Azure Güvenlik Duvarı günlükleri ve ölçümleri

Güvenlik duvarı günlüklerini kullanarak Azure Güvenlik Duvarı'nı izleyebilirsiniz. Ayrıca etkinlik günlüklerini kullanarak Azure Güvenlik Duvarı kaynaklarıyla ilgili işlemleri denetleyebilirsiniz.

Bu günlüklerden bazılarına portaldan erişebilirsiniz. Günlükler Azure İzleyici günlüklerine,Depolama'Event Hubs'a göndererek Azure İzleyici günlüklerinde veya Excel ve Power BI.

Ölçümler hafiftir ve gerçek zamanlıya yakın senaryoları destekleyene kadar uyarı ve hızlı sorun algılama için yararlı olabilir.

Tanılama günlükleri

Azure Güvenlik Duvarı'nda aşağıdaki tanılama günlükleri mevcuttur:

• Uygulama kuralı günlüğü

  Uygulama kuralı günlüğü bir depolama hesabına kaydedilir, Event Hubs'a akışla gönderilir ve/veya Azure İzleyici günlüklerine gönderilir. Yalnızca her hesap için Azure Güvenlik Duvarı. Yapılandırdığınız uygulama kurallarınızla eşleşen yeni bağlantılar kabul edilen/reddedilen bağlantı için bir günlük oluşturur. Veriler aşağıdaki örneklerde gösterildiği gibi JSON biçiminde günlüğe kaydedilir:

  Category: application rule logs.
  Time: log timestamp.
  Properties: currently contains the full message.
  note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
  

  {
    "category": "AzureFirewallApplicationRule",
    "time": "2018-04-16T23:45:04.8295030Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallApplicationRuleLog",
    "properties": {
        "msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
    }
  }
  

  {
     "category": "AzureFirewallApplicationRule",
     "time": "2018-04-16T23:45:04.8295030Z",
     "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
     "operationName": "AzureFirewallApplicationRuleLog",
     "properties": {
         "msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals"
     }
  }
  

• Ağ kuralı günlüğü

  Ağ kuralı günlüğü bir depolama hesabına kaydedilir, Event Hubs'a akışla gönderilir ve/veya Azure İzleyici günlüklerine gönderilir. Bu günlüklere yalnızca her hesap için Azure Güvenlik Duvarı. Yapılandırdığınız ağ kurallarınızla eşleşen yeni bağlantılar kabul edilen/reddedilen bağlantı için bir günlük oluşturur. Veriler aşağıdaki örnekte gösterildiği gibi JSON biçiminde günlüğe kaydedilir:

  Category: network rule logs.
  Time: log timestamp.
  Properties: currently contains the full message.
  note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
  

  {
    "category": "AzureFirewallNetworkRule",
    "time": "2018-06-14T23:44:11.0590400Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallNetworkRuleLog",
    "properties": {
        "msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
    }
  }
  
  

• DNS proxy günlüğü

  DNS Ara Sunucusu günlüğü bir depolama hesabına kaydedilir, Event Hubs'a akışla gönderilir ve/veya Azure İzleyici günlüklerine gönderilir. Bu günlüklere yalnızca her hesap için Azure Güvenlik Duvarı. Bu günlük, DNS ara sunucusu kullanılarak yapılandırılmış bir DNS sunucusuna gönderilen DNS iletilerini izler. Veriler aşağıdaki örneklerde gösterildiği gibi JSON biçiminde günlüğe kaydedilir:

  Category: DNS proxy logs.
  Time: log timestamp.
  Properties: currently contains the full message.
  note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
  

  Başarı:

  {
     "category": "AzureFirewallDnsProxy",
     "time": "2020-09-02T19:12:33.751Z",
     "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
     "operationName": "AzureFirewallDnsProxyLog",
     "properties": {
         "msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
     }
  }
  

  Başarısız:

  {
     "category": "AzureFirewallDnsProxy",
     "time": "2020-09-02T19:12:33.751Z",
     "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
     "operationName": "AzureFirewallDnsProxyLog",
     "properties": {
         "msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
     }
  }
  

  msg biçimi:

  [client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]

Günlüklerinizi depolamak için kullanabileceğiniz üç seçenek vardır:

• Depolama hesabı: Depolama hesaplarının en iyi kullanım amacı, günlüklerin uzun süre depolanması ve ihtiyaç duyulduğunda gözden geçirilmesi durumlarıdır.
• Event Hubs: Event Hubs, kaynaklarınızla ilgili uyarılar almak için diğer güvenlik bilgisi ve olay yönetimi (SEIM) araçlarıyla tümleştirmek için idealdir.
• Azure İzleyici günlükleri: Azure İzleyici günlükler en iyi şekilde, uygulamanıza yönelik genel gerçek zamanlı izleme veya eğilimlere bakma için kullanılır.

Etkinlik günlükleri

Etkinlik günlüğü girişleri varsayılan olarak toplanır ve bunları Azure portalda görüntüleyebilirsiniz.

Azure aboneliğinize gönderilen tüm işlemleri görüntülemek için Azure etkinlik günlüklerini (eski adıyla işlem günlükleri ve denetim günlükleri) kullanabilirsiniz.

Ölçümler

Ölçümler Azure İzleyici belirli bir zamanda sistemin bazı yönünü açıklayan sayısal değerlerdir. Ölçümler dakikada bir toplanır ve sık sık örneklene sahip olduğundan uyarı almak için yararlıdır. Bir uyarı, görece basit mantıkla hızla tetiklenmiş olabilir.

Aşağıdaki ölçümler aşağıdaki Azure Güvenlik Duvarı:

• Uygulama kuralları isabet sayısı - Bir uygulama kuralına kaç kez isabet olduğu.

  Birim: sayı

• Ağ kuralları isabet sayısı - Bir ağ kuralına kaç kez isabet olduğu.

  Birim: sayı

• İşlenen veriler - Güvenlik duvarından geçen verilerin, verilen zaman penceresindeki toplamı.

  Birim: bayt

• Aktarım hızı - Güvenlik duvarından saniye başına geçen veri hızı.

  Birim: saniye başına bit

• Güvenlik duvarı sistem durumu - SNAT bağlantı noktası kullanılabilirliğini temel alarak güvenlik duvarının sistem durumunu gösterir.

  Birim: yüzde

  Bu ölçümün iki boyutu vardır:

  • Durum: Olası değerler Sağlıklı, Düzeyi Düşürülmüş, Sağlıksız değerleridir.

  • Neden: Güvenlik duvarının karşılık gelen durumunun nedenini gösterir.

    SNAT bağlantı noktaları %95 > kullanılıyorsa tükenmiş olarak kabul edilir ve durum= Düzeyi düşürülmüş ve neden=SNAT bağlantı noktası ile sistem durumu %50'dir. Güvenlik duvarı, trafiği işlemeye devam eder ve var olan bağlantılar bu durumdan etkilenmez. Ancak yeni bağlantılar aralıklı olarak kurulamayabilir.

    SNAT bağlantı noktaları %95 < kullanılıyorsa güvenlik duvarı iyi durumda olarak kabul edilir ve durum %100 olarak gösterilir.

    SNAT bağlantı noktası kullanımı bildirilmezse sistem durumu %0 olarak gösterilir.

• SNAT bağlantı noktası kullanımı - Güvenlik duvarı tarafından kullanılan SNAT bağlantı noktalarının yüzdesi.

  Birim: yüzde

  Güvenlik duvarınıza daha fazla genel IP adresi eklediğinizde kullanıma sunulan SNAT bağlantı noktası sayısı artar ve SNAT bağlantı noktası kullanımı azalır. Ayrıca farklı nedenlerden dolayı (CPU veya aktarım hızı gibi) güvenlik duvarının ölçeği genişletildiğinde de ek SNAT bağlantı noktaları kullanıma sunulur. Bu nedenle, hizmetin ölçeğinin genişlesi nedeniyle, SNAT bağlantı noktası kullanımının verilen yüzdesi genel IP adresi eklemeden kapatabilirsiniz. Güvenlik duvarınız üzerinde kullanılabilir bağlantı noktalarını artırmak için kullanılabilen genel IP adresi sayısını doğrudan kontrol altına aabilirsiniz. Ancak güvenlik duvarı ölçeklendirmeyi doğrudan kontrol altına alamayabilirsiniz.

  Güvenlik duvarınız SNAT bağlantı noktası tükenmesine neden oluyorsa en az beş genel IP adresi eklemeniz gerekir. Bu, kullanılabilir SNAT bağlantı noktası sayısını artırır. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı..

Sonraki adımlar

• Günlük ve ölçümleri izleme hakkında Azure Güvenlik Duvarı için bkz. Öğretici: Günlüklerde Azure Güvenlik Duvarı izleme.

• Azure İzleyici'daki ölçümler hakkında daha fazla bilgi edinmek için bkz. Azure İzleyici.