Log diagnostik Azure Firewall (warisan)
Log diagnostik adalah kueri log Azure Firewall asli yang menghasilkan data log dalam format teks yang tidak terstruktur atau bentuk bebas.
Kategori log berikut didukung dalam log Diagnostik:
- Aturan aplikasi Azure Firewall
- Aturan jaringan Azure Firewall
- Proksi DNS Azure Firewall
Log aturan aplikasi
Log aturan aplikasi disimpan ke akun penyimpanan, di-streaming ke Event hubs, dan/atau dikirim ke log Azure Monitor hanya jika Anda telah mengaktifkannya untuk setiap Azure Firewall. Setiap koneksi baru yang cocok dengan salah satu aturan aplikasi Anda yang dikonfigurasi akan menghasilkan log untuk koneksi yang diterima/ditolak. Data dicatat dalam format JSON, seperti yang ditunjukkan pada contoh berikut:
Category: application rule logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
{
"category": "AzureFirewallApplicationRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallApplicationRuleLog",
"properties": {
"msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
}
}
{
"category": "AzureFirewallApplicationRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallApplicationRuleLog",
"properties": {
"msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals"
}
}
Log aturan jaringan
Log aturan jaringan disimpan ke akun penyimpanan, di-streaming ke Event hubs, dan/atau dikirim ke log Azure Monitor hanya jika Anda telah mengaktifkannya untuk setiap Azure Firewall. Setiap koneksi baru yang cocok dengan salah satu aturan jaringan Anda yang dikonfigurasi akan menghasilkan log untuk koneksi yang diterima/ditolak. Data dicatat dalam format JSON, seperti yang ditunjukkan pada contoh berikut:
Category: network rule logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
{
"category": "AzureFirewallNetworkRule",
"time": "2018-06-14T23:44:11.0590400Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallNetworkRuleLog",
"properties": {
"msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
}
}
Log proksi DNS
Log proksi DNS disimpan ke akun penyimpanan, dialirkan ke Hub peristiwa, dan/atau dikirim ke log Azure Monitor hanya jika Anda telah mengaktifkannya untuk setiap Azure Firewall. Log ini melacak pesan DNS ke server DNS yang dikonfigurasi menggunakan proksi DNS. Data dicatat dalam format JSON, seperti yang ditunjukkan pada contoh berikut:
Category: DNS proxy logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
Berhasil:
{
"category": "AzureFirewallDnsProxy",
"time": "2020-09-02T19:12:33.751Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallDnsProxyLog",
"properties": {
"msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
}
}
Gagal:
{
"category": "AzureFirewallDnsProxy",
"time": "2020-09-02T19:12:33.751Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallDnsProxyLog",
"properties": {
"msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
}
}
format pesan:
[client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]
Penyimpanan
Anda memiliki tiga opsi untuk menyimpan log:
- Akun penyimpanan: Akun penyimpanan paling baik digunakan untuk log yang disimpan untuk durasi yang lebih lama dan ditinjau saat diperlukan.
- Event hubs: Hub acara adalah opsi yang bagus untuk pengintegrasian dengan alat informasi keamanan dan manajemen peristiwa (SIEM) lainnya untuk mendapatkan peringatan tentang sumber daya Anda.
- Log Azure Monitor: Log Azure Monitor paling baik digunakan untuk pemantauan aplikasi secara real-time dan menyeluruh atau melihat tren.
Aktifkan log diagnostik
Untuk mempelajari cara mengaktifkan pembuatan log diagnostik menggunakan portal Azure, lihat Memantau log Azure Firewall (warisan) dan metrik.