Métricas y registros de Azure FirewallAzure Firewall logs and metrics

Puede supervisar Azure Firewall mediante los registros del firewall.You can monitor Azure Firewall using firewall logs. También puede usar los registros de actividad para auditar las operaciones de los recursos de Azure Firewall.You can also use activity logs to audit operations on Azure Firewall resources.

Se puede acceder a algunos de estos registros mediante el portal.You can access some of these logs through the portal. Se pueden enviar registros a los registros de Azure Monitor, a Storage y a Event Hubs, y se pueden analizar en los registros de Azure Monitor o mediante otras herramientas como Excel y Power BI.Logs can be sent to Azure Monitor logs, Storage, and Event Hubs and analyzed in Azure Monitor logs or by different tools such as Excel and Power BI.

Las métricas son ligeras y pueden admitir escenarios casi en tiempo real, lo que las hace útiles para alertas y detección rápida de problemas.Metrics are lightweight and can support near real-time scenarios making them useful for alerting and fast issue detection.

Registros de diagnósticoDiagnostic logs

Los siguientes registros de diagnóstico están disponibles para Azure Firewall:The following diagnostic logs are available for Azure Firewall:

  • Registro de regla de aplicaciónApplication rule log

    El registro de la regla de aplicación se guarda en una cuenta de almacenamiento, se transmite a Event Hubs o se envía a los registros de Azure Monitor solo si se ha habilitado para cada instancia de Azure Firewall.The Application rule log is saved to a storage account, streamed to Event hubs and/or sent to Azure Monitor logs only if you've enabled it for each Azure Firewall. Cada nueva conexión que coincida con una de las reglas de la aplicación configuradas dará como resultado un registro de la conexión aceptada o rechazada.Each new connection that matches one of your configured application rules results in a log for the accepted/denied connection. Los datos se registran en formato JSON, tal y como se muestra en el ejemplo siguiente:The data is logged in JSON format, as shown in the following example:

    Category: application rule logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    
    {
      "category": "AzureFirewallApplicationRule",
      "time": "2018-04-16T23:45:04.8295030Z",
      "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
      "operationName": "AzureFirewallApplicationRuleLog",
      "properties": {
          "msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
      }
    }
    
  • Registro de regla de redNetwork rule log

    El registro de la regla de red se guarda en una cuenta de almacenamiento, se transmite a Event Hubs o se envía a los registros de Azure Monitor solo si se ha habilitado para cada instancia de Azure Firewall.The Network rule log is saved to a storage account, streamed to Event hubs and/or sent to Azure Monitor logs only if you've enabled it for each Azure Firewall. Cada nueva conexión que coincida con una de las reglas de red configuradas dará como resultado un registro de la conexión aceptada o rechazada.Each new connection that matches one of your configured network rules results in a log for the accepted/denied connection. Los datos se registran en formato JSON, tal y como se muestra en el ejemplo siguiente:The data is logged in JSON format, as shown in the following example:

    Category: network rule logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    
    {
      "category": "AzureFirewallNetworkRule",
      "time": "2018-06-14T23:44:11.0590400Z",
      "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
      "operationName": "AzureFirewallNetworkRuleLog",
      "properties": {
          "msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
      }
    }
    
    
  • Registro de proxy DNSDNS proxy log

    El registro de proxy DNS se guarda en una cuenta de almacenamiento, se transmite a Event Hubs o se envía a los registros de Azure Monitor solo si se ha habilitado para cada instancia de Azure Firewall.The DNS Proxy log is saved to a storage account, streamed to Event hubs, and/or sent to Azure Monitor logs only if you’ve enabled it for each Azure Firewall. Este registro realiza un seguimiento de los mensajes DNS a un servidor DNS configurado mediante el proxy DNS.This log tracks DNS messages to a DNS server configured using DNS proxy. Los datos se registran en formato JSON, tal y como se muestra en los ejemplos siguientes:The data is logged in JSON format, as shown in the following examples:

    Category: DNS proxy logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    

    Correcto:Success:

    {
       "category": "AzureFirewallDnsProxy",
       "time": "2020-09-02T19:12:33.751Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallDnsProxyLog",
       "properties": {
           "msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
       }
    }
    

    Error:Failed:

    {
       "category": "AzureFirewallDnsProxy",
       "time": "2020-09-02T19:12:33.751Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallDnsProxyLog",
       "properties": {
           "msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
       }
    }
    

    Formato msg:msg format:

    [client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]

Tiene tres opciones para almacenar los archivos de registro:You have three options for storing your logs:

  • Cuenta de almacenamiento: cuentas que resultan especialmente útiles para registros cuando estos se almacenan durante mucho tiempo y se revisan cuando es necesario.Storage account: Storage accounts are best used for logs when logs are stored for a longer duration and reviewed when needed.
  • Centros de eventos: es una buena opción para la integración con otras herramientas de administración de eventos e información de seguridad (SIEM) para obtener alertas sobre los recursos.Event hubs: Event hubs are a great option for integrating with other security information and event management (SEIM) tools to get alerts on your resources.
  • Registros de Azure Monitor: se usan para la supervisión general en tiempo real de la aplicación o para examinar las tendencias.Azure Monitor logs: Azure Monitor logs is best used for general real-time monitoring of your application or looking at trends.

Registros de actividadActivity logs

Las entradas del registro de actividades se recopilan de forma predeterminada y se pueden ver en Azure Portal.Activity log entries are collected by default, and you can view them in the Azure portal.

Puede usar el registro de actividades de Azure (anteriormente conocido como registros operativos y registros de auditoría) para ver todas las operaciones enviadas a sus suscripciones de Azure.You can use Azure activity logs (formerly known as operational logs and audit logs) to view all operations submitted to your Azure subscription.

MétricasMetrics

Las métricas de Azure Monitor son valores numéricos que describen algunos aspectos de un sistema en un momento dado.Metrics in Azure Monitor are numerical values that describe some aspect of a system at a particular time. Las métricas se recopilan cada minuto y son útiles para las alertas porque se pueden muestrear con frecuencia.Metrics are collected every minute, and are useful for alerting because they can be sampled frequently. Una alerta puede activarse rápidamente con una lógica relativamente simple.An alert can be fired quickly with relatively simple logic.

Las siguientes métricas están disponibles para Azure Firewall:The following metrics are available for Azure Firewall:

  • Número de llamadas de reglas de aplicación: el número de veces que se ha alcanzado una regla de aplicación.Application rules hit count - The number of times an application rule has been hit.

    Unidad: númeroUnit: count

  • Número de llamadas de reglas de red: el número de veces que se ha alcanzado una regla de red.Network rules hit count - The number of times a network rule has been hit.

    Unidad: númeroUnit: count

  • Datos procesados: suma de los datos que atraviesan el firewall en un período de tiempo determinado.Data processed - Sum of data traversing the firewall in a given time window.

    Unidad: bytesUnit: bytes

  • Rendimiento: velocidad de los datos que atraviesan el firewall por segundo.Throughput - Rate of data traversing the firewall per second.

    Unidad: bits por segundoUnit: bits per second

  • Estado de mantenimiento del firewall: indica el estado del firewall en base a la disponibilidad del puerto SNAT.Firewall health state - Indicates the health of the firewall based on SNAT port availability.

    Unit: porcentajeUnit: percent

    Esta métrica tiene dos dimensiones:This metric has two dimensions:

    • Estado: los valores posibles son Correcto, Degradado e Incorrecto.Status: Possible values are Healthy, Degraded, Unhealthy.

    • Motivo: indica el motivo del estado correspondiente del firewall.Reason: Indicates the reason for the corresponding status of the firewall.

      Si se usan puertos SNAT > 95 %, se consideran agotados y el mantenimiento tiene un 50 % con estado =degradado y razón =puerto SNAT.If SNAT ports are used > 95%, they are considered exhausted and the health is 50% with status=Degraded and reason=SNAT port. El firewall mantiene el procesamiento del tráfico y las conexiones existentes no se ven afectadas.The firewall keeps processing traffic and existing connections are not affected. Sin embargo, es posible que de forma intermitente no se establezcan las nuevas conexiones.However, new connections may not be established intermittently.

      Si se usan puertos SNAT < 95 %, el firewall se considera correcto y el mantenimiento se muestra como 100 %.If SNAT ports are used < 95%, then firewall is considered healthy and health is shown as 100%.

      Si no hay informe sobre el uso de puertos SNAT, el mantenimiento se muestra como 0 %.If no SNAT ports usage is reported, health is shown as 0%.

  • Uso de puertos SNAT: el porcentaje de puertos SNAT que el firewall ha utilizado.SNAT port utilization - The percentage of SNAT ports that have been utilized by the firewall.

    Unit: porcentajeUnit: percent

    Al agregar más direcciones IP públicas al firewall, hay más puertos SNAT disponibles, lo que reduce el uso de estos puertos.When you add more public IP addresses to your firewall, more SNAT ports are available, reducing the SNAT ports utilization. Además, cuando el firewall se escala horizontalmente por distintos motivos (por ejemplo, CPU o rendimiento), los puertos SNAT adicionales también pasan a estar disponibles.Additionally, when the firewall scales out for different reasons (for example, CPU or throughput) additional SNAT ports also become available. De forma eficaz, un porcentaje determinado del uso de puertos SNAT puede reducirse sin agregar ninguna dirección IP pública, simplemente porque el servicio se ha escalado horizontalmente. Puede controlar directamente el número de direcciones IP públicas disponibles para aumentar los puertos disponibles en el firewall.So effectively, a given percentage of SNAT ports utilization may go down without you adding any public IP addresses, just because the service scaled out. You can directly control the number of public IP addresses available to increase the ports available on your firewall. Sin embargo, no puede controlar directamente el escalado del firewall.But, you can't directly control firewall scaling.

Pasos siguientesNext steps