Azure Güvenlik Duvarı günlüklerini ve ölçümlerini izleme
Güvenlik duvarı günlüklerini kullanarak Azure Güvenlik Duvarı'nı izleyebilirsiniz. Ayrıca etkinlik günlüklerini kullanarak Azure Güvenlik Duvarı kaynaklarıyla ilgili işlemleri denetleyebilirsiniz. Ölçümleri kullanarak portalda performans sayaçlarını görüntüleyebilirsiniz.
Bu günlüklerden bazılarına portaldan erişebilirsiniz. günlükler azureizleyici günlüklerine, Depolama ve Event Hubs gönderilebilir ve azure izleyici günlüklerinde veya Excel ve Power BI gibi farklı araçlarla analiz edilebilir.
Not
Bu makale, son zamanlarda Log Analytics yerine Azure Izleyici günlükleri terimini kullanacak şekilde güncelleştirildi. Günlük verileri hala bir Log Analytics çalışma alanında depolanır ve yine de aynı Log Analytics hizmeti tarafından toplanıp çözümlenmektedir. Azure izleyici 'de günlüklerinrolünü daha iyi yansıtacak şekilde terminolojiyi güncelleştiriyoruz. Ayrıntılar için bkz. Azure izleyici terminolojisi değişiklikleri .
Not
Bu makalede, Azure ile etkileşim kurmak için önerilen PowerShell modülü olan Azure Az PowerShell modülü kullanılır. Az PowerShell modülünü kullanmaya başlamak için Azure PowerShell’i yükleyin. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.
Önkoşullar
Başlamadan önce, Azure Güvenlik Duvarı için kullanılabilen tanılama günlüklerine ve ölçümlere genel bir bakış için Azure Güvenlik Duvarı günlüklerini ve ölçümlerini okumalısınız.
Azure portaldan tanılama günlüğüne kaydetmeyi etkinleştirme
Tanılama günlüğüne kaydetme işlemi etkinleştirildikten sonra verilerin günlükte görünmesi birkaç dakika sürebilir. İlk seferde görünen veri olmazsa birkaç dakika sonra tekrar deneyin.
Azure portal, güvenlik duvarı kaynak grubunuzu açın ve güvenlik duvarını seçin.
İzleme bölümünde Tanılama ayarları'nı seçin.
Azure Güvenlik Duvarı için hizmete özgü dört günlük kullanılabilir:
- AzureFirewallApplicationRule
- AzureFirewallNetworkRule
- AzureFirewallDnsProxy
Tanılama ayarı ekle’yi seçin. Tanılama ayarları sayfasında tanılama günlükleriyle ilgili ayarlar bulunur.
Bu örnekte, Azure Izleyici günlükleri günlükleri depolar, bu nedenle ad için güvenlik duvarı Log Analytics yazın.
Günlük altında, günlükleri toplamak için AzureFirewallApplicationRule, AzureFirewallNetworkRule ve AzureFirewallDnsProxy öğesini seçin.
Çalışma alanınızı yapılandırmak için Log Analytics gönder ' i seçin.
Aboneliğinizi seçin.
Kaydet’i seçin.
PowerShell kullanarak tanılama günlüğünü etkinleştirme
Etkinlik günlüğü tüm Kaynak Yöneticisi kaynakları için otomatik olarak etkinleştirilir. Bu günlükler aracılığıyla sunulan verileri toplamaya başlamak için tanılama günlüğüne kaydetme işlevinin etkinleştirilmesi gerekir.
Tanılama günlük kaydını PowerShell ile etkinleştirmek için aşağıdaki adımları kullanın:
Log Analytics çalışma alanı kaynak KIMLIĞINIZI, burada günlük verilerinin depolandığını aklınızda yapın. Bu değer şu biçimdedir:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>Aboneliğinizdeki herhangi bir çalışma alanını kullanabilirsiniz. Bu bilgileri Azure portalda bulabilirsiniz. Bilgiler, kaynak özellikleri sayfasında bulunur.
Güvenlik duvarının kaynak KIMLIĞINI aklınızda edin. Bu değer şu biçimdedir:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>Bu bilgileri portalda bulabilirsiniz.
Aşağıdaki PowerShell cmdlet 'ini kullanarak tüm Günlükler ve ölçümler için tanılama günlüğünü etkinleştirin:
$diagSettings = @{ Name = 'toLogAnalytics' ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>' WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>' Enabled = $true } Set-AzDiagnosticSetting @diagSettings
Azure CLı kullanarak tanılama günlüğünü etkinleştirme
Etkinlik günlüğü tüm Kaynak Yöneticisi kaynakları için otomatik olarak etkinleştirilir. Bu günlükler aracılığıyla sunulan verileri toplamaya başlamak için tanılama günlüğüne kaydetme işlevinin etkinleştirilmesi gerekir.
Azure CLı ile tanılama günlüğünü etkinleştirmek için aşağıdaki adımları kullanın:
Log Analytics çalışma alanı kaynak KIMLIĞINIZI, burada günlük verilerinin depolandığını aklınızda yapın. Bu değer şu biçimdedir:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>Aboneliğinizdeki herhangi bir çalışma alanını kullanabilirsiniz. Bu bilgileri Azure portalda bulabilirsiniz. Bilgiler, kaynak özellikleri sayfasında bulunur.
Güvenlik duvarının kaynak KIMLIĞINI aklınızda edin. Bu değer şu biçimdedir:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>Bu bilgileri portalda bulabilirsiniz.
Aşağıdaki Azure CLı komutunu kullanarak tüm Günlükler ve ölçümler için tanılama günlüğünü etkinleştirin:
az monitor diagnostic-settings create -n 'toLogAnalytics' --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>' --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>' --logs '[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]' --metrics '[{\"category\": \"AllMetrics\",\"enabled\": true}]'
Etkinlik günlüğünü görüntüleme ve analiz etme
Aşağıdaki yöntemlerden birini kullanarak etkinlik günlüğü verilerini görüntüleyebilir ve analiz edebilirsiniz:
Azure araçları: Etkinlik günlüğü verilerini Azure PowerShell, Azure CLI, Azure REST API veya Azure portal üzerinden alabilirsiniz. Her yöntemle ilgili ayrıntılı adımlar Kaynak Yöneticisi etkinlik işlemleri makalesinde ayrıntılı bir şekilde anlatılmıştır.
Power BI: Power BI hesabınız yoksa ücretsiz oluşturabilirsiniz. Power BI için Azure Activity Logs içerik paketi ile verilerinizi önceden yapılandırılmış panoları olduğu gibi veya değiştirerek kullanarak analiz edebilirsiniz.
Microsoft Sentinel: Azure Güvenlik Duvarı günlüklerini Microsoft Sentinel 'e bağlanarak, çalışma kitaplarında günlük verilerini görüntülemenize, özel uyarılar oluşturmak için bu uygulamayı kullanmanıza ve araştırmanızı iyileştirebilecek şekilde katabilirsiniz. Microsoft Sentinel 'deki Azure Güvenlik Duvarı veri Bağlayıcısı Şu anda genel önizlemededir. daha fazla bilgi için bkz. Azure güvenlik duvarından Bağlan verileri.
Genel bakış için Mohit Rohan 'e göre aşağıdaki videoya göz atın:
Ağ ve uygulama kuralı günlüklerini görüntüleme ve analiz etme
Azure Güvenlik Duvarı çalışma kitabı , Azure Güvenlik Duvarı veri analizi için esnek bir tuval sağlar. Azure portal içinde zengin görsel raporlar oluşturmak için kullanabilirsiniz. Azure üzerinde dağıtılan birden çok Güvenlik duvarınıza dokunabilir ve bunları Birleşik etkileşimli deneyimler halinde birleştirebilirsiniz.
Dilerseniz depolama hesabınıza bağlanabilir ve JSON erişim günlüklerini ve performans günlüklerini alabilirsiniz. İndirdiğiniz JSON dosyalarını CSV biçimine dönüştürebilir ve Excel, Power BI veya diğer veri görselleştirme araçlarında görüntüleyebilirsiniz.
İpucu
Visual Studio ve C# ile sabit ve değişken değerlerini değiştirme konusunda temel kavramlara hakimseniz GitHub'daki günlük dönüştürücü araçlarını kullanabilirsiniz.
Ölçümleri görüntüle
Azure Güvenlik Duvarı 'na gidin. İzleme seçeneğinin altından Ölçümler’i seçin. Kullanılabilir değerleri görüntülemek için ÖLÇÜM açılan listesini seçin.
Sonraki adımlar
Güvenlik duvarınızı günlükleri toplayacak şekilde yapılandırdığınıza göre, verilerinizi görüntülemek için Azure Izleyici günlüklerini keşfedebilirsiniz.