مرجع بيانات مراقبة جدار حماية Azure
تحتوي هذه المقالة على كافة معلومات مرجع المراقبة لهذه الخدمة.
راجع مراقبة جدار حماية Azure للحصول على تفاصيل حول البيانات التي يمكنك جمعها لجدار حماية Azure وكيفية استخدامه.
المقاييس
يسرد هذا القسم جميع مقاييس النظام الأساسي التي تم جمعها تلقائيا لهذه الخدمة. تعد هذه المقاييس أيضا جزءا من القائمة العمومية لجميع مقاييس النظام الأساسي المدعومة في Azure Monitor.
للحصول على معلومات حول استبقاء المقاييس، راجع نظرة عامة على مقاييس Azure Monitor.
المقاييس المدعومة ل Microsoft.Network/azureFirewalls
يسرد الجدول التالي المقاييس المتوفرة لنوع مورد Microsoft.Network/azureFirewalls.
- قد لا تكون كافة الأعمدة موجودة في كل جدول.
- قد تكون بعض الأعمدة خارج ناحية عرض الصفحة. حدد توسيع الجدول لعرض كافة الأعمدة المتوفرة.
عناوين الجدول
- الفئة - مجموعة المقاييس أو التصنيف.
- Metric - اسم عرض المقياس كما يظهر في مدخل Microsoft Azure.
- الاسم في واجهة برمجة تطبيقات REST - اسم المقياس كما هو مشار إليه في واجهة برمجة تطبيقات REST.
- الوحدة - وحدة القياس.
- التجميع - نوع التجميع الافتراضي. القيم الصالحة: المتوسط (المتوسط)، الحد الأدنى (الحد الأدنى)، الحد الأقصى (الحد الأقصى)، الإجمالي (المجموع)، العدد.
- - أبعاد الأبعاد المتوفرة للمقياس.
- فواصل زمنية للحبوب - يتم فيها أخذ عينات من المقياس. على سبيل المثال،
PT1Mيشير إلى أن المقياس يتم أخذ عينات كل دقيقة،PT30Mكل 30 دقيقة،PT1Hكل ساعة، وما إلى ذلك. - تصدير DS - ما إذا كان المقياس قابلا للتصدير إلى سجلات Azure Monitor عبر إعدادات التشخيص. للحصول على معلومات حول تصدير المقاييس، راجع إنشاء إعدادات التشخيص في Azure Monitor.
| Metric | الاسم في واجهة برمجة تطبيقات REST | الوحدة | التجميع | أبعاد | الحبوب الزمنية | تصدير DS |
|---|---|---|---|---|---|---|
| عدد مرات الوصول إلى قواعد التطبيق عدد المرات التي تم فيها استخدام قواعد التطبيق |
ApplicationRuleHit |
عدد | الإجمالي (المجموع) | Status، ، ReasonProtocol |
PT1M | نعم |
| البيانات التي تمت معالجتها إجمالي كمية البيانات التي تمت معالجتها بواسطة جدار الحماية هذا |
DataProcessed |
بايت | الإجمالي (المجموع) | <لا شيء> | PT1M | نعم |
| حالة حماية جدار الحماية يشير إلى الحالة الشاملة لجدار الحماية هذا |
FirewallHealth |
نسبة مئوية | المتوسط | Status, Reason |
PT1M | نعم |
| فحص زمن الانتقال تقدير متوسط زمن الانتقال لجدار الحماية كما تم قياسه بواسطة فحص زمن الانتقال |
FirewallLatencyPng |
مللي ثانية | المتوسط | <لا شيء> | PT1M | نعم |
| عدد مرات الوصول إلى قواعد الشبكة عدد المرات التي تم فيها استخدام قواعد الشبكة |
NetworkRuleHit |
عدد | الإجمالي (المجموع) | Status، ، ReasonProtocol |
PT1M | نعم |
| استخدام منفذ SNAT النسبة المئوية لمنافذ ترجمة عناوين الشبكة المصدر (SNAT) الصادرة المستخدمة حالياً |
SNATPortUtilization |
نسبة مئوية | المتوسط، الحد الأقصى | Protocol |
PT1M | نعم |
| الإنتاجية معدل النقل الذي تم معالجته بواسطة جدار الحماية هذا |
Throughput |
BitsPerSecond | المتوسط | <لا شيء> | PT1M | لا |
حالة حماية جدار الحماية
في الجدول السابق، يحتوي مقياس حالة حماية جدار الحماية على بعدين:
- الحالة: القيم المحتملة سليم، متردي، غير سليم.
- السبب: يشير إلى سبب حالة جدار الحماية.
إذا تم استخدام منافذ SNAT أكثر من 95٪، يتم اعتبارها مستنفدة وتكون الصحة 50٪ مع الحالة = متدهورة والسبب = منفذ SNAT. يحتفظ جدار الحماية بمعالجة نسبة استخدام الشبكة ولا تتأثر الاتصالات الموجودة. ومع ذلك، قد لا يتم إنشاء اتصالات جديدة بشكل متقطع.
إذا تم استخدام منافذ SNAT أقل من 95٪، اعتبار جدار الحماية سليما وتظهر الصحة على أنها 100٪.
إذا لم يتم الإبلاغ عن أي استخدام لمنافذ SNAT، فستظهر السلامة بنسبة 0٪.
استخدام منفذ ترجمة عناوين الشبكة المصدر (SNAT)
بالنسبة لمقياس استخدام منفذ SNAT، عند إضافة المزيد من عناوين IP العامة إلى جدار الحماية الخاص بك، تتوفر المزيد من منافذ SNAT، ما يقلل من استخدام منافذ SNAT. بالإضافة إلى ذلك، عندما يتم توسيع جدار الحماية لأسباب مختلفة (على سبيل المثال، وحدة المعالجة المركزية أو معدل النقل) يصبح المزيد من منافذ SNAT متاحة أيضا.
بشكل فعال، قد تتعطل نسبة معينة من استخدام منافذ SNAT دون إضافة أي عناوين IP عامة، لمجرد توسيع نطاق الخدمة. يمكنك التحكم مباشرة في عدد عناوين IP العامة المتاحة لزيادة المنافذ المتوفرة على جدار الحماية الخاص بك. ولكن، لا يمكنك التحكم مباشرة في توسيع جدار الحماية.
إذا كان جدار الحماية الخاص بك يعمل في استنفاد منفذ SNAT، فيجب عليك إضافة خمسة عناوين IP عامة على الأقل. وهذا يزيد عدد منافذ SNAT المتوفرة. لمزيد من المعلومات، راجع ميزات Azure Firewall.
AZFW Latency Probe
يقيس مقياس AZFW Latency Probe زمن الانتقال الكلي أو المتوسط لجدار حماية Azure بالمللي ثانية. يمكن للمسؤولين استخدام هذا المقياس للأغراض التالية:
- تشخيص ما إذا كان Azure Firewall هو سبب زمن الانتقال في الشبكة
- قم بالرصد والتنبيه إذا كان هناك أي مشكلات في زمن الانتقال أو الأداء، حتى تتمكن فرق تكنولوجيا المعلومات من المشاركة بشكل استباقي.
- قد تكون هناك أسباب مختلفة يمكن أن تتسبب في زمن انتقال عال في Azure Firewall. على سبيل المثال، الاستخدام العالي لوحدة المعالجة المركزية أو معدل النقل العالي أو مشكلة محتملة في الشبكات.
ما مقاييس قياس فحص زمن انتقال AZFW (ولا):
- ما يقيسه: زمن انتقال جدار حماية Azure داخل النظام الأساسي ل Azure
- ما لا يعنيه meaure: لا يلتقط المقياس زمن الانتقال من طرف إلى طرف لمسار الشبكة بأكمله. بدلا من ذلك، فإنه يعكس الأداء داخل جدار الحماية، بدلا من مقدار زمن الانتقال الذي يقدمه Azure Firewall إلى الشبكة.
- الإبلاغ عن الخطأ: إذا لم يعمل مقياس زمن الانتقال بشكل صحيح، فإنه يبلغ عن قيمة 0 في لوحة معلومات المقاييس، ما يشير إلى فشل التحقيق أو انقطاعه.
العوامل التي تؤثر على زمن الانتقال:
- استخدام عالٍ لوحدة المعالجة المركزية
- معدل النقل العالي أو تحميل نسبة استخدام الشبكة
- مشكلات الشبكات داخل النظام الأساسي ل Azure
فحوصات زمن الانتقال: من ICMP إلى TCP يستخدم فحص زمن الانتقال حاليا تقنية Ping Mesh من Microsoft، والتي تستند إلى ICMP (Internet Control Message Protcol). ICMP مناسب لإجراء فحوصات صحية سريعة، مثل طلبات اختبار اتصال، ولكنه قد لا يمثل بدقة حركة مرور التطبيقات في العالم الحقيقي، والتي تعتمد عادة على TCP. ومع ذلك، تعطي فحوصات ICMP الأولوية بشكل مختلف عبر النظام الأساسي Azure، ما يمكن أن يؤدي إلى تباين عبر وحدات SKU. لتقليل هذه الاختلافات، يخطط Azure Firewall للانتقال إلى تحقيقات تستند إلى TCP.
- طفرات زمن الانتقال: باستخدام فحوصات ICMP، تكون الارتفاعات المتقطعة طبيعية وهي جزء من السلوك القياسي للشبكة المضيفة. يجب عدم إساءة تفسير هذه المشكلات كمشكلات جدار الحماية ما لم تكن مستمرة.
- متوسط زمن الانتقال: في المتوسط، من المتوقع أن يتراوح زمن انتقال Azure Firewall من 1 مللي ثانية إلى 10 مللي ثانية، معلق على Firewall SKU وحجم النشر.
أفضل الممارسات لمراقبة زمن الانتقال
تعيين أساس: إنشاء أساس زمن انتقال في ظل ظروف حركة مرور خفيفة لإجراء مقارنات دقيقة أثناء الاستخدام العادي أو الذروة.
مراقبة الأنماط: توقع ارتفاعات زمن الانتقال العرضية كجزء من العمليات العادية. إذا استمر زمن الانتقال العالي خارج هذه الاختلافات العادية، فقد يشير ذلك إلى مشكلة أعمق تتطلب التحقيق.
حد زمن الانتقال الموصى به: التوجيه الموصى به هو أن زمن الانتقال يجب ألا يتجاوز 3 أضعاف الأساس. إذا تم تجاوز هذا الحد، يوصى بإجراء مزيد من التحقيق.
تحقق من حد القاعدة: تأكد من أن قواعد الشبكة ضمن حد قاعدة 20K. يمكن أن يؤثر تجاوز هذا الحد على الأداء.
إعداد التطبيق الجديد: تحقق من وجود أي تطبيقات تم إلحاقها حديثا يمكن أن تضيف تحميلا كبيرا أو تسبب مشكلات في زمن الانتقال.
طلب الدعم: إذا لاحظت إلغاء التأخر المستمر الذي لا يتوافق مع السلوك المتوقع، ففكر في تقديم تذكرة دعم لمزيد من المساعدة.
أبعاد المقاييس
للحصول على معلومات حول أبعاد القياس، راجع المقاييس متعددة الأبعاد.
تحتوي هذه الخدمة على الأبعاد التالية المقترنة بمقاييسها.
- البروتوكول
- السبب
- الحالة
سجلات الموارد
يسرد هذا القسم أنواع سجلات الموارد التي يمكنك جمعها لهذه الخدمة. يسحب القسم من قائمة جميع أنواع فئات سجلات الموارد المدعومة في Azure Monitor.
سجلات الموارد المدعومة ل Microsoft.Network/azureFirewalls
| الفئة | اسم عرض الفئة | جدول السجل | يدعم خطة السجل الأساسية | يدعم تحويل وقت الاستيعاب | مثال على الاستعلامات | تكاليف التصدير |
|---|---|---|---|---|---|---|
AZFWApplicationRule |
قاعدة تطبيق جدار حماية Azure | AZFWApplicationRule يحتوي على جميع بيانات سجل قاعدة التطبيق. يؤدي كل تطابق بين مستوى البيانات وقاعدة التطبيق إلى إنشاء إدخال سجل بحزمة مستوى البيانات وسمات القاعدة المتطابقة. |
لا | لا | الاستعلامات | نعم |
AZFWApplicationRuleAggregation |
تجميع قاعدة شبكة جدار حماية Azure (تحليلات النهج) | AZFWApplicationRuleAggregation يحتوي على بيانات سجل قاعدة التطبيق المجمعة لتحليلات النهج. |
لا | لا | نعم | |
AZFWDnsQuery |
استعلام Azure Firewall DNS | AZFWDnsQuery يحتوي على جميع بيانات سجل أحداث وكيل DNS. |
لا | لا | الاستعلامات | نعم |
AZFWFatFlow |
سجل تدفق الدهون لجدار حماية Azure | AZFWFatFlow يقوم هذا الاستعلام بإرجاع أعلى التدفقات عبر مثيلات Azure Firewall. يحتوي السجل على معلومات التدفق ومعدل إرسال التاريخ (بالميغابتات في الوحدات الثانية) والفترة الزمنية التي تم فيها تسجيل التدفقات. يرجى اتباع الوثائق لتمكين تسجيل التدفق العلوي وتفاصيل حول كيفية تسجيله. |
لا | لا | الاستعلامات | نعم |
AZFWFlowTrace |
سجل تتبع تدفق جدار حماية Azure | AZFWFlowTrace سجلات التدفق عبر مثيلات Azure Firewall. يحتوي السجل على معلومات التدفق والعلامات والفترة الزمنية التي تم فيها تسجيل التدفقات. يرجى اتباع الوثائق لتمكين تسجيل تتبع التدفق وتفاصيل حول كيفية تسجيله. |
نعم | لا | الاستعلامات | نعم |
AZFWFqdnResolveFailure |
فشل دقة Azure Firewall FQDN | لا | لا | نعم | ||
AZFWIdpsSignature |
توقيع IDPS لجدار حماية Azure | AZFWIdpsSignature يحتوي على كافة حزم مستوى البيانات التي تمت مطابقتها مع توقيع واحد أو أكثر من توقيعات IDPS. |
لا | لا | الاستعلامات | نعم |
AZFWNatRule |
قاعدة ترجمة عناوين الشبكة لجدار حماية Azure | AZFWNatRule يحتوي على جميع بيانات سجل أحداث DNAT (ترجمة عنوان الشبكة الوجهة). يؤدي كل تطابق بين مستوى البيانات وقاعدة DNAT إلى إنشاء إدخال سجل بحزمة مستوى البيانات وسمات القاعدة المتطابقة. |
لا | لا | الاستعلامات | نعم |
AZFWNatRuleAggregation |
تجميع قاعدة Azure Firewall Nat (تحليلات النهج) | AZFWNatRuleAggregation يحتوي على بيانات سجل قاعدة NAT المجمعة لتحليلات النهج. |
لا | لا | نعم | |
AZFWNetworkRule |
قاعدة شبكة جدار حماية Azure | AZFWNetworkRule يحتوي على كافة بيانات سجل قاعدة الشبكة. يؤدي كل تطابق بين مستوى البيانات وقاعدة الشبكة إلى إنشاء إدخال سجل بحزمة مستوى البيانات وسمات القاعدة المتطابقة. |
لا | لا | الاستعلامات | نعم |
AZFWNetworkRuleAggregation |
تجميع قاعدة تطبيق جدار حماية Azure (تحليلات النهج) | AZFWNetworkRuleAggregation يحتوي على بيانات سجل قاعدة الشبكة المجمعة لتحليلات النهج. |
لا | لا | نعم | |
AZFWThreatIntel |
تحليل ذكي للمخاطر في جدار حماية Azure | AZFWThreatIntel يحتوي على جميع أحداث التحليل الذكي للمخاطر. |
لا | لا | الاستعلامات | نعم |
AzureFirewallApplicationRule |
قاعدة تطبيق Azure Firewall (تشخيصات Azure القديمة) | تشخيصات Azure سجلات من موارد Azure متعددة. |
لا | لا | الاستعلامات | لا |
AzureFirewallDnsProxy |
وكيل DNS لجدار حماية Azure (تشخيصات Azure القديمة) | تشخيصات Azure سجلات من موارد Azure متعددة. |
لا | لا | الاستعلامات | لا |
AzureFirewallNetworkRule |
قاعدة شبكة جدار حماية Azure (تشخيصات Azure القديمة) | تشخيصات Azure سجلات من موارد Azure متعددة. |
لا | لا | الاستعلامات | لا |
يحتوي Azure Firewall على سجلين تشخيصيين جديدين يمكن أن يساعدا في مراقبة جدار الحماية الخاص بك، ولكن هذه السجلات حاليا لا تعرض تفاصيل قاعدة التطبيق.
- أعلى التدفقات
- تتبع التدفق
أعلى التدفقات
يعرف سجل التدفقات العليا في الصناعة باسم سجل تدفق الدهون وفي الجدول السابق كسجل تدفق الدهون لجدار حماية Azure. يظهر سجل التدفقات العلوي أهم الاتصالات التي تساهم في أعلى معدل نقل من خلال جدار الحماية.
تلميح
تنشيط سجلات أعلى التدفقات فقط عند استكشاف مشكلة معينة وإصلاحها لتجنب الاستخدام المفرط لوحدة المعالجة المركزية لجدار حماية Azure.
يتم تعريف معدل التدفق على أنه معدل نقل البيانات بالميغابتات في الوحدات الثانية. إنه مقياس لكمية البيانات الرقمية التي يمكن إرسالها عبر شبكة في فترة زمنية من خلال جدار الحماية. يتم تشغيل بروتوكول Top Flows بشكل دوري كل ثلاث دقائق. الحد الأدنى الذي يجب اعتباره التدفق الأعلى هو 1 ميغابت في الثانية.
تمكين سجل التدفقات العليا باستخدام أوامر Azure PowerShell التالية:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall
لتعطيل السجلات، استخدم نفس أمر Azure PowerShell السابق وقم بتعيين القيمة إلى False.
على سبيل المثال:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall
هناك بعض الطرق للتحقق من نجاح التحديث، ولكن يمكنك الانتقال إلى نظرة عامة على جدار الحماية وتحديد طريقة عرض JSON في الزاوية العلوية اليسرى. وفيما يلي مثال على ذلك:
لإنشاء إعداد تشخيص وتمكين جدول خاص بالموارد، راجع إنشاء إعدادات التشخيص في Azure Monitor.
تتبع التدفق
تظهر سجلات جدار الحماية حركة المرور من خلال جدار الحماية في المحاولة الأولى لاتصال TCP، والمعروفة باسم حزمة SYN . ومع ذلك، لا يظهر مثل هذا الإدخال الرحلة الكاملة للحزمة في تأكيد اتصال TCP. ونتيجة لذلك، من الصعب استكشاف الأخطاء وإصلاحها إذا تم إسقاط حزمة، أو حدث توجيه غير متماثل. يعالج سجل تتبع تدفق جدار حماية Azure هذا القلق.
تلميح
لتجنب الاستخدام المفرط للقرص الناجم عن سجلات تتبع التدفق في جدار حماية Azure مع العديد من الاتصالات قصيرة الأجل، قم بتنشيط السجلات فقط عند استكشاف مشكلة معينة وإصلاحها لأغراض التشخيص.
يمكن إضافة الخصائص التالية:
SYN-ACK: علامة ACK التي تشير إلى إقرار حزمة SYN.
FIN: العلامة النهائية لتدفق الحزمة الأصلية. لا يتم إرسال أي بيانات أخرى في تدفق TCP.
FIN-ACK: علامة ACK التي تشير إلى إقرار حزمة FIN.
RST: تشير إعادة تعيين العلامة إلى أن المرسل الأصلي لا يتلقى المزيد من البيانات.
غير صالح (تدفقات): يشير إلى تعذر التعرف على الحزمة أو عدم وجود أي حالة.
على سبيل المثال:
- تهبط حزمة TCP على مثيل مجموعات مقياس الجهاز الظاهري، والذي لا يحتوي على أي محفوظات سابقة لهذه الحزمة
- حزم CheckSum غير الصالحة
- إدخال جدول تعقب الاتصال ممتلئ ولا يمكن قبول الاتصالات الجديدة
- حزم ACK المتأخرة بشكل زائد
قم بتمكين سجل تتبع التدفق باستخدام أوامر Azure PowerShell التالية أو انتقل في المدخل وابحث عن تمكين تسجيل اتصال TCP:
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
قد يستغرق هذا التغيير عدة دقائق حتى يصبح ساري المفعول. بمجرد تسجيل الميزة، ضع في اعتبارك إجراء تحديث على Azure Firewall حتى يدخل التغيير حيز التنفيذ على الفور.
للتحقق من حالة تسجيل AzResourceProvider، يمكنك تشغيل الأمر Azure PowerShell:
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
لتعطيل السجل، يمكنك إلغاء تسجيله باستخدام الأمر التالي أو تحديد إلغاء التسجيل في مثال المدخل السابق.
Unregister-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
لإنشاء إعداد تشخيص وتمكين جدول خاص بالموارد، راجع إنشاء إعدادات التشخيص في Azure Monitor.
جداول سجلات Azure Monitor
يسرد هذا القسم جداول سجلات Azure Monitor ذات الصلة بهذه الخدمة، والتي تتوفر للاستعلام بواسطة Log Analytics باستخدام استعلامات Kusto. تحتوي الجداول على بيانات سجل الموارد وربما أكثر اعتمادا على ما يتم جمعه وتوجيهه إليها.
جدار حماية Azure Microsoft.Network/azureFirewalls
- AZFWNetworkRule
- AZFWFatFlow
- AZFWFlowTrace
- AZFWApplicationRule
- AZFWThreatIntel
- AZFWNatRule
- AZFWIdpsSignature
- AZFWDnsQuery
- AZFWInternalFqdnResolutionFailure
- AZFWNetworkRuleAggregation
- AZFWApplicationRuleAggregation
- AZFWNatRuleAggregation
- AzureActivity
- AzureMetrics
- تشخيصات Azure
سجل النشاط
يسرد الجدول المرتبط العمليات التي يمكن تسجيلها في سجل النشاط لهذه الخدمة. هذه العمليات هي مجموعة فرعية من جميع عمليات موفر الموارد المحتملة في سجل النشاط.
لمزيد من المعلومات حول مخطط إدخالات سجل النشاط، راجع مخطط سجل النشاط.
المحتوى ذو الصلة
- راجع مراقبة جدار حماية Azure للحصول على وصف لمراقبة جدار حماية Azure.
- راجع مراقبة موارد Azure باستخدام Azure Monitor للحصول على تفاصيل حول مراقبة موارد Azure.