مراقبة سجلات Azure Firewall (القديمة) والمقاييس

تلميح

للحصول على طريقة محسنة للعمل مع سجلات جدار الحماية، راجع Azure Structured Firewall Logs.

يمكنك مراقبة Azure Firewall باستخدام سجلات جدار الحماية. يمكنك أيضاً استخدام سجلات النشاط لمراجعة العمليات على موارد Azure Firewall. باستخدام القياسات، يمكنك عرض عدّادات الأداء في المدخل.

يمكنك الوصول إلى بعض هذه السجلات من خلال المدخل. يمكن إرسال السجلات إلى سجلات Azure Monitor، والتخزين، ومراكز الأحداث وتحليلها في سجلات Azure Monitor أو بواسطة أدوات مختلفة مثل Excel وPower BI.

ملاحظة

تم تحديث هذه المقالة مؤخراً لاستخدام مصطلح سجلات مراقبة Azure بدلاً من تحليلات السجلات. لا تزال بيانات السجل مخزنة في مساحة عملLog Analytics ولا يزال يتم جمعها وتحليلها بواسطة نفس خدمة Log Analytics. نحن نحدِّث المصطلحات لتعكس دور السجلات في Azure Monitorعلى نحوٍ أفضل. راجع تغييرات مصطلحات Azure Monitor للحصول على التفاصيل.

ملاحظة

نوصي باستخدام وحدة Azure Az PowerShell للتفاعل مع Azure. راجع تثبيت Azure PowerShell للبدء. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

المتطلبات الأساسية

قبل أن تبدأ، ينبغي أن تقرأ سجلات وقياسات Azure Firewall للحصول على نظرة عامة على سجلات وقياسات التشخيص المتوفرة لـ Azure Firewall.

تمكين التسجيل التشخيصي من خلال مدخل Microsoft Azure

قد يستغرق ظهور البيانات في سجلاتك بضع دقائق بعد إكمال هذا الإجراء لتشغيل التسجيل التشخيصي. إذا كنت لا ترى أي شيء في البداية، فتحقق مرة أخرى بعد بضع دقائق أخرى.

  1. في مدخل Microsoft Azure، افتح مجموعة موارد جدار الحماية وحدد جدار الحماية.

  2. ضمن Monitoring، اختر Diagnostics settings.

    بالنسبة لجدار حماية Azure، تتوفر ثلاثة سجلات قديمة خاصة بالخدمة:

    • قاعدة تطبيق Azure Firewall (تشخيصات Azure القديمة)
    • قاعدة شبكة جدار حماية Azure (تشخيصات Azure القديمة)
    • وكيل Dns لجدار حماية Azure (تشخيصات Azure القديمة)
  3. حدد Add diagnostic setting. توفر الصفحة Diagnostics settings الإعدادات اللازمة لسجلات التشخيص.

  4. اكتب اسما لإعداد التشخيص.

  5. ضمن السجلات، حدد قاعدة تطبيق Azure Firewall (تشخيصات Azure القديمة)وقاعدة شبكة جدار حماية Azure (تشخيصات Azure القديمة)ووكيل Azure Firewall Dns (تشخيصات Azure القديمة) لجمع السجلات.

  6. حدد Send to Log Analytics لتكوين مساحة العمل.

  7. حدد اشتراكك.

  8. بالنسبة إلى جدول الوجهة، حدد تشخيصات Azure.

  9. حدد ⁧⁩حفظ⁧⁩.

    لقطة شاشة لإعداد تشخيص جدار الحماية.

تمكين التسجيل التشخيصي باستخدام PowerShell

يتم تمكين تسجيل النشاط تلقائياً لكل مورد Resource Manager. يجب تمكين التسجيل التشخيصي لبدء جمع البيانات المتاحة من خلال هذه السجلات.

لتمكين تسجيل التشخيص باستخدام PowerShell، استخدم الخطوات التالية:

  1. لاحظ معرف مورد Log Analytics Workspace، حيث يتم تخزين بيانات السجل. هذه القيمة من النموذج:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    يمكنك استخدام أي مساحة عمل في اشتراكك. يمكنك استخدام مدخل Microsoft Azure للبحث عن هذه المعلومات. توجد المعلومات في صفحة خصائص المورد.

  2. لاحظ معرف المورد لجدار الحماية. هذه القيمة من النموذج:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    يمكنك استخدام المدخل للعثور على هذه المعلومات.

  3. تمكين التسجيل التشخيصي لجميع السجلات والقياسات باستخدام الأمر PowerShell cmdlet التالي:

       $diagSettings = @{
       Name = 'toLogAnalytics'
       ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       }
    New-AzDiagnosticSetting  @diagSettings 
    

تمكين التسجيل التشخيصي باستخدام Azure CLI

يتم تمكين تسجيل النشاط تلقائياً لكل مورد Resource Manager. يجب تمكين التسجيل التشخيصي لبدء جمع البيانات المتاحة من خلال هذه السجلات.

لتمكين التسجيل التشخيصي باستخدام Azure CLI، استخدم الخطوات التالية:

  1. لاحظ معرف مورد Log Analytics Workspace، حيث يتم تخزين بيانات السجل. هذه القيمة من النموذج:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    يمكنك استخدام أي مساحة عمل في اشتراكك. يمكنك استخدام مدخل Microsoft Azure للبحث عن هذه المعلومات. توجد المعلومات في صفحة خصائص المورد.

  2. لاحظ معرف المورد لجدار الحماية. هذه القيمة من النموذج:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    يمكنك استخدام المدخل للعثور على هذه المعلومات.

  3. قم بتمكين التسجيل التشخيصي لجميع السجلات والقياسات باستخدام الأمر Azure CLI التالي:

       az monitor diagnostic-settings create -n 'toLogAnalytics'
       --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       --logs "[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]" 
       --metrics "[{\"category\": \"AllMetrics\",\"enabled\": true}]"
    

عرض سجل النشاط وتحليله

يمكنك عرض بيانات سجل النشاط وتحليلها باستخدام أي من الطرق التالية:

  • أدوات Azure: استرداد المعلومات من سجل النشاط من خلال Azure PowerShell أو Azure CLI أو Azure REST API أو مدخل Microsoft Azure. تم تفصيل التعليمات الاسترشادية المُفصّلة لكل أسلوب في مقالة عمليات النشاط باستخدام إدارة الموارد "ARM".

  • Power BI: إذا لم يكن لديك حساب Power BI بالفعل، فيمكنك تجربته مجاناً. باستخدام حزمة محتوى Azure Activity Logs لـ Power BI ، يمكنك تحليل بياناتك باستخدام لوحات المعلومات المكونة مسبقاً والتي يمكنك استخدامها كما هي أو تخصيصها.

  • Microsoft Sentinel: يمكنك توصيل سجلات Azure Firewall بـ Microsoft Sentinel، ما يتيح لك عرض بيانات السجل في المصنفات واستخدامها لإنشاء تنبيهات مخصصة ودمجها لتحسين التحقيق. موصل بيانات Azure Firewall في Microsoft Sentinel متاح حالياً في الإصدار الأولي العام. لمزيد من المعلومات، راجع توصيل البيانات من Azure Firewall.

    شاهد الفيديو التالي بواسطة Mohit Kumar للحصول على نظرة عامة:

عرض وتحليل سجلات قواعد التطبيق والشبكة

يوفر مصنف Azure Firewall مادة مرنة لتحليل بيانات Azure Firewall. يمكنك استخدامه لإنشاء تقارير مرئية ثرية من خلال مدخل Microsoft Azure. يمكنك استخدام جدران حماية متعددة منتشرة عبر Azure، ودمجها في تجارب تفاعلية موحدة.

يمكنك أيضاً الاتصال بحساب التخزين لديك واسترداد إدخالات سجل JSON للوصول وسجلات الأداء. بعد تنزيل ملفات JSON، يمكنك تحويلها إلى CSV وعرضها في Excel أو Power BI أو أي أداة أخرى لتصور البيانات.

تلميح

إذا كنت على دراية بـ Visual Studio والمفاهيم الأساسية لتغيير قيم الثوابت والمتغيرات في C#، فيمكنك استخدام أدوات محول السجل المتوفرة من GitHub.

عرض القياسات

استعرض للوصول إلى Azure Firewall. ضمن Monitoring، حدد Metrics. لعرض القيم المتاحة، حدد القائمة المنسدلة METRIC.

الخطوات التالية

والآن بعد أن قمت بتكوين جدار الحماية لديك لتجميع السجلات، يمكنك استكشاف سجلات Azure Monitor لعرض بياناتك.