panoramica dei log e delle metriche Firewall di Azure

  • Articolo

È possibile usare Firewall di Azure log e metriche per monitorare il traffico e le operazioni all'interno del firewall. Questi log e metriche servono diversi scopi essenziali, tra cui:

  • Analisi del traffico: usare i log per esaminare e analizzare il traffico che passa attraverso il firewall. Sono inclusi l'esame del traffico consentito e negato, l'ispezione degli indirizzi IP di origine e di destinazione, gli URL, i numeri di porta, i protocolli e altro ancora. Queste informazioni dettagliate sono essenziali per comprendere i modelli di traffico, identificare potenziali minacce alla sicurezza e risolvere i problemi di connettività.

  • Metriche di prestazioni e integrità: Firewall di Azure metriche forniscono metriche sulle prestazioni e sull'integrità, ad esempio i dati elaborati, la velocità effettiva, il numero di riscontri delle regole e la latenza. Monitorare queste metriche per valutare l'integrità complessiva del firewall, identificare i colli di bottiglia delle prestazioni e rilevare eventuali anomalie.

  • Audit Trail: i log attività consentono il controllo delle operazioni correlate alle risorse del firewall, l'acquisizione di azioni come la creazione, l'aggiornamento o l'eliminazione di regole e criteri del firewall. La revisione dei log attività consente di mantenere un record cronologico delle modifiche alla configurazione e garantisce la conformità ai requisiti di sicurezza e controllo.

Visualizzazione e archiviazione

È possibile accedere ai log e alle metriche tramite il portale di Azure, con più opzioni per l'archiviazione e l'analisi:

  • Area di lavoro Log Analytics (basata su Monitoraggio di Azure): centralizzare i log e le metriche Firewall di Azure in un'area di lavoro Log Analytics per l'analisi avanzata, la creazione personalizzata del dashboard e la configurazione degli avvisi in base a soglie di metriche specifiche.

  • Archiviazione Account: archiviare i log in un account Archiviazione di Azure per la conservazione e l'integrazione a lungo termine con gli strumenti di analisi dei log esterni.

  • Hub eventi: trasmettere i log Firewall di Azure all'hub eventi di Azure per l'elaborazione, l'analisi o l'integrazione in tempo reale con soluzioni SIEM di terze parti.

  • Soluzioni per i partner: inviare log Firewall di Azure a soluzioni partner di terze parti per ulteriori analisi e correlazione con altri dati di sicurezza.

Le impostazioni di configurazione dei log e delle metriche per Firewall di Azure vengono in genere eseguite tramite il portale di Azure. In questo modo è possibile specificare la destinazione per i log e le metriche e configurare configurazioni di conservazione e avviso personalizzate in base ai requisiti di monitoraggio e sicurezza dell'organizzazione.

Log strutturati

Monitorare Firewall di Azure usando i log strutturati, che usano uno schema predefinito per strutturare i dati di log per facilitare la ricerca, il filtro e l'analisi. Questi log includono informazioni quali indirizzi IP di origine e di destinazione, protocolli, numeri di porta e azioni del firewall. Impostare in ordine di priorità i log strutturati come tipo di log principale usando tabelle specifiche delle risorse anziché la tabella AzureDiagnostics esistente. Per abilitare questi log ed esplorare le categorie di log, vedere Log di Firewall strutturato di Azure.

Log di Diagnostica di Azure legacy

I log di diagnostica di Azure legacy sono le query di log di Firewall di Azure originali che generano dati di log in un formato di testo non strutturato o in formato libero. Le Firewall di Azure categorie di log legacy usano la modalità diagnostica di Azure, raccogliendo interi dati nella tabella AzureDiagnostics. Nel caso in cui siano necessari log strutturati e di diagnostica, è necessario creare almeno due impostazioni di diagnostica per ogni firewall. Per abilitare questi log ed esplorare le categorie di log, vedere Firewall di Azure log di diagnostica.

Metrica

Le metriche in Monitoraggio di Azure sono valori numerici che descrivono gli aspetti di un sistema in un determinato momento. Raccolte ogni minuto, le metriche sono utili per l'invio di avvisi a causa del campionamento frequente. Configurare rapidamente gli avvisi con logica relativamente semplice. Per le metriche disponibili e la configurazione degli avvisi per Firewall di Azure, vedere Firewall di Azure metriche e avvisi.

Log attività

Le voci del log attività vengono raccolte per impostazione predefinita e possono essere visualizzate nella portale di Azure. Usare i log attività di Azure (in precedenza noti come log operativi e log di controllo) per visualizzare tutte le operazioni inviate alla sottoscrizione di Azure.

Passaggi successivi