Azure Firewall-logboeken en metrische gegevens

U kunt Azure Firewall bewaken met behulp van firewall-logboeken. U kunt ook activiteitenlogboeken gebruiken om bewerkingen in Azure Firewall-resources te controleren.

Via de portal kunt u toegang verkrijgen tot sommige van deze logboeken. Logboeken kunnen worden verzonden naar Azure Monitorlogboeken, Storage en Event Hubs en worden geanalyseerd in Azure Monitor-logboeken of door verschillende hulpprogramma's zoals Excel en Power BI.

Metrische gegevens zijn licht en bieden ondersteuning voor bijna realtime scenario's, waardoor ze handig zijn voor waarschuwingen en snelle detectie van problemen.

Diagnostische logboeken

De volgende diagnostische logboeken zijn beschikbaar voor Azure Firewall:

• Logboek voor toepassingsregels

  Het toepassingsregellogboek wordt alleen opgeslagen in een opslagaccount, gestreamd naar Event Hubs en/of verzonden naar Azure Monitor-logboeken als u dit hebt ingeschakeld voor elke Azure Firewall. Elke nieuwe verbinding die overeenkomt met een van uw geconfigureerde toepassingsregels, resulteert in een logboek voor de geaccepteerde/geweigerde verbinding. De gegevens worden vastgelegd in JSON-indeling, zoals wordt weergegeven in de volgende voorbeelden:

  Category: application rule logs.
  Time: log timestamp.
  Properties: currently contains the full message.
  note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
  

  {
    "category": "AzureFirewallApplicationRule",
    "time": "2018-04-16T23:45:04.8295030Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallApplicationRuleLog",
    "properties": {
        "msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
    }
  }
  

  {
     "category": "AzureFirewallApplicationRule",
     "time": "2018-04-16T23:45:04.8295030Z",
     "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
     "operationName": "AzureFirewallApplicationRuleLog",
     "properties": {
         "msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals"
     }
  }
  

• Logboek voor netwerkregels

  Het netwerkregellogboek wordt alleen opgeslagen in een opslagaccount, gestreamd naar Event Hubs en/of verzonden naar Azure Monitor-logboeken als u dit hebt ingeschakeld voor elke Azure Firewall. Elke nieuwe verbinding die overeenkomt met een van uw geconfigureerde netwerkregels, resulteert in een logboek voor de geaccepteerde/geweigerde verbinding. De gegevens worden geregistreerd in JSON-indeling, zoals weergegeven in het volgende voorbeeld:

  Category: network rule logs.
  Time: log timestamp.
  Properties: currently contains the full message.
  note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
  

  {
    "category": "AzureFirewallNetworkRule",
    "time": "2018-06-14T23:44:11.0590400Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallNetworkRuleLog",
    "properties": {
        "msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
    }
  }
  
  

• DNS-proxylogboek

  Het DNS-proxylogboek wordt alleen opgeslagen in een opslagaccount, gestreamd naar Event Hubs en/of verzonden naar Azure Monitor-logboeken als u dit hebt ingeschakeld voor elke Azure Firewall. Dit logboek houdt DNS-berichten bij naar een DNS-server die is geconfigureerd met dns-proxy. De gegevens worden vastgelegd in JSON-indeling, zoals wordt weergegeven in de volgende voorbeelden:

  Category: DNS proxy logs.
  Time: log timestamp.
  Properties: currently contains the full message.
  note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
  

  Succes:

  {
     "category": "AzureFirewallDnsProxy",
     "time": "2020-09-02T19:12:33.751Z",
     "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
     "operationName": "AzureFirewallDnsProxyLog",
     "properties": {
         "msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
     }
  }
  

  Mislukt:

  {
     "category": "AzureFirewallDnsProxy",
     "time": "2020-09-02T19:12:33.751Z",
     "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
     "operationName": "AzureFirewallDnsProxyLog",
     "properties": {
         "msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
     }
  }
  

  msg-indeling:

  [client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]

U hebt drie opties voor het opslaan van uw logboeken:

• Opslagaccount: opslagaccounts kunnen het best worden gebruikt wanneer logboeken voor een langere periode worden opgeslagen en moeten kunnen worden bekeken wanneer dat nodig is.
• Event Hubs: Event Hubs zijn een geweldige optie voor integratie met andere SIEM-hulpprogramma’s (Security Information and Event Management) om waarschuwingen over uw resources te krijgen.
• Azure Monitor: Azure Monitor logboeken kunnen het beste worden gebruikt voor algemene realtime bewaking van uw toepassing of voor het bekijken van trends.

Activiteitenlogboeken

Activiteitenlogboekitems worden standaard verzameld en kunnen in de Azure-portal worden bekeken.

U kunt Azure-activiteitenlogboeken (voorheen bekend als operationele logboeken en auditlogboeken) gebruiken om alle bewerkingen weer te geven die naar uw Azure-abonnement zijn verzonden.

Metrische gegevens

Metrische gegevens Azure Monitor zijn numerieke waarden die een bepaald aspect van een systeem op een bepaald moment beschrijven. Metrische gegevens worden elke minuut verzameld en zijn handig voor waarschuwingen, omdat ze regelmatig kunnen worden verzameld. Een waarschuwing kan snel worden afgemeld met relatief eenvoudige logica.

De volgende metrische gegevens zijn beschikbaar voor Azure Firewall:

• Aantal toepassingsregels: het aantal keer dat een toepassingsregel is geraakt.

  Eenheid: aantal

• Aantal treffers in netwerkregels: het aantal keren dat een netwerkregel is geraakt.

  Eenheid: aantal

• Verwerkte gegevens: de som van de gegevens die de firewall passeren in een bepaald tijdvenster.

  Eenheid: bytes

• Doorvoer: de snelheid van gegevens die de firewall passeren per seconde.

  Eenheid: bits per seconde

• Status van firewall: geeft de status van de firewall aan op basis van de beschikbaarheid van de SNAT-poort.

  Eenheid: percentage

  Deze metrische waarde heeft twee dimensies:

  • Status: Mogelijke waarden zijn In orde, Gedegradeerd, Niet in orde.

  • Reden: geeft de reden voor de bijbehorende status van de firewall aan.

    Als SNAT-poorten worden gebruikt > 95%, worden ze beschouwd als uitgeput en is de status 50% met status =Gedegradeerd en reden =SNAT-poort. De firewall blijft verkeer verwerken en bestaande verbindingen worden niet beïnvloed. Het is echter mogelijk dat het niet altijd lukt om nieuwe verbindingen tot stand te brengen.

    Als SNAT-poorten worden gebruikt < 95%, wordt de firewall als in orde beschouwd en wordt de status weergegeven als 100%.

    Als er geen gebruik van SNAT-poorten wordt gerapporteerd, wordt de status weergegeven als 0%.

• SNAT-poortgebruik: het percentage SNAT-poorten dat door de firewall is gebruikt.

  Eenheid: percentage

  Wanneer u meer openbare IP-adressen aan uw firewall toevoegt, zijn er meer SNAT-poorten beschikbaar, waardoor het gebruik van de SNAT-poorten afneemt. Als de firewall om wat voor reden dan ook wordt uitgeschaald (bijvoorbeeld CPU of doorvoer), komen er ook extra SNAT-poorten beschikbaar. Daarom kan een bepaald percentage van het gebruik van SNAT-poorten omlaag gaan zonder dat u openbare IP-adressen toevoegt, alleen omdat de service is uitschaald. U kunt rechtstreeks het aantal openbare IP-adressen beheren dat beschikbaar is om de beschikbare poorten op uw firewall te verhogen. U kunt het schalen van firewalls echter niet rechtstreeks beheren.

  Als uw firewall wordt uitgevoerd op SNAT-poortuitputting, moet u ten minste vijf openbare IP-adressen toevoegen. Hierdoor wordt het aantal beschikbare SNAT-poorten verhoogd. Zie voor meer informatie Azure Firewall functies.

Volgende stappen

• Zie Voor meer informatie over het bewaken Azure Firewall logboeken en metrische gegevens Zelfstudie: Logboeken Azure Firewall bewaken.

• Zie Metrische gegevens in Azure Monitor voor meer informatie over metrische gegevens in Azure Monitor.