Журналы структурированного брандмауэра Azure

  • Статья

Структурированные журналы — это тип данных журнала, упорядоченных в определенном формате. Они используют предопределенную схему для структурирования данных журнала таким образом, чтобы упростить поиск, фильтрацию и анализ. В отличие от неструктурированных журналов, которые состоят из свободного текста, структурированные журналы имеют согласованный формат, который компьютеры могут анализировать и анализировать.

структурированные журналы Брандмауэр Azure предоставляют более подробное представление о событиях брандмауэра. К ним относятся такие сведения, как IP-адреса источника и назначения, протоколы, номера портов и действия, выполняемые брандмауэром. Они также содержат дополнительные метаданные, такие как время события и имя экземпляра Брандмауэр Azure.

В настоящее время для Брандмауэр Azure доступны следующие категории журналов диагностики:

  • Журнал правил приложений
  • Журнал правил сети
  • Журнал DNS-прокси

В этих категориях журналов используется режим диагностики Azure. В этом режиме все данные из любого параметра диагностики будут собираться в таблицу AzureDiagnostics.

При использовании структурированных журналов вы можете использовать таблицы для конкретных ресурсов вместо существующей таблицы AzureDiagnostics . Если требуются оба набора журналов, нужно создать по крайней мере два параметра диагностики для каждого брандмауэра.

Режим для конкретных ресурсов

В зависящем от ресурса режиме отдельные таблицы в выбранной рабочей области создаются для каждой категории, выбранной в параметре диагностики. Этот метод рекомендуется, так как он:

  • Может снизить общие затраты на ведение журнала до 80 %.
  • значительно упрощает работу с данными в запросах журнала;
  • упрощает обнаружение схем и их структуры;
  • повышает производительность как по задержке приема, так и по времени запросов;
  • позволяет предоставлять права Azure RBAC для определенной таблицы.

Новые таблицы для конкретных ресурсов теперь доступны в параметре диагностики, который позволяет использовать следующие категории:

  • Журнал правил сети — содержит все данные журнала правил сети. Каждое совпадение между плоскостью данных и правилом сети приводит к созданию записи журнала с пакетом плоскости данных и атрибутами соответствующего правила.
  • Журнал правил NAT — содержит все данные журнала событий DNAT (преобразование сетевых адресов назначения). Каждое совпадение между плоскостью данных и правилом DNAT приводит к созданию записи журнала с пакетом плоскости данных и атрибутами соответствующего правила.
  • Журнал правил приложения — содержит все данные журнала правил приложения. Каждое совпадение между плоскостью данных и правилом приложения приводит к созданию записи журнала с пакетом плоскости данных и атрибутами соответствующего правила.
  • Журнал аналитики угроз — содержит все события аналитики угроз.
  • Журнал IDPS — содержит все пакеты плоскости данных, которые были сопоставлены с одной или несколькими сигнатурами IDPS.
  • Журнал прокси-сервера DNS — содержит все данные журнала событий прокси-сервера DNS.
  • Журнал сбоев при разрешении внутреннего полного доменного имени — содержит все внутренние запросы на разрешение полных доменных имен брандмауэра, которые привели к сбою.
  • Журнал агрегирования правил приложения — содержит агрегированные данные журнала правил приложения для аналитики политик.
  • Журнал агрегирования правил сети — содержит агрегированные данные журнала правил сети для аналитики политик.
  • Журнал агрегирования правил NAT — содержит агрегированные данные журнала правил NAT для аналитики политик.
  • Журнал верхних потоков (предварительная версия) — в журнале Top Flow (Fat Flows) отображаются основные подключения, которые способствуют максимальной пропускной способности через брандмауэр.
  • Трассировка потока (предварительная версия) — содержит сведения о потоке, флаги и период времени, когда потоки были записаны. Вы можете просмотреть сведения о полном потоке, такие как SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (потоки).

Включение структурированных журналов

Чтобы включить Брандмауэр Azure структурированные журналы, необходимо сначала настроить рабочую область Log Analytics в подписке Azure. Эта рабочая область используется для хранения структурированных журналов, созданных Брандмауэр Azure.

После настройки рабочей области Log Analytics можно включить структурированные журналы в Брандмауэр Azure, перейдя на страницу Параметры диагностики брандмауэра в портал Azure. После этого необходимо выбрать таблицу назначения для конкретных ресурсов и выбрать тип событий, которые требуется регистрировать.

Примечание

Включать эту функцию с помощью флага компонента или Azure PowerShell команд не требуется.

Снимок экрана: страница параметров диагностики.

Запросы структурированных журналов

Список предопределенных запросов доступен в портал Azure. Этот список содержит предопределенный запрос журнала KQL (язык запросов Kusto) для каждой категории и объединенный запрос, показывающий все события ведения журнала брандмауэра Azure в одном представлении.

Снимок экрана: запросы Брандмауэр Azure.

Книга Брандмауэра Azure

Книга Брандмауэра Azure предоставляет настраиваемый холст для анализа данных Брандмауэра Azure. Она позволяет создавать многофункциональные визуальные отчеты на портале Azure. Вы можете использовать несколько брандмауэров, развернутых в Azure, и объединить их в единый интерактивный интерфейс.

Сведения о развертывании новой книги, которая использует Брандмауэр Azure структурированных журналов, см. в статье Книга Azure Monitor для Брандмауэр Azure.

Дальнейшие действия