Azure Firewall-loggar och mått
Du kan övervaka Azure Firewall med hjälp av brandväggsloggarna. Du kan också använda aktivitetsloggar till att granska åtgärder som utförs på Azure Firewall-resurser.
Du kan komma åt vissa av de här loggarna via portalen. Loggar kan skickas till Azure Monitor,Storage och Event Hubs och analyseras i Azure Monitor-loggar eller av olika verktyg som Excel och Power BI.
Mått är lätta och har stöd för scenarier i nära realtid, vilket gör dem användbara för aviseringar och snabb problemidentifiering.
Diagnostikloggar
Följande diagnostiska loggar är tillgängliga för Azure Firewall:
Programregelloggen
Programregelloggen sparas till ett lagringskonto, strömmas till Event Hubs och/eller skickas till Azure Monitor-loggar endast om du har aktiverat det för varje Azure Firewall. Varje ny anslutning som matchar en av de konfigurerade programreglerna genererar en loggpost för den accepterade eller nekade anslutningen. Data loggas i JSON-format, som du ser i följande exempel:
Category: application rule logs. Time: log timestamp. Properties: currently contains the full message. note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.{ "category": "AzureFirewallApplicationRule", "time": "2018-04-16T23:45:04.8295030Z", "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}", "operationName": "AzureFirewallApplicationRuleLog", "properties": { "msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002" } }{ "category": "AzureFirewallApplicationRule", "time": "2018-04-16T23:45:04.8295030Z", "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}", "operationName": "AzureFirewallApplicationRuleLog", "properties": { "msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals" } }Nätverksregellogg
Nätverksregelloggen sparas till ett lagringskonto, strömmas till Event Hubs och/eller skickas till Azure Monitor-loggar endast om du har aktiverat den för varje Azure Firewall. Varje ny anslutning som matchar en av de konfigurerade nätverksreglerna genererar en loggpost för den accepterade eller nekade anslutningen. Data loggas i JSON-format, här är ett exempel:
Category: network rule logs. Time: log timestamp. Properties: currently contains the full message. note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.{ "category": "AzureFirewallNetworkRule", "time": "2018-06-14T23:44:11.0590400Z", "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}", "operationName": "AzureFirewallNetworkRuleLog", "properties": { "msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny" } }DNS-proxylogg
DNS-proxyloggen sparas till ett lagringskonto, strömmas till Event Hubs och/eller skickas till Azure Monitor-loggar endast om du har aktiverat den för varje Azure Firewall. Den här loggfilen spårar DNS-meddelanden till en DNS-server som konfigurerats med DNS-proxy. Data loggas i JSON-format, som du ser i följande exempel:
Category: DNS proxy logs. Time: log timestamp. Properties: currently contains the full message. note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.Framgång:
{ "category": "AzureFirewallDnsProxy", "time": "2020-09-02T19:12:33.751Z", "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}", "operationName": "AzureFirewallDnsProxyLog", "properties": { "msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s" } }Misslyckades:
{ "category": "AzureFirewallDnsProxy", "time": "2020-09-02T19:12:33.751Z", "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}", "operationName": "AzureFirewallDnsProxyLog", "properties": { "msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout” } }msg-format:
[client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]
Du har tre alternativ för att lagra dina loggar:
- Storage-konto: Storage-konton passar bäst när loggarna ska lagras en längre tid och granskas vid behov.
- Händelsehubbar: Händelsehubbar är ett bra alternativ vid integrering med andra verktyg för säkerhetsinformation och händelsehantering (SEIM), när du vill få aviseringar om dina resurser.
- Azure Monitor loggar: Azure Monitor används bäst för allmän realtidsövervakning av ditt program eller för att titta på trender.
Aktivitetsloggar
Aktivitetsloggposter samlas in som standard, och du kan visa dem i Azure Portal.
Du kan använda Azure-aktivitetsloggar (kallades tidigare driftloggar och granskningsloggar) för att visa alla åtgärder som skickats till din Azure-prenumeration.
Mått
Mått i Azure Monitor numeriska värden som beskriver någon aspekt av ett system vid en viss tidpunkt. Mått samlas in varje minut och är användbara för aviseringar eftersom de kan samplas ofta. En avisering kan snabbt fås ut med relativt enkel logik.
Följande mått är tillgängliga för Azure Firewall:
Programregler träffar antal – antalet gånger som en programregel har använts.
Enhet: antal
Nätverksregler träffar antal – antalet gånger som en nätverksregel har använts.
Enhet: antal
Bearbetade data – Summan av data som går genom brandväggen i ett visst tidsfönster.
Enhet: byte
Dataflöde – datahastigheten som passerar brandväggen per sekund.
Enhet: bitar per sekund
Brandväggens hälsotillstånd – Anger hälsotillståndet för brandväggen baserat på tillgänglighet för SNAT-portar.
Enhet: procent
Det här måttet har två dimensioner:
Status: Möjliga värden är Felfri, Degraderad, Inte felfri.
Orsak: Anger orsaken till motsvarande status för brandväggen.
Om SNAT-portar används > 95 % anses de vara uttömda och hälsotillståndet är 50 % med status=Degraderad och orsak=SNAT-port. Brandväggen fortsätter att bearbeta trafik och befintliga anslutningar påverkas inte. Nya anslutningar kanske däremot inte upprättas tillfälligt.
Om SNAT-portar används < 95 % anses brandväggen vara felfri och hälsotillståndet visas som 100 %.
Om ingen SNAT-portanvändning visas är hälsan som 0 %.
SNAT-portanvändning – Procentandelen SNAT-portar som har använts av brandväggen.
Enhet: procent
När du lägger till fler offentliga IP-adresser i brandväggen blir fler SNAT-portar tillgängliga, vilket minskar SNAT-portarnas användningsgrad. När brandväggen skalas ut av olika anledningar (som processoranvändningen eller dataflödet) blir fler SNAT-portar också tillgängliga. Så effektivt kan en viss procentandel av SNAT-portanvändningen gå ned utan att du lägger till några offentliga IP-adresser, bara för att tjänsten skalas ut. Du kan direkt styra antalet offentliga IP-adresser som är tillgängliga för att öka antalet tillgängliga portar i brandväggen. Men du kan inte styra brandväggsskalningen direkt.
Om brandväggen får slut på SNAT-port bör du lägga till minst fem offentliga IP-adresser. Detta ökar antalet tillgängliga SNAT-portar. Mer information finns i Azure Firewall funktioner.
Nästa steg
Information om hur du övervakar Azure Firewall loggar och mått finns i Självstudie: Övervaka Azure Firewall loggar.
Mer information om mått i Azure Monitor finns i Mått i Azure Monitor.