Log Azure Structured Firewall

  • Artikel

Log terstruktur adalah jenis data log yang diatur dalam format tertentu. Mereka menggunakan skema yang telah ditentukan sebelumnya untuk menyusun data log dengan cara yang memudahkan pencarian, filter, dan analisis. Tidak seperti log yang tidak terstruktur, yang terdiri dari teks bentuk bebas, log terstruktur memiliki format yang konsisten yang dapat diurai dan dianalisis mesin.

log terstruktur Azure Firewall memberikan tampilan peristiwa firewall yang lebih rinci. Ini termasuk informasi seperti alamat IP sumber dan tujuan, protokol, nomor port, dan tindakan yang diambil oleh firewall. Mereka juga menyertakan lebih banyak metadata, seperti waktu peristiwa dan nama instans Azure Firewall.

Saat ini, kategori log diagnostik berikut tersedia untuk Azure Firewall:

  • Log aturan aplikasi
  • Log aturan jaringan
  • Log proksi DNS

Kategori log ini menggunakan mode diagnostik Azure. Dalam mode ini, semua data dari pengaturan diagnostik apa pun dikumpulkan dalam tabel AzureDiagnostics.

Dengan log terstruktur, Anda dapat memilih untuk menggunakan Tabel Spesifik Sumber Daya alih-alih tabel AzureDiagnostics yang ada. Jika kedua kumpulan log diperlukan, setidaknya dua pengaturan diagnostik perlu dibuat di setiap firewall.

Mode khusus sumber daya

Dalam mode Khusus sumber daya, masing-masing tabel di ruang kerja yang dipilih dibuat untuk setiap kategori yang dipilih dalam pengaturan diagnostik. Metode ini direkomendasikan karena:

  • Dapat mengurangi biaya pengelogan secara keseluruhan hingga 80%.
  • metode ini memudahkan untuk bekerja dengan data dalam kueri log
  • metode ini memudahkan untuk menemukan skema dan strukturnya
  • meningkatkan performa di latensi penyerapan dan waktu kueri
  • memungkinkan Anda memberikan hak Azure RBAC pada tabel tertentu

Tabel spesifik sumber daya baru sekarang tersedia dalam pengaturan Diagnostik yang memungkinkan Anda menggunakan kategori berikut:

  • Log aturan jaringan - Berisi semua data log Aturan Jaringan. Setiap kecocokan antara data plane dan aturan jaringan membuat entri log dengan paket data plane dan atribut aturan yang cocok.
  • Log aturan NAT - Berisi semua data log peristiwa DNAT (Destination Network Address Translation). Setiap kecocokan antara data plane dan aturan DNAT membuat entri log dengan paket data plane dan atribut aturan yang cocok.
  • Log aturan aplikasi - Berisi semua data log aturan Aplikasi. Setiap kecocokan antara data plane dan aturan Aplikasi membuat entri log dengan paket data plane dan atribut aturan yang cocok.
  • Log Inteligensi Ancaman - Berisi semua peristiwa Inteligensi Ancaman.
  • Log IDPS - Berisi semua paket data plane yang cocok dengan satu atau lebih tanda tangan IDPS.
  • Log proksi DNS - Berisi semua data log peristiwa Proksi DNS.
  • Log kegagalan penyelesaian FQDN internal - Berisi semua permintaan resolusi FQDN Firewall internal yang mengakibatkan kegagalan.
  • Log agregasi aturan aplikasi - Berisi kumpulan data log aturan Aplikasi untuk Analitik Kebijakan.
  • Log agregasi aturan jaringan - Berisi kumpulan data log aturan Jaringan untuk Analitik Kebijakan.
  • Log agregasi aturan NAT - Berisi kumpulan data log aturan NAT untuk Analitik Kebijakan.
  • Log alur teratas (pratinjau) - Log Aliran Teratas (Aliran Lemak) menunjukkan koneksi teratas yang berkontribusi pada throughput tertinggi melalui firewall.
  • Jejak alur (pratinjau) - Berisi informasi alur, bendera, dan periode waktu saat alur direkam. Anda dapat melihat informasi alur lengkap seperti SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (alur).

Mengaktifkan log terstruktur

Untuk mengaktifkan Azure Firewall log terstruktur, Anda harus terlebih dahulu mengonfigurasi ruang kerja Analitik Log di langganan Azure Anda. Ruang kerja ini digunakan untuk menyimpan log terstruktur yang dihasilkan oleh Azure Firewall.

Setelah mengonfigurasi ruang kerja Analitik Log, Anda dapat mengaktifkan log terstruktur di Azure Firewall dengan menavigasi ke halaman Pengaturan diagnostik Firewall di portal Azure. Dari sana, Anda harus memilih tabel tujuan khusus Sumber Daya dan memilih jenis peristiwa yang ingin Anda catat.

Catatan

Tidak ada persyaratan untuk mengaktifkan fitur ini dengan bendera fitur atau perintah Azure PowerShell.

Cuplikan layar halaman Pengaturan diagnostik.

Kueri log terstruktur

Daftar kueri yang telah ditentukan sebelumnya tersedia di portal Azure. Daftar ini memiliki kueri log KQL (Bahasa Kueri Kusto) yang telah ditentukan sebelumnya untuk setiap kategori dan kueri gabungan yang memperlihatkan seluruh peristiwa pengelogan firewall Azure dalam tampilan tunggal.

Cuplikan layar memperlihatkan kueri Azure Firewall.

Buku Kerja Azure Firewall

Azure Firewall Workbook menyediakan kanvas fleksibel untuk analisis data Azure Firewall. Anda dapat menggunakannya untuk membuat laporan visual yang kaya di dalam portal Microsoft Azure. Anda dapat memanfaatkan beberapa firewall yang disebarkan di Seluruh Azure dan menggabungkannya ke dalam pengalaman interaktif terpadu.

Untuk menyebarkan buku kerja baru yang menggunakan Azure Firewall Log Terstruktur, lihat Buku Kerja Azure Monitor untuk Azure Firewall.

Langkah berikutnya