a proměnných v jazyce C# měnit hodnoty, můžete použít nástroje pro převedení protokolů, které jsou k dispozici na GitHubu.

Zobrazit metriky

Přejděte na Azure Firewall. V oblasti Monitorování vyberte Metriky. Chcete-li zobrazit dostupné hodnoty, vyberte rozevírací seznam METRIKA.

Další kroky

Teď, když jste bránu firewall nakonfigurovali tak, aby shromažďoval protokoly, můžete Azure Monitor a zobrazit data.