Azure Firewall-metrikák és riasztások
Az Azure Monitor metrikái olyan numerikus értékek, amelyek egy rendszer bizonyos aspektusát írják le egy adott időpontban. A metrikák percenként vannak összegyűjtve, és riasztások esetén hasznosak, mivel gyakran lehet mintát venni. A riasztások viszonylag egyszerű logikával gyorsan aktiválhatók.
Tűzfalmetrikák
Az Azure Firewallhoz a következő metrikák érhetők el:
Alkalmazásszabályok találatainak száma – Az alkalmazásszabályok találatainak száma.
Egység: darabszám
Hálózati szabályok találatainak száma – A hálózati szabály találatainak száma.
Egység: darabszám
Feldolgozott adatok – A tűzfalon áthaladó adatok összege egy adott időablakban.
Egység: bájt
Átviteli sebesség – A tűzfalon másodpercenként áthaladó adatok sebessége.
Egység: bit/másodperc
Tűzfal állapota – A tűzfal állapotát jelzi az SNAT-portok rendelkezésre állása alapján.
Egység: százalék
Ez a metrika két dimenzióval rendelkezik:
Állapot: A lehetséges értékek kifogástalanok, csökkentettek, nem megfelelőek.
Ok: A tűzfal megfelelő állapotának okát jelzi.
Ha az SNAT-portok 95%-ot használnak > , azokat kimerültnek tekintik, és az állapotuk 50%, állapot=Csökkentett és reason=SNAT port. A tűzfal folyamatosan dolgozza fel a forgalmat, és a meglévő kapcsolatokra nincs hatással. Előfordulhat azonban, hogy időnként nem jönnek létre új kapcsolatok.
Ha az SNAT-portok használata < 95%, akkor a tűzfal kifogástalannak minősül, az állapot pedig 100%.
Ha a rendszer nem kap jelentést az SNAT-portok használatáról, az állapot 0%-osként jelenik meg.
SNAT-portok kihasználtsága – A tűzfal által használt SNAT-portok százalékos aránya.
Egység: százalék
Ha több nyilvános IP-címet ad hozzá a tűzfalhoz, további SNAT-portok érhetők el, ami csökkenti az SNAT-portok kihasználtságát. Emellett, ha a tűzfal a különböző okokból (például CPU vagy átviteli sebesség miatt) felskálázást végez, további SNAT-portok is elérhetővé válnak. Így gyakorlatilag az SNAT-portok kihasználtságának egy bizonyos százaléka csökkenhet anélkül, hogy nyilvános IP-címeket adna hozzá, csak azért, mert a szolgáltatás felskálázott. Közvetlenül szabályozhatja az elérhető nyilvános IP-címek számát a tűzfalon elérhető portok számának növeléséhez. A tűzfal skálázását azonban nem szabályozhatja közvetlenül.
Ha a tűzfal SNAT-portkimerülésbe ütközik, legalább öt nyilvános IP-címet kell hozzáadnia. Ez növeli az elérhető SNAT-portok számát. További információkért tekintse meg az Azure Firewall funkcióit.
AZFW-késési mintavétel – Az Azure Firewall átlagos késésének becslése.
Egység: ms
Ez a metrika az Azure Firewall teljes vagy átlagos késését méri ezredmásodpercben. Rendszergazda istratorok a következő célokra használhatják ezt a metrikát:
Annak diagnosztizálása, hogy az Azure Firewall okozza-e a hálózati késést
Figyelhet és riasztást kaphat, ha késéssel vagy teljesítménnyel kapcsolatos problémák merülnek fel, így az informatikai csapatok proaktív módon bekapcsolódhatnak.
Számos oka lehet annak, hogy az Azure Firewall nagy késést okozhat. Például magas processzorkihasználtság, magas átviteli sebesség vagy egy lehetséges hálózatkezelési probléma.
Ez a metrika nem méri egy adott hálózati útvonal végpontok közötti késését. Más szóval ez a késési állapotadat-mintavétel nem méri az Azure Firewall által hozzáadott késést.
Ha a késési metrika nem a várt módon működik, 0 érték jelenik meg a metrikák irányítópultján.
Hivatkozásként a tűzfal átlagos várható késése körülbelül 1 ms. Ez az üzembe helyezés méretétől és környezetétől függően változhat.
A késési mintavétel a Microsoft Ping Mesh technológiáján alapul. Ezért a késési metrika időszakos csúcsai várhatók. Ezek a kiugró csúcsok normálisak, és nem jeleznek problémát az Azure Firewallban. Ezek a rendszert támogató szabványos gazdagéphálózat-beállítás részét képezik.
Ennek eredményeképpen, ha a tipikus kiugró értékeknél hosszabb ideig tartó, konzisztens, nagy késést tapasztal, fontolja meg támogatási jegy benyújtását segítségért.
Riasztás az Azure Firewall metrikáiról
A metrikák kritikus jeleket biztosítanak az erőforrás állapotának nyomon követéséhez. Ezért fontos figyelnie az erőforrás metrikáit, és figyelnie kell az esetleges rendellenességeket. De mi a teendő, ha az Azure Firewall metrikái leállnak? Lehetséges konfigurációs problémát jelezhet, vagy valami baljósabbat, mint egy kimaradás. Hiányzó metrikák azért fordulhatnak elő, mert olyan alapértelmezett útvonalakat tesznek közzé, amelyek megakadályozzák az Azure Firewall számára a metrikák feltöltését, vagy az kifogástalan állapotú példányok száma nullára csökken. Ebben a szakaszban megtudhatja, hogyan konfigurálhatja a metrikákat egy log analytics-munkaterületre, és hogyan riasztást kaphat a hiányzó metrikákról.
Metrikák konfigurálása log analytics-munkaterületre
Az első lépés a metrikák rendelkezésre állásának konfigurálása a log analytics-munkaterületen a tűzfal diagnosztikai beállításaival.
Keresse meg az Azure Firewall erőforrásoldalát a diagnosztikai beállítások konfigurálásához az alábbi képernyőképen látható módon. Ez leküldi a tűzfalmetrikákat a konfigurált munkaterületre.
Megjegyzés:
A metrikák diagnosztikai beállításainak a naplóktól eltérő konfigurációnak kell lenniük. A tűzfalnaplók konfigurálhatók az Azure Diagnostics vagy az Erőforrás-specifikus használatára. A tűzfalmetrikáknak azonban mindig az Azure Diagnosticst kell használniuk.
Riasztás létrehozása a tűzfalmetrikák sikertelen fogadásának nyomon követéséhez
Keresse meg a metrikák diagnosztikai beállításaiban konfigurált munkaterületet. Ellenőrizze, hogy elérhetők-e metrikák a következő lekérdezéssel:
AzureMetrics
| where MetricName contains "FirewallHealth"
| where ResourceId contains "/SUBSCRIPTIONS/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/RESOURCEGROUPS/PARALLELIPGROUPRG/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/HUBVNET-FIREWALL"
| where TimeGenerated > ago(30m)
Ezután hozzon létre egy riasztást a hiányzó metrikákról 60 perc alatt. A hiányzó metrikákra vonatkozó új riasztások beállításához keresse meg a Riasztás lapot a Log Analytics-munkaterületen.
