Övervaka Azure Firewall-loggar och mått

  • Artikel
  • 4 minuter för att läsa

Du kan övervaka Azure Firewall med hjälp av brandväggsloggarna. Du kan också använda aktivitetsloggar till att granska åtgärder som utförs på Azure Firewall-resurser. Med hjälp av mått kan du visa prestandaräknare i portalen.

Du kan komma åt vissa av de här loggarna via portalen. Loggar kan skickas till Azure Monitor,Storage och Event Hubs och analyseras i Azure Monitor-loggar eller med olika verktyg som Excel och Power BI.

Anteckning

Den här artikeln har nyligen uppdaterats för användning av term Azure Monitors loggar i stället för Log Analytics. Loggdata lagras fortfarande i en Log Analytics arbets yta och samlas in och analyseras fortfarande av samma Log Analytics-tjänst. Vi uppdaterar terminologin för att bättre avspegla rollen för loggar i Azure Monitor. Se Azure Monitor terminologis ändringar för mer information.

Anteckning

I den här artikeln används Azure Az PowerShell-modulen, som är den rekommenderade PowerShell-modulen för att interagera med Azure. För att komma igång med Az PowerShell kan du läsa artikeln om att installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Förutsättningar

Innan du börjar bör du läsa Azure Firewall och mått för att få en översikt över diagnostikloggarna och måtten som är tillgängliga för Azure Firewall.

Aktivera diagnostisk loggning via Azure Portal

Det kan ta några minuter innan data visas i loggarna när du har aktiverat diagnostisk loggning. Om du inte ser någonting direkt kan du kontrollera igen om några minuter.

  1. I Azure Portal du brandväggens resursgrupp och väljer brandväggen.

  2. Under Övervakning väljer du Diagnostikinställningar.

    För Azure Firewall finns fyra tjänstspecifika loggar tillgängliga:

    • AzureFirewallApplicationRule
    • AzureFirewallNetworkRule
    • AzureFirewallDnsProxy

  3. Välj Lägg till diagnostikinställning. På sidan Diagnostikinställningar kan du göra inställningar för diagnostikloggarna.

  4. I det här exemplet lagras loggarna av Azure Monitor-loggar, så använd Firewall log analytics som namn.

  5. Under Logg väljer du AzureFirewallApplicationRule, AzureFirewallNetworkRule och AzureFirewallDnsProxy för att samla in loggarna.

  6. Välj Skicka till Log Analytics för att konfigurera din arbetsyta.

  7. Välj din prenumeration.

  8. Välj Spara.

Aktivera diagnostisk loggning med hjälp av PowerShell

Aktivitetsloggning är automatiskt aktiverad för alla Resource Manager-resurser. Däremot måste du aktivera diagnostisk loggning om du vill börja samla in de data som är tillgängliga via dessa loggar.

Använd följande steg för att aktivera diagnostisk loggning med PowerShell:

  1. Anteckna resurs-ID:t för Log Analytics-arbetsytan, där loggdata lagras. Det här värdet är i formuläret:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    Du kan använda valfri arbetsyta i din prenumeration. Du hittar den här informationen i Azure Portal. Informationen finns på resurssidan Egenskaper.

  2. Anteckna resurs-ID:t för brandväggen. Det här värdet är i formuläret:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    Du hittar den här informationen i Azure Portal.

  3. Aktivera diagnostisk loggning för alla loggar och mått med hjälp av följande PowerShell-cmdlet:

       $diagSettings = @{
   Name = 'toLogAnalytics'
   ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
   WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
   Enabled = $true
   }
Set-AzDiagnosticSetting  @diagSettings

Aktivera diagnostisk loggning med hjälp av Azure CLI

Aktivitetsloggning är automatiskt aktiverad för alla Resource Manager-resurser. Däremot måste du aktivera diagnostisk loggning om du vill börja samla in de data som är tillgängliga via dessa loggar.

Använd följande steg för att aktivera diagnostisk loggning med Azure CLI:

  1. Anteckna resurs-ID:t för Log Analytics-arbetsytan, där loggdata lagras. Det här värdet är i formuläret:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    Du kan använda valfri arbetsyta i din prenumeration. Du hittar den här informationen i Azure Portal. Informationen finns på resurssidan Egenskaper.

  2. Anteckna resurs-ID:t för brandväggen. Det här värdet är i formuläret:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    Du hittar den här informationen i Azure Portal.

  3. Aktivera diagnostisk loggning för alla loggar och mått med hjälp av följande Azure CLI-kommando:

       az monitor diagnostic-settings create -n 'toLogAnalytics'
   --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
   --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
   --logs '[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]' 
   --metrics '[{\"category\": \"AllMetrics\",\"enabled\": true}]'

Visa och analysera aktivitetsloggar

Du kan visa och analysera aktivitetsloggdata med någon av följande metoder:

  • Azure-verktyg: Hämta information från aktivitetsloggen via Azure PowerShell, Azure-CLI:t, Azure REST-API:t eller Azure Portal. Det finns stegvisa instruktioner för respektive metod i artikeln Aktivitetsåtgärder med Resource Manager.

  • Power BI: Om du inte redan har ett Power BI-konto kan du prova ett utan kostnad. Med innehållspaketet Azure aktivitetsloggar för Power BI kan du analysera dina data på förkonfigurerade instrumentpaneler, som du både kan anpassa och använda i befintligt skick.

  • Microsoft Sentinel: Du kan ansluta Azure Firewall-loggar till Microsoft Sentinel, så att du kan visa loggdata i arbetsböcker, använda dem för att skapa anpassade aviseringar och införliva dem för att förbättra din undersökning. Anslutningsappen Azure Firewall i Microsoft Sentinel är för närvarande i offentlig förhandsversion. Mer information finns i Anslut data från Azure Firewall.

    Se följande video av Mohit Kumar för en översikt:

Visa och analysera loggar för nätverk och programregler

Azure Firewall Arbetsbok ger en flexibel arbetsyta för Azure Firewall dataanalys. Du kan använda den för att skapa omfattande visuella rapporter i Azure Portal. Du kan använda flera brandväggar som distribuerats i Azure och kombinera dem i enhetliga interaktiva upplevelser.

Du kan också ansluta till ditt lagringskonto och hämta JSON-loggposter för åtkomst- och prestandaloggar. När du har laddat ned JSON-filerna kan du konvertera dem till CSV-format och visa dem i Excel, Power BI eller något annat verktyg för visualisering av data.

Tips

Om du är bekant med Visual Studio och kan grunderna i att ändra värden för konstanter och variabler i C# så kan du använda verktygen för loggkonvertering från GitHub.

Visa mått

Bläddra till en Azure Firewall. Gå till Övervakning och välj Mått. Om du vill visa de tillgängliga värdena väljer du listrutan MÅTT.

Nästa steg

Nu när du har konfigurerat brandväggen för insamling av loggar kan du utforska hur du visar dina data i Azure Monitor-loggar.