Az Azure Firewall naplóinak és metrikáinak monitorozása

Az Azure Firewall tűzfalnaplókkal monitorozható. Az Azure Firewall-erőforrásokon végzett műveletek tevékenységnaplókkal is naplózhatók. A metrikákkal teljesítményszámlálókat tekinthet meg a portálon.

Ezen naplók egy része a portálról érhető el. A naplók elküldhetők Azure Monitornaplókba, Storage- és Event Hubs-naplókba, és elemezhetők Azure Monitor-naplókban vagy különböző eszközökkel, például Excel és Power BI.

Megjegyzés

Ez a cikk nemrég frissült, hogy Log Analytics helyett a Azure Monitor naplók kifejezést használja. A naplózási adatokat a rendszer továbbra is egy Log Analytics munkaterületen tárolja, és ugyanazokat a Log Analytics szolgáltatást gyűjti és elemzi. Frissíti a terminológiát, hogy jobban tükrözze a naplók szerepét a Azure monitorban. A részletekért tekintse meg Azure monitor terminológiai módosításokat .

Megjegyzés

Ez a cikk frissült az Azure Az PowerShell-moduljának használatával. Mostantól az Az PowerShell-modul használatát javasoljuk az Azure-ral folytatott interakciókhoz. Az Az PowerShell-modul használatának megkezdéséhez lásd az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Előfeltételek

A kezdés előtt olvassa el a Azure Firewall naplókat és metrikákat a diagnosztikai naplók és metrikák áttekintéséhez, amelyek a Azure Firewall.

Diagnosztikai naplózás engedélyezése az Azure Portalon

A diagnosztikai naplózás bekapcsolása után eltarthat néhány percig, amíg az adatok megjelennek a naplókban. Ha nem jelennek meg azonnal az adatok, tekintse meg a naplókat néhány perc múlva.

  1. A Azure Portal nyissa meg a tűzfal erőforráscsoportját, és válassza ki a tűzfalat.

  2. A Monitorozás területen kattintson a Diagnosztikai beállítások elemre.

    A Azure Firewall négy szolgáltatásspecifikus napló érhető el:

    • AzureFirewallApplicationRule
    • AzureFirewallNetworkRule
    • AzureFirewallDnsProxy
  3. Válassza a Diagnosztikai beállítások megadása lehetőséget. A Diagnosztikai beállítások lap megadja a diagnosztikai naplók beállításait.

  4. Ebben a példában Azure Monitor naplók tárazza a naplókat, ezért a névhez írja be a Tűzfalnapló-elemzés nevet.

  5. A Napló alatt válassza az AzureFirewallApplicationRule, az AzureFirewallNetworkRule, és az AzureFirewallDnsProxy lehetőséget a naplók gyűjtéséhez.

  6. A munkaterület konfiguráláshoz válassza a Küldés a Log Analyticsbe lehetőséget.

  7. Válassza ki előfizetését.

  8. Válassza a Mentés lehetőséget.

Diagnosztikai naplózás engedélyezése a PowerShell használatával

A tevékenységnaplózás automatikusan engedélyezve van minden Resource Manager-erőforráshoz. A diagnosztikai naplózást engedélyezni kell a naplókban elérhető adatok gyűjtésének megkezdéséhez.

A PowerShell diagnosztikai naplózásának engedélyezéséhez kövesse az alábbi lépéseket:

  1. Jegyezze fel a Log Analytics-munkaterület erőforrás-azonosítóját, ahol a naplóadatok tárolva vannak. Ez az érték a következő formában van /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name> megszabadva: .

    Az előfizetés bármely munkaterületét használhatja. Ezeket az információkat az Azure Portalon találhatja meg. Az információk az erőforrás Tulajdonságok lapján találhatók.

  2. Jegyezze fel a tűzfal erőforrás-azonosítóját. Ez az érték a következő formában van /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name> megszabadva: .

    Ezeket az információkat a portálon találhatja meg.

  3. Engedélyezze az összes napló és metrika diagnosztikai naplózását az alábbi PowerShell-parancsmag használatával:

       $diagSettings = @{
       Name = 'toLogAnalytics'
       ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       Enabled = $true
       }
    Set-AzDiagnosticSetting  @diagSettings 
    

Diagnosztikai naplózás engedélyezése az Azure CLI használatával

A tevékenységnaplózás automatikusan engedélyezve van minden Resource Manager-erőforráshoz. A diagnosztikai naplózást engedélyezni kell a naplókban elérhető adatok gyűjtésének megkezdéséhez.

Az Azure CLI diagnosztikai naplózásának engedélyezéséhez kövesse az alábbi lépéseket:

  1. Jegyezze fel a Log Analytics-munkaterület erőforrás-azonosítóját, ahol a naplóadatok tárolva vannak. Ez az érték a következő formában van /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name> megszabadva: .

    Az előfizetés bármely munkaterületét használhatja. Ezeket az információkat az Azure Portalon találhatja meg. Az információk az erőforrás Tulajdonságok lapján találhatók.

  2. Jegyezze fel a tűzfal erőforrás-azonosítóját. Ez az érték a következő formában van /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name> megszabadva: .

    Ezeket az információkat a portálon találhatja meg.

  3. Engedélyezze a diagnosztikai naplózást az összes naplóhoz és metrikához az alábbi Azure CLI-paranccsal:

       az monitor diagnostic-settings create -n 'toLogAnalytics'
       --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       --logs '[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]' 
       --metrics '[{\"category\": \"AllMetrics\",\"enabled\": true}]'
    

A tevékenységnapló megtekintése és elemzése

A tevékenységnaplók adatainak megtekintéséhez és elemzéséhez használja az alábbi módszerek bármelyikét:

  • Azure-eszközök: Információkat kérhet le a tevékenységnaplóból az Azure PowerShell-lel, az Azure CLI-vel, az Azure REST API-val vagy az Azure Portallal. Az egyes módszerek részletes útmutatóit a Resource Managerrel végzett tevékenységművelet című cikkben találja.

  • Power BI: Ha még nem rendelkezik Power BI-fiókkal, ingyenesen kipróbálhatja. A Power BI-hoz készült Azure Activity Logs-tartalomcsomaggal olyan előre konfigurált irányítópultokkal elemezheti az adatokat, amelyeket eredeti formájukban vagy testre szabva is használhat.

  • Azure Sentinel: Az Azure Firewall-naplókat csatlakoztathatja az Azure Sentinel-hoz, lehetővé téve a naplóadatok munkafüzetekben való megtekintését, egyéni riasztások létrehozására való használatát, majd beépítése a vizsgálat javítása érdekében. A Azure Firewall adat-összekötő Azure Sentinel jelenleg nyilvános előzetes verzióban érhető el. További információ: Csatlakozás adatok Azure Firewall.

    Az áttekintést Mohit Kumar alábbi videója tartalmazza:

A hálózati szabályok és alkalmazásszabályok naplóinak megtekintése és elemzése

Azure Firewall Workbook rugalmas vásznat biztosít az Azure Firewall elemzéséhez. Használatával gazdag vizualizációs jelentéseket hozhat létre a Azure Portal. Az Azure-ban üzembe helyezett több tűzfalra is koppinthat, és egyesített interaktív felhasználói élményben egyesítheti őket.

A Storage-fiókjához is csatlakozhat, és lekérheti a hozzáférés- és teljesítménynaplók JSON-naplóbejegyzéseit. A letöltött JSON-fájlokat átalakíthatja CSV-fájlokká, és ezeket megtekintheti az Excelben, Power BI-ban vagy bármely más adatvizualizációs eszközben.

Tipp

Ha ismeri a Visual Studiót, illetve C#-állandók és -változók módosításának alapfogalmait, használja a GitHubról elérhető naplókonvertáló eszközöket.

Metrikák megtekintése

Tallózással keresse meg a Azure Firewall. A Figyelés területen kattintson a Metrikák elemre. Az elérhető értékeket a METRIKÁK legördülő listában találja.

Következő lépések

Most, hogy konfigurálta a tűzfalat a naplók gyűjtésére, Azure Monitor naplókat az adatok megtekintéséhez.