Azure Güvenlik Duvarı günlüklerini ve ölçümlerini izlemeMonitor Azure Firewall logs and metrics

Güvenlik duvarı günlüklerini kullanarak Azure Güvenlik Duvarı'nı izleyebilirsiniz.You can monitor Azure Firewall using firewall logs. Ayrıca etkinlik günlüklerini kullanarak Azure Güvenlik Duvarı kaynaklarıyla ilgili işlemleri denetleyebilirsiniz.You can also use activity logs to audit operations on Azure Firewall resources. Ölçümleri kullanarak portalda performans sayaçlarını görüntüleyebilirsiniz.Using metrics, you can view performance counters in the portal.

Bu günlüklerden bazılarına portaldan erişebilirsiniz.You can access some of these logs through the portal. Günlükler Azure izleyicigünlüklerine, depolamaya ve Event Hubs gönderilebilir ve Azure izleyici günlüklerinde veya Excel ve Power BI gibi farklı araçlarla analiz edilebilir.Logs can be sent to Azure Monitor logs, Storage, and Event Hubs and analyzed in Azure Monitor logs or by different tools such as Excel and Power BI.

Not

Bu makale, son zamanlarda Log Analytics yerine Azure Izleyici günlükleri terimini kullanacak şekilde güncelleştirildi.This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. Günlük verileri hala bir Log Analytics çalışma alanında depolanır ve yine de aynı Log Analytics hizmeti tarafından toplanıp çözümlenmektedir.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Azure izleyici 'de günlüklerinrolünü daha iyi yansıtacak şekilde terminolojiyi güncelleştiriyoruz.We are updating the terminology to better reflect the role of logs in Azure Monitor. Ayrıntılar için bkz. Azure izleyici terminolojisi değişiklikleri .See Azure Monitor terminology changes for details.

Not

Bu makale Azure Az PowerShell modülünü kullanacak şekilde güncelleştirilmiştir.This article has been updated to use the Azure Az PowerShell module. Az PowerShell modülü, Azure ile etkileşim kurmak için önerilen PowerShell modülüdür.The Az PowerShell module is the recommended PowerShell module for interacting with Azure. Az PowerShell modülünü kullanmaya başlamak için Azure PowerShell’i yükleyin.To get started with the Az PowerShell module, see Install Azure PowerShell. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.

ÖnkoşullarPrerequisites

Başlamadan önce Azure Güvenlik Duvarı için kullanılabilen tanılama günlüklerine ve ölçümlere genel bir bakış için Azure Güvenlik Duvarı günlüklerini ve ölçümlerini okumalısınız.Before starting you should read Azure Firewall logs and metrics for an overview of the diagnostics logs and metrics available for Azure Firewall.

Azure portaldan tanılama günlüğüne kaydetmeyi etkinleştirmeEnable diagnostic logging through the Azure portal

Tanılama günlüğüne kaydetme işlemi etkinleştirildikten sonra verilerin günlükte görünmesi birkaç dakika sürebilir.It can take a few minutes for the data to appear in your logs after you complete this procedure to turn on diagnostic logging. İlk seferde görünen veri olmazsa birkaç dakika sonra tekrar deneyin.If you don't see anything at first, check again in a few more minutes.

  1. Azure portal, güvenlik duvarı kaynak grubunuzu açın ve güvenlik duvarını seçin.In the Azure portal, open your firewall resource group and select the firewall.

  2. İzleme bölümünde Tanılama ayarları'nı seçin.Under Monitoring, select Diagnostic settings.

    Azure Güvenlik Duvarı için hizmete özgü dört günlük kullanılabilir:For Azure Firewall, four service-specific logs are available:

    • AzureFirewallApplicationRuleAzureFirewallApplicationRule
    • AzureFirewallNetworkRuleAzureFirewallNetworkRule
    • AzureFirewallThreatIntelLogAzureFirewallThreatIntelLog
    • AzureFirewallDnsProxyAzureFirewallDnsProxy
  3. Tanılama ayarı ekle’yi seçin.Select Add diagnostic setting. Tanılama ayarları sayfasında tanılama günlükleriyle ilgili ayarlar bulunur.The Diagnostics settings page provides the settings for the diagnostic logs.

  4. Bu örnekte, Azure Izleyici günlükleri günlükleri depolar, bu nedenle ad için güvenlik duvarı Log Analytics yazın.In this example, Azure Monitor logs stores the logs, so type Firewall log analytics for the name.

  5. Günlük altında, günlükleri toplamak için AzureFirewallApplicationRule, AzureFirewallNetworkRule, AzureFirewallThreatIntelLog ve AzureFirewallDnsProxy öğesini seçin.Under Log, select AzureFirewallApplicationRule, AzureFirewallNetworkRule, AzureFirewallThreatIntelLog, and AzureFirewallDnsProxy to collect the logs.

  6. Çalışma alanınızı yapılandırmak için Log Analytics gönder ' i seçin.Select Send to Log Analytics to configure your workspace.

  7. Aboneliğinizi seçin.Select your subscription.

  8. Kaydet’i seçin.Select Save.

PowerShell kullanarak tanılama günlüğünü etkinleştirmeEnable diagnostic logging by using PowerShell

Etkinlik günlüğü tüm Kaynak Yöneticisi kaynakları için otomatik olarak etkinleştirilir.Activity logging is automatically enabled for every Resource Manager resource. Bu günlükler aracılığıyla sunulan verileri toplamaya başlamak için tanılama günlüğüne kaydetme işlevinin etkinleştirilmesi gerekir.Diagnostic logging must be enabled to start collecting the data available through those logs.

Tanılama günlük kaydını PowerShell ile etkinleştirmek için aşağıdaki adımları kullanın:To enable diagnostic logging with PowerShell, use the following steps:

  1. Log Analytics çalışma alanı kaynak KIMLIĞINIZI, burada günlük verilerinin depolandığını aklınızda yapın.Note your Log Analytics Workspace resource ID, where the log data is stored. Bu değer şu biçimdedir: /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name> .This value is of the form: /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>.

    Aboneliğinizdeki herhangi bir çalışma alanını kullanabilirsiniz.You can use any workspace in your subscription. Bu bilgileri Azure portalda bulabilirsiniz.You can use the Azure portal to find this information. Bilgiler, kaynak özellikleri sayfasında bulunur.The information is located in the resource Properties page.

  2. Günlüğe kaydetmenin etkinleştirildiği güvenlik duvarının kaynak kimliğini not edin.Note your Firewall's resource ID for which logging is enabled. Bu değer şu biçimdedir: /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name> .This value is of the form: /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>.

    Bu bilgileri portalda bulabilirsiniz.You can use the portal to find this information.

  3. Aşağıdaki PowerShell cmdlet 'ini kullanarak tüm Günlükler ve ölçümler için tanılama günlüğünü etkinleştirin:Enable diagnostic logging for all logs and metrics by using the following PowerShell cmdlet:

    $diagSettings = @{
       Name = 'toLogAnalytics'
       ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       Enabled = $true
    }
    Set-AzDiagnosticSetting  @diagSettings 
    

Azure CLı kullanarak tanılama günlüğünü etkinleştirmeEnable diagnostic logging by using the Azure CLI

Etkinlik günlüğü tüm Kaynak Yöneticisi kaynakları için otomatik olarak etkinleştirilir.Activity logging is automatically enabled for every Resource Manager resource. Bu günlükler aracılığıyla sunulan verileri toplamaya başlamak için tanılama günlüğüne kaydetme işlevinin etkinleştirilmesi gerekir.Diagnostic logging must be enabled to start collecting the data available through those logs.

Azure CLı ile tanılama günlüğünü etkinleştirmek için aşağıdaki adımları kullanın:To enable diagnostic logging with Azure CLI, use the following steps:

  1. Log Analytics çalışma alanı kaynak KIMLIĞINIZI, burada günlük verilerinin depolandığını aklınızda yapın.Note your Log Analytics Workspace resource ID, where the log data is stored. Bu değer şu biçimdedir: /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name> .This value is of the form: /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>.

    Aboneliğinizdeki herhangi bir çalışma alanını kullanabilirsiniz.You can use any workspace in your subscription. Bu bilgileri Azure portalda bulabilirsiniz.You can use the Azure portal to find this information. Bilgiler, kaynak özellikleri sayfasında bulunur.The information is located in the resource Properties page.

  2. Günlüğe kaydetmenin etkinleştirildiği güvenlik duvarının kaynak kimliğini not edin.Note your Firewall's resource ID for which logging is enabled. Bu değer şu biçimdedir: /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name> .This value is of the form: /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>.

    Bu bilgileri portalda bulabilirsiniz.You can use the portal to find this information.

  3. Aşağıdaki Azure CLı komutunu kullanarak tüm Günlükler ve ölçümler için tanılama günlüğünü etkinleştirin:Enable diagnostic logging for all logs and metrics by using the following Azure CLI command:

    az monitor diagnostic-settings create -n 'toLogAnalytics'
       --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       --logs '[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]' 
       --metrics '[{\"category\": \"AllMetrics\",\"enabled\": true}]'
    

Etkinlik günlüğünü görüntüleme ve analiz etmeView and analyze the activity log

Aşağıdaki yöntemlerden birini kullanarak etkinlik günlüğü verilerini görüntüleyebilir ve analiz edebilirsiniz:You can view and analyze activity log data by using any of the following methods:

  • Azure araçları: Etkinlik günlüğü verilerini Azure PowerShell, Azure CLI, Azure REST API veya Azure portal üzerinden alabilirsiniz.Azure tools: Retrieve information from the activity log through Azure PowerShell, the Azure CLI, the Azure REST API, or the Azure portal. Her yöntemle ilgili ayrıntılı adımlar Kaynak Yöneticisi etkinlik işlemleri makalesinde ayrıntılı bir şekilde anlatılmıştır.Step-by-step instructions for each method are detailed in the Activity operations with Resource Manager article.
  • Power BI: Power BI hesabınız yoksa ücretsiz oluşturabilirsiniz.Power BI: If you don't already have a Power BI account, you can try it for free. Power BI için Azure Activity Logs içerik paketi ile verilerinizi önceden yapılandırılmış panoları olduğu gibi veya değiştirerek kullanarak analiz edebilirsiniz.By using the Azure Activity Logs content pack for Power BI, you can analyze your data with preconfigured dashboards that you can use as is or customize.
  • Azure Sentinel: Azure Güvenlik Duvarı günlüklerini Azure Sentinel 'e bağlanarak, çalışma kitaplarında günlük verilerini görüntülemenize, özel uyarılar oluşturmak için bu uygulamayı kullanmanıza ve araştırmanızı iyileştirebilecek şekilde katabilirsiniz.Azure Sentinel: You can connect Azure Firewall logs to Azure Sentinel, enabling you to view log data in workbooks, use it to create custom alerts, and incorporate it to improve your investigation. Azure Sentinel 'deki Azure Güvenlik Duvarı veri Bağlayıcısı Şu anda genel önizlemededir.The Azure Firewall data connector in Azure Sentinel is currently in public preview. Daha fazla bilgi için bkz. Azure güvenlik duvarından verileri bağlama.For more information, see Connect data from Azure Firewall.

Ağ ve uygulama kuralı günlüklerini görüntüleme ve analiz etmeView and analyze the network and application rule logs

Azure izleyici günlükleri sayaç ve olay günlüğü dosyalarını toplar.Azure Monitor logs collects the counter and event log files. Günlüklerinizi analiz etmek için görselleştirmelere ve güçlü arama özelliklerine sahiptir.It includes visualizations and powerful search capabilities to analyze your logs.

Azure Güvenlik Duvarı günlük Analizi örnek sorguları için bkz. Azure Güvenlik Duvarı günlük Analizi örnekleri.For Azure Firewall log analytics sample queries, see Azure Firewall log analytics samples.

Azure Güvenlik Duvarı çalışma kitabı , Azure Güvenlik Duvarı veri analizi için esnek bir tuval sağlar.Azure Firewall Workbook provides a flexible canvas for Azure Firewall data analysis. Azure portal içinde zengin görsel raporlar oluşturmak için kullanabilirsiniz.You can use it to create rich visual reports within the Azure portal. Azure üzerinde dağıtılan birden çok Güvenlik duvarınıza dokunabilir ve bunları Birleşik etkileşimli deneyimler halinde birleştirebilirsiniz.You can tap into multiple Firewalls deployed across Azure, and combine them into unified interactive experiences.

Dilerseniz depolama hesabınıza bağlanabilir ve JSON erişim günlüklerini ve performans günlüklerini alabilirsiniz.You can also connect to your storage account and retrieve the JSON log entries for access and performance logs. İndirdiğiniz JSON dosyalarını CSV biçimine dönüştürebilir ve Excel, Power BI veya diğer veri görselleştirme araçlarında görüntüleyebilirsiniz.After you download the JSON files, you can convert them to CSV and view them in Excel, Power BI, or any other data-visualization tool.

İpucu

Visual Studio ve C# ile sabit ve değişken değerlerini değiştirme konusunda temel kavramlara hakimseniz GitHub'daki günlük dönüştürücü araçlarını kullanabilirsiniz.If you are familiar with Visual Studio and basic concepts of changing values for constants and variables in C#, you can use the log converter tools available from GitHub.

Ölçümleri görüntüleView metrics

Azure Güvenlik Duvarı ' na giderek Izleme ölçüm' i seçin.Browse to an Azure Firewall, under Monitoring select Metrics. Kullanılabilir değerleri görüntülemek için ÖLÇÜM açılan listesini seçin.To view the available values, select the METRIC drop-down list.

Sonraki adımlarNext steps

Güvenlik duvarınızı günlükleri toplayacak şekilde yapılandırdığınıza göre, verilerinizi görüntülemek için Azure Izleyici günlüklerini keşfedebilirsiniz.Now that you've configured your firewall to collect logs, you can explore Azure Monitor logs to view your data.

Azure Güvenlik Duvarı çalışma kitabını kullanarak günlükleri izlemeMonitor logs using Azure Firewall Workbook

Azure Izleyici günlüklerinde ağ izleme çözümleriNetworking monitoring solutions in Azure Monitor logs