Azure Firewall のログとメトリックを監視するMonitor Azure Firewall logs and metrics

Azure Firewall を監視するには、ファイアウォール ログを使用できます。You can monitor Azure Firewall using firewall logs. また、アクティビティ ログを使用して、Azure Firewall リソースに対する操作を監査することもできます。You can also use activity logs to audit operations on Azure Firewall resources. メトリックを使用して、ポータルにパフォーマンス カウンターを表示できます。Using metrics, you can view performance counters in the portal.

一部のログにはポータルからアクセスできます。You can access some of these logs through the portal. ログを Azure Monitor ログ、Storage、および Event Hubs に送信し、Azure Monitor ログや他のツール (Excel、Power BI など) で分析することができます。Logs can be sent to Azure Monitor logs, Storage, and Event Hubs and analyzed in Azure Monitor logs or by different tools such as Excel and Power BI.

注意

この記事は最近、Log Analytics ではなく Azure Monitor ログという用語を使うように更新されました。This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. ログ データは引き続き Log Analytics ワークスペースに格納され、同じ Log Analytics サービスによって収集されて分析されます。Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Azure Monitor のログの役割をより適切に反映させるために、用語を更新しています。We are updating the terminology to better reflect the role of logs in Azure Monitor. 詳しくは、Azure Monitor の用語の変更に関するページをご覧ください。See Azure Monitor terminology changes for details.

注意

この記事は、Azure Az PowerShell モジュールを使用するように更新されています。This article has been updated to use the Azure Az PowerShell module. Az PowerShell モジュールは、Azure と対話するために推奨される PowerShell モジュールです。The Az PowerShell module is the recommended PowerShell module for interacting with Azure. Az PowerShell モジュールの使用を開始するには、「Azure PowerShell をインストールする」を参照してください。To get started with the Az PowerShell module, see Install Azure PowerShell. Az PowerShell モジュールに移行する方法については、「AzureRM から Az への Azure PowerShell の移行」を参照してください。To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.

前提条件Prerequisites

開始する前に、Azure Firewall のログとメトリックに関する記事で、Azure Firewall で入手できる診断ログとメトリックの概要を確認してください。Before starting you should read Azure Firewall logs and metrics for an overview of the diagnostics logs and metrics available for Azure Firewall.

Azure portal を使用した診断ログの有効化Enable diagnostic logging through the Azure portal

この手順を完了して診断ログを有効にしてからデータがログに記録されるまでに数分かかることがあります。It can take a few minutes for the data to appear in your logs after you complete this procedure to turn on diagnostic logging. 最初に何も表示されない場合は、数分後にもう一度確認してください。If you don't see anything at first, check again in a few more minutes.

  1. Azure portal で、ファイアウォール リソース グループを開き、ファイアウォールを選択します。In the Azure portal, open your firewall resource group and select the firewall.

  2. [監視][診断設定] を選択します。Under Monitoring, select Diagnostic settings.

    Azure Firewall の場合、サービスに固有の 4 種類のログを使用できます。For Azure Firewall, four service-specific logs are available:

    • AzureFirewallApplicationRuleAzureFirewallApplicationRule
    • AzureFirewallNetworkRuleAzureFirewallNetworkRule
    • AzureFirewallThreatIntelLogAzureFirewallThreatIntelLog
    • AzureFirewallDnsProxyAzureFirewallDnsProxy
  3. [診断設定の追加] を選択します。Select Add diagnostic setting. [診断設定] ページに、診断ログの設定が表示されます。The Diagnostics settings page provides the settings for the diagnostic logs.

  4. この例では、Azure Monitor ログにログを保存するため、名前として「Firewall log analytics」と入力します。In this example, Azure Monitor logs stores the logs, so type Firewall log analytics for the name.

  5. [ログ] の下で、 [AzureFirewallApplicationRule][AzureFirewallNetworkRule][AzureFirewallThreatIntelLog] 、および [AzureFirewallDnsProxy] を選択してログを収集します。Under Log, select AzureFirewallApplicationRule, AzureFirewallNetworkRule, AzureFirewallThreatIntelLog, and AzureFirewallDnsProxy to collect the logs.

  6. [Log Analytics への送信] を選択してワークスペースを構成します。Select Send to Log Analytics to configure your workspace.

  7. サブスクリプションを選択します。Select your subscription.

  8. [保存] を選択します。Select Save.

Azure PowerShell を使用して診断ログを有効にするEnable diagnostic logging by using PowerShell

アクティビティ ログは、Resource Manager のすべてのリソースで自動的に有効になります。Activity logging is automatically enabled for every Resource Manager resource. 診断ログで取得できるデータの収集を開始するには、診断ログを有効にする必要があります。Diagnostic logging must be enabled to start collecting the data available through those logs.

PowerShell を使用して診断ログを有効にするには、次の手順を使用します。To enable diagnostic logging with PowerShell, use the following steps:

  1. ログ データが保存されている Log Analytics ワークスペースのリソース ID をメモしておきます。Note your Log Analytics Workspace resource ID, where the log data is stored. この値の形式は /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name> です。This value is of the form: /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>.

    サブスクリプション内の任意のワークスペースを使用できます。You can use any workspace in your subscription. この情報は、Azure Portal で確認できます。You can use the Azure portal to find this information. この情報はリソースの プロパティ ページにあります。The information is located in the resource Properties page.

  2. ログが有効になっているファイアウォールのリソース ID に注意してください。Note your Firewall's resource ID for which logging is enabled. この値の形式は /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name> です。This value is of the form: /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>.

    この情報は、ポータルで確認できます。You can use the portal to find this information.

  3. 次の PowerShell コマンドレットを使用して、すべてのログとメトリックの診断ログを有効にします。Enable diagnostic logging for all logs and metrics by using the following PowerShell cmdlet:

    $diagSettings = @{
       Name = 'toLogAnalytics'
       ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       Enabled = $true
    }
    Set-AzDiagnosticSetting  @diagSettings 
    

Azure CLI を使用して診断ログを有効にするEnable diagnostic logging by using the Azure CLI

アクティビティ ログは、Resource Manager のすべてのリソースで自動的に有効になります。Activity logging is automatically enabled for every Resource Manager resource. 診断ログで取得できるデータの収集を開始するには、診断ログを有効にする必要があります。Diagnostic logging must be enabled to start collecting the data available through those logs.

Azure CLI を使用して診断ログを有効にするには、次の手順を使用します。To enable diagnostic logging with Azure CLI, use the following steps:

  1. ログ データが保存されている Log Analytics ワークスペースのリソース ID をメモしておきます。Note your Log Analytics Workspace resource ID, where the log data is stored. この値の形式は /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name> です。This value is of the form: /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>.

    サブスクリプション内の任意のワークスペースを使用できます。You can use any workspace in your subscription. この情報は、Azure Portal で確認できます。You can use the Azure portal to find this information. この情報はリソースの プロパティ ページにあります。The information is located in the resource Properties page.

  2. ログが有効になっているファイアウォールのリソース ID に注意してください。Note your Firewall's resource ID for which logging is enabled. この値の形式は /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name> です。This value is of the form: /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>.

    この情報は、ポータルで確認できます。You can use the portal to find this information.

  3. 次の Azure CLI コマンドを使用して、すべてのログとメトリックの診断ログを有効にします。Enable diagnostic logging for all logs and metrics by using the following Azure CLI command:

    az monitor diagnostic-settings create -n 'toLogAnalytics'
       --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       --logs '[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]' 
       --metrics '[{\"category\": \"AllMetrics\",\"enabled\": true}]'
    

アクティビティ ログの表示と分析View and analyze the activity log

次のいずれかの方法を使用して、アクティビティ ログのデータを表示および分析できます。You can view and analyze activity log data by using any of the following methods:

  • Azure Tools:Azure PowerShell、Azure CLI、Azure REST API、または Azure portal を使用して、アクティビティ ログから情報を取得します。Azure tools: Retrieve information from the activity log through Azure PowerShell, the Azure CLI, the Azure REST API, or the Azure portal. それぞれの方法の詳細な手順については、「リソース マネージャーの監査操作」を参照してください。Step-by-step instructions for each method are detailed in the Activity operations with Resource Manager article.
  • Power BI: Power BI アカウントをまだ所有していない場合は、無料で試すことができます。Power BI: If you don't already have a Power BI account, you can try it for free. Power BI 用 Azure アクティビティ ログ コンテンツ パックを使用すると、事前に構成されたダッシュボードでデータを分析できます。ダッシュボードは、そのまま使用することも、カスタマイズすることもできます。By using the Azure Activity Logs content pack for Power BI, you can analyze your data with preconfigured dashboards that you can use as is or customize.
  • Azure Sentinel:Azure Firewall ログを Azure Sentinel に接続すると、ブック内でログ データを表示し、それを使用してカスタム アラートを作成し、組み込んで、調査を改善することができます。Azure Sentinel: You can connect Azure Firewall logs to Azure Sentinel, enabling you to view log data in workbooks, use it to create custom alerts, and incorporate it to improve your investigation. Azure Sentinel の Azure Firewall データ コネクタは、現在パブリック プレビュー段階にあります。The Azure Firewall data connector in Azure Sentinel is currently in public preview. 詳細については、Azure Firewall からのデータの接続に関するページを参照してください。For more information, see Connect data from Azure Firewall.

ネットワークおよびアプリケーション ルール ログの表示と分析View and analyze the network and application rule logs

Azure Monitor ログは、カウンターおよびイベント ログ ファイルを収集します。Azure Monitor logs collects the counter and event log files. このツールには、ログを分析するための視覚化と強力な検索機能が含まれています。It includes visualizations and powerful search capabilities to analyze your logs.

Azure Firewall のログ分析のサンプル クエリについては、「Azure Firewall Log Analytics のサンプル」を参照してください。For Azure Firewall log analytics sample queries, see Azure Firewall log analytics samples.

Azure Firewall ブックにより、Azure Firewall のデータ分析のための柔軟なキャンバスが提供されます。Azure Firewall Workbook provides a flexible canvas for Azure Firewall data analysis. これを使用して、Azure portal 内で高度な視覚的レポートを作成できます。You can use it to create rich visual reports within the Azure portal. Azure 全体でデプロイされる複数のファイアウォールを活用し、それらを結合して、統合された対話型エクスペリエンスにすることができます。You can tap into multiple Firewalls deployed across Azure, and combine them into unified interactive experiences.

自身のストレージ アカウントに接続して、アクセス ログとパフォーマンス ログの JSON ログ エントリを取得することもできます。You can also connect to your storage account and retrieve the JSON log entries for access and performance logs. JSON ファイルをダウンロードした後、そのファイルを CSV に変換し、Excel、Power BI などのデータ視覚化ツールで表示できます。After you download the JSON files, you can convert them to CSV and view them in Excel, Power BI, or any other data-visualization tool.

ヒント

Visual Studio を使い慣れていて、C# の定数と変数の値を変更する基本的な概念を理解している場合は、GitHub から入手できるログ変換ツールを使用できます。If you are familiar with Visual Studio and basic concepts of changing values for constants and variables in C#, you can use the log converter tools available from GitHub.

メトリックを表示するView metrics

Azure Firewall に移動し、 [監視][メトリック] を選択します。Browse to an Azure Firewall, under Monitoring select Metrics. 利用できる値を表示するには、 [メトリック] ドロップダウン リストを選択します。To view the available values, select the METRIC drop-down list.

次のステップNext steps

ログを収集するようにファイアウォールを構成した後、Azure Monitor ログを使用してデータを表示できます。Now that you've configured your firewall to collect logs, you can explore Azure Monitor logs to view your data.

Azure Firewall ブックを使用してログを監視するMonitor logs using Azure Firewall Workbook

Azure Monitor ログのネットワーク監視ソリューションNetworking monitoring solutions in Azure Monitor logs