обзор журналов и метрик Брандмауэр Azure

  • Статья

Журналы и метрики можно использовать Брандмауэр Azure для мониторинга трафика и операций в брандмауэре. Эти журналы и метрики служат нескольким основным целям, в том числе:

  • Анализ трафика: используйте журналы для проверки и анализа трафика, передаваемого через брандмауэр. Это включает изучение разрешенного и запрещенного трафика, проверка исходных и целевых IP-адресов, URL-адресов, номеров портов, протоколов и т. д. Эти аналитические сведения важны для понимания шаблонов трафика, выявления потенциальных угроз безопасности и устранения проблем с подключением.

  • Метрики производительности и работоспособности: Брандмауэр Azure метрики предоставляют метрики производительности и работоспособности, такие как данные, пропускная способность, количество попаданий правил и задержка. Отслеживайте эти метрики, чтобы оценить общую работоспособность брандмауэра, определить узкие места производительности и обнаружить аномалии.

  • Аудит тропы. Журналы действий позволяют выполнять аудит операций, связанных с ресурсами брандмауэра, захватывая такие действия, как создание, обновление или удаление правил и политик брандмауэра. Просмотр журналов действий помогает сохранить историческую запись изменений конфигурации и обеспечить соответствие требованиям к безопасности и аудиту.

Просмотр и хранение

Журналы и метрики можно получить через портал Azure с несколькими вариантами хранения и анализа:

  • Рабочая область Log Analytics (на основе Azure Monitor): централизация журналов и метрик Брандмауэр Azure в рабочей области Log Analytics для расширенного анализа, создания настраиваемой панели мониторинга и настройки оповещений на основе определенных пороговых значений метрик.

  • учетная запись служба хранилища. Хранение журналов в учетной записи служба хранилища Azure для долгосрочного хранения и интеграции с внешними средствами анализа журналов.

  • Концентратор событий: потоковая передача журналов Брандмауэр Azure в Концентратор событий Azure для обработки, анализа или интеграции со сторонними решениями SIEM.

  • Партнерские решения. Отправка журналов Брандмауэр Azure сторонним партнерским решениям для дальнейшего анализа и корреляции с другими данными безопасности.

Параметры конфигурации журналов и метрик для Брандмауэр Azure обычно выполняются через портал Azure. Это позволяет указать назначение для журналов и метрик, а также настроить конфигурации хранения и оповещений, адаптированные к требованиям к мониторингу и безопасности вашей организации.

структурированные журналы;

Отслеживайте Брандмауэр Azure с помощью структурированных журналов, которые используют предопределенную схему для структурирования данных журнала для простого поиска, фильтрации и анализа. Эти журналы включают такие сведения, как исходные и конечные IP-адреса, протоколы, номера портов и действия брандмауэра. Определите приоритет настройки структурированных журналов в качестве основного типа журнала с помощью таблиц с определенными ресурсами вместо существующей таблицы AzureDiagnostics. Сведения о включении этих журналов и изучении категорий журналов см. в разделе "Структурированные журналы брандмауэра Azure".

Устаревшие журналы Диагностика Azure

Устаревшие журналы диагностики Azure — это исходные запросы журнала Брандмауэр Azure, которые выводят данные журнала в неструктурированном или текстовом формате свободной формы. Устаревшие категории журналов Брандмауэр Azure используют режим диагностика Azure, собирая все данные в таблице AzureDiagnostics. Если требуются как структурированные, так и диагностические журналы, необходимо создать по крайней мере два параметра диагностики для каждого брандмауэра. Сведения о включении этих журналов и изучении категорий журналов см. в разделе Брандмауэр Azure журналов диагностики.

Метрики

Метрики в Azure Monitor — это числовые значения, описывающие аспекты системы в определенное время. Собранные каждую минуту метрики полезны для оповещений из-за их частой выборки. Быстро настройте оповещения с относительно простой логикой. Доступные метрики и настройка оповещений для Брандмауэр Azure см. в Брандмауэр Azure метрик и оповещений.

Журналы действий

Записи журнала действий собираются по умолчанию, и их можно просмотреть на портале Azure. Используйте журналы действий Azure (прежнее название — операционные журналы и журналы аудита) для просмотра всех операций, отправленных в подписку Azure.

Следующие шаги