Monitorowanie dzienników i metryk usługi Azure Firewall

Usługę Azure Firewall możesz monitorować przy użyciu dzienników zapory. Ponadto dzienniki aktywności umożliwiają inspekcję operacji wykonywanych względem zasobów usługi Azure Firewall. Za pomocą metryk możesz wyświetlać liczniki wydajności w portalu.

Niektóre z tych dzienników są dostępne za pośrednictwem portalu. Dzienniki można wysyłać do dzienników Azure Monitor, Storage i Event Hubs oraz analizować w dziennikach Azure Monitor lub za pomocą różnych narzędzi, takich jak Excel i Power BI.

Uwaga

Ten artykuł został niedawno zaktualizowany tak, aby korzystał z dzienników Azure Monitor, a nie Log Analytics. Dane dziennika nadal są przechowywane w obszarze roboczym Log Analytics i są nadal zbierane i analizowane przez tę samą usługę Log Analytics. Aktualizujemy terminologię, aby lepiej odzwierciedlić rolę dzienników w Azure monitor. Aby uzyskać szczegółowe informacje, zobacz Azure monitor terminologia .

Uwaga

W tym artykule jest używany moduł Azure Az programu PowerShell, który jest zalecanym modułem programu PowerShell do interakcji z platformą Azure. Aby rozpocząć pracę z modułem Azure PowerShell, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Wymagania wstępne

Przed rozpoczęciem należy przeczytać Azure Firewall i metryki, aby zapoznać się z omówieniem dzienników diagnostycznych i metryk dostępnych dla Azure Firewall.

Włączanie rejestrowania diagnostycznego za pośrednictwem witryny Azure Portal

Od wykonania tej procedury w celu włączenia rejestrowania diagnostycznego może upłynąć kilka minut, zanim dane pojawią się w dziennikach. Jeśli na początku nie widzisz żadnych danych, sprawdź ponownie za kilka minut.

  1. W Azure Portal otwórz grupę zasobów zapory i wybierz zaporę.

  2. W obszarze Monitorowanie wybierz pozycję Ustawienia diagnostyczne.

    W Azure Firewall dostępne są cztery dzienniki specyficzne dla usługi:

    • AzureFirewallApplicationRule
    • AzureFirewallNetworkRule
    • AzureFirewallDnsProxy
  3. Wybierz pozycję Dodaj ustawienia diagnostyczne. Strona Ustawienia diagnostyczne zawiera ustawienia dzienników diagnostycznych.

  4. W tym przykładzie dzienniki są przechowywane w dziennikach usługi Azure Monitor, więc wpisz nazwę Firewall log analytics.

  5. W obszarze Dziennik wybierz pozycję AzureFirewallApplicationRule, AzureFirewallNetworkRule i AzureFirewallDnsProxy, aby zebrać dzienniki.

  6. Wybierz pozycję Wyślij do usługi Log Analytics, aby skonfigurować obszar roboczy.

  7. Wybierz subskrypcję.

  8. Wybierz pozycję Zapisz.

Włączanie rejestrowania diagnostycznego przy użyciu programu PowerShell

Rejestrowanie aktywności jest automatycznie włączone dla wszystkich zasobów usługi Resource Manager. Aby rozpocząć zbieranie danych dostępnych za pośrednictwem tych dzienników, należy włączyć rejestrowanie diagnostyczne.

Aby włączyć rejestrowanie diagnostyczne przy użyciu programu PowerShell, należy wykonać następujące czynności:

  1. Zanotuj identyfikator zasobu obszaru roboczego usługi Log Analytics, w którym są przechowywane dane dziennika. Ta wartość ma postać:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    Możesz użyć dowolnego obszaru roboczego w ramach subskrypcji. Te informacje możesz znaleźć w witrynie Azure Portal. Informacje znajdują się na stronie Właściwości zasobu.

  2. Zanotuj identyfikator zasobu zapory. Ta wartość ma postać:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    Te informacje możesz znaleźć w portalu.

  3. Włącz rejestrowanie diagnostyczne dla wszystkich dzienników i metryk za pomocą następującego polecenia cmdlet programu PowerShell:

       $diagSettings = @{
       Name = 'toLogAnalytics'
       ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       Enabled = $true
       }
    Set-AzDiagnosticSetting  @diagSettings 
    

Włączanie rejestrowania diagnostycznego przy użyciu interfejsu wiersza polecenia platformy Azure

Rejestrowanie aktywności jest automatycznie włączone dla wszystkich zasobów usługi Resource Manager. Aby rozpocząć zbieranie danych dostępnych za pośrednictwem tych dzienników, należy włączyć rejestrowanie diagnostyczne.

Aby włączyć rejestrowanie diagnostyczne za pomocą interfejsu wiersza polecenia platformy Azure, należy wykonać następujące kroki:

  1. Zanotuj identyfikator zasobu obszaru roboczego usługi Log Analytics, w którym są przechowywane dane dziennika. Ta wartość ma postać:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    Możesz użyć dowolnego obszaru roboczego w ramach subskrypcji. Te informacje możesz znaleźć w witrynie Azure Portal. Informacje znajdują się na stronie Właściwości zasobu.

  2. Zanotuj identyfikator zasobu zapory. Ta wartość ma postać:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    Te informacje możesz znaleźć w portalu.

  3. Włącz rejestrowanie diagnostyczne dla wszystkich dzienników i metryk za pomocą następującego polecenia interfejsu wiersza polecenia platformy Azure:

       az monitor diagnostic-settings create -n 'toLogAnalytics'
       --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       --logs '[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]' 
       --metrics '[{\"category\": \"AllMetrics\",\"enabled\": true}]'
    

Wyświetlanie i analizowanie dziennika aktywności

Dane dziennika aktywności można wyświetlać i analizować przy użyciu dowolnej z następujących metod:

  • Narzędzia platformy Azure: pobierz informacje z dziennika aktywności przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure, interfejsu API REST platformy Azure lub witryny Azure Portal. Instrukcje krok po kroku dla każdej metody są szczegółowo opisane w artykule Activity operations with Resource Manager (Operacje działań przy użyciu usługi Resource Manager).

  • Usługa Power BI: jeśli nie masz jeszcze konta usługi Power BI, możesz ją wypróbować bezpłatnie. Korzystając z pakietu zawartości dzienników aktywności platformy Azure dla usługi Power BI, możesz analizować dane przy użyciu wstępnie skonfigurowanych pulpitów nawigacyjnych, których możesz używać bez zmian lub po dostosowaniu.

  • Microsoft Sentinel: możesz połączyć dzienniki usługi Azure Firewall z usługą Microsoft Sentinel, umożliwiając wyświetlanie danych dzienników w skoroszytach, używanie ich do tworzenia alertów niestandardowych i dołączanie ich w celu usprawnienia badania. Łącznik Azure Firewall danych w programie Microsoft Sentinel jest obecnie w publicznej wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Połączenie danych z Azure Firewall.

    Zobacz następujący klip wideo autorstwa Mohita Kumara, aby uzyskać omówienie:

Wyświetlanie i analizowanie dzienników reguł sieci i aplikacji

Azure Firewall Workbook zapewnia elastyczną kanwę do Azure Firewall analizy danych. Za jego pomocą można tworzyć rozbudowane raporty wizualne w Azure Portal. Możesz korzystać z wielu zapór wdrożonych na platformie Azure i łączyć je w ujednolicone, interaktywne środowisko.

Ponadto możesz połączyć się z kontem magazynu i pobrać wpisy dziennika JSON dotyczące dostępu i wydajności. Po pobraniu plików JSON możesz je przekonwertować do formatu CSV i wyświetlać w programie Excel, usłudze Power BI lub innym narzędziu do wizualizacji danych.

Porada

Jeśli znasz program Visual Studio oraz podstawowe pojęcia dotyczące zmiany wartości stałych i zmiennych w języku C#, możesz skorzystać z konwerterów dzienników dostępnych w witrynie GitHub.

Wyświetlanie metryk

Przejdź do Azure Firewall. W obszarze Monitorowanie wybierz pozycję Metryki. Aby wyświetlić dostępne wartości, wybierz listę rozwijaną METRYKA.

Następne kroki

Teraz, gdy skonfigurowano zaporę na potrzeby zbierania dzienników, możesz eksplorować dzienniki usługi Azure Monitor, aby wyświetlać dane.