Azure Firewall のログとメトリックの概要

Azure Firewall のログとメトリックを使用して、ファイアウォール内のトラフィックと操作を監視できます。 これらのログとメトリックは、次のようないくつかの重要な目的に役立ちます。

• トラフィック分析: ログを使用して、ファイアウォールを通過するトラフィックを調べて分析します。 これには、許可されたトラフィックと拒否されたトラフィックの調査、送信元と宛先の IP アドレス、URL、ポート番号、プロトコルなどを調べることが含まれます。 これらの分析情報は、トラフィック パターンの理解、潜在的なセキュリティの脅威の特定、接続の問題のトラブルシューティングに不可欠です。

• パフォーマンスと正常性のメトリック: Azure Firewall メトリックは、処理されたデータ、スループット、ルール ヒット数、待機時間などのパフォーマンスと正常性のメトリックを提供します。 これらのメトリックを監視して、ファイアウォールの全体的な正常性を評価し、パフォーマンスのボトルネックを特定し、異常を検出します。

• 監査証跡: アクティビティ ログを使用すると、ファイアウォール リソースに関連する操作の監査、ファイアウォール規則とポリシーの作成、更新、削除などのアクションをキャプチャできます。 アクティビティ ログを確認すると、メイン構成の変更履歴を記録し、セキュリティと監査の要件に確実に準拠できます。

表示とストレージ

ログとメトリックには、ストレージと分析のための複数のオプションを使用して、Azure portal からアクセスできます。

• Log Analytics ワークスペース (Azure Monitor を利用): 高度な分析、カスタマイズされたダッシュボードの作成、特定のメトリックしきい値に基づくアラートの設定のために、Log Analytics ワークスペース内の Azure Firewall のログとメトリックを一元化します。

• ストレージ アカウント: 長期的な保持と外部ログ分析ツールとの統合のために、Azure Storage アカウントにログを格納します。

• Event Hub: Azure Firewall ログを Azure Event Hub にストリーミングして、サードパーティの SIEM ソリューションとのリアルタイムの処理、分析、または統合を行います。

• パートナー ソリューション: Azure Firewall ログをサード パーティのパートナー ソリューションに送信して、他のセキュリティ データとの詳細な分析と関連付けを行います。

Azure Firewall のログとメトリックの構成設定は、通常、Azure portal を使用して行われます。 これにより、ログとメトリックの宛先を指定し、組織の監視とセキュリティの要件に合わせて調整された保持とアラートの構成を設定できます。

構造化ログ

定義済みのスキーマを使用してログ データを構造化し、検索、フィルター処理、分析を容易にする構造化ログを使用して Azure Firewall を監視します。 これらのログには、送信元と宛先の IP アドレス、プロトコル、ポート番号、ファイアウォールアクションなどの情報が含まれます。 既存の AzureDiagnostics テーブルではなく、リソース固有のテーブルを使用して、構造化ログをメインログの種類として設定する優先順位を付けます。 これらのログを有効にしてログ カテゴリを調べるには、Azure Structured Firewall ログを参照してください。

従来の Azure Diagnostics ログ

従来の Azure 診断ログは、非構造化または自由形式のテキスト形式でログ データを出力する元の Azure Firewall ログ クエリです。 Azure Firewall レガシ ログ カテゴリでは、Azure 診断 モードが使用され、AzureDiagnostics テーブル内のデータ全体が収集されます。 構造化ログと診断ログの両方が必要な場合は、ファイアウォールごとに少なくとも 2 つの診断設定を作成する必要があります。 これらのログを有効にしてログ カテゴリを調べるには、Azure Firewall 診断ログを参照してください。

メトリック

Azure Monitor のメトリックは、特定の時点におけるシステムの側面を記述する数値です。 1 分ごとに収集されるメトリックは、サンプリングの頻度が高いため、アラートに役立ちます。 比較的単純なロジックを使用してアラートをすばやく構成します。 使用可能なメトリックと Azure Firewall のアラートの構成については、Azure Firewall のメトリックとアラートに関するページを参照してください。

アクティビティ ログ

アクティビティ ログ エントリは既定で収集され、また Azure portal に表示できます。 Azure アクティビティ ログ (旧称: 操作ログと監査ログ) を使用して、Azure サブスクリプションに送信されたすべての操作を表示します。

次のステップ

• Azure Monitor のメトリックの詳細については、「Azure Monitor のメトリック」を参照してください。