Azure Structured Firewall Logs

  • مقالة

السجلات المنظمة هي نوع من بيانات السجل التي يتم تنظيمها بتنسيق معين. يستخدمون مخططا محددا مسبقا لهيكلة بيانات السجل بطريقة تجعل من السهل البحث والتصفية والتحليل. على عكس السجلات غير المنظمة، والتي تتكون من نص حر، تحتوي السجلات المنظمة على تنسيق متسق يمكن للأجهزة تحليله وتحليله.

توفر سجلات Azure Firewall المنظمة عرضا أكثر تفصيلا لأحداث جدار الحماية. وهي تتضمن معلومات مثل عناوين IP المصدر والوجهة والبروتوكولات وأرقام المنافذ والإجراءات التي يتخذها جدار الحماية. كما أنها تتضمن المزيد من بيانات التعريف، مثل وقت الحدث واسم مثيل Azure Firewall.

حاليا، تتوفر فئات سجل التشخيص التالية لجدار حماية Azure:

  • سجل قاعدة التطبيق
  • سجل قاعدة الشبكة
  • سجل وكيل DNS

تستخدم فئات السجل هذه وضع Azure Diagnostics. في هذه الطريقة، يتم تجميع كافة البيانات من أي إعداد تشخيص في جدول AzureDiagnostics .

باستخدام السجلات المنظمة، يمكنك اختيار استخدام جداول خاصة بالموارد بدلا من جدول AzureDiagnostics الموجود. في حالة الحاجة إلى مجموعتي السجلات، ينبغي إنشاء إعدادين للتشخيص على الأقل لكل جدار حماية.

الوضع الخاص بالموارد

في وضع Resource specific، يتم إنشاء جداول فردية في مساحة العمل المحددة لكل فئة محددة في إعداد التشخيص. يُوصى باستخدام هذا الأسلوب للأسباب التالية:

  • قد يقلل من تكاليف التسجيل الإجمالية بنسبة تصل إلى 80٪.
  • يجعل التعامل مع البيانات في استعلامات السجل أسهل بكثير
  • يسهل اكتشاف المخططات وبنيتها
  • يحسِّن الأداء عبر كلٍّ من زمن انتقال الاستيعاب وأوقات الاستعلام
  • يسمح لك بمنح حقوق Azure RBAC لجدول معين

تتوفر الآن جداول جديدة خاصة بالمورد في إعداد التشخيص الذي يسمح لك باستخدام الفئات التالية:

  • سجل قاعدة الشبكة - يحتوي على جميع بيانات سجل قاعدة الشبكة. يؤدي كل تطابق بين مستوى البيانات وقاعدة الشبكة إلى إنشاء إدخال سجل بحزمة مستوى البيانات وسمات القاعدة المتطابقة.
  • سجل قاعدة NAT - يحتوي على جميع بيانات سجل أحداث DNAT (ترجمة عنوان الشبكة الوجهة). يؤدي كل تطابق بين مستوى البيانات وقاعدة DNAT إلى إنشاء إدخال سجل بحزمة مستوى البيانات وسمات القاعدة المتطابقة.
  • سجل قاعدة التطبيق - يحتوي على جميع بيانات سجل قاعدة التطبيق. يؤدي كل تطابق بين مستوى البيانات وقاعدة التطبيق إلى إنشاء إدخال سجل بحزمة مستوى البيانات وسمات القاعدة المتطابقة.
  • سجل التحليل الذكي للمخاطر - يحتوي على جميع أحداث التحليل الذكي للمخاطر.
  • سجل IDPS - يحتوي على جميع حزم مستوى البيانات التي تمت مطابقتها مع توقيع واحد أو أكثر من توقيعات IDPS.
  • سجل وكيل DNS - يحتوي على جميع بيانات سجل أحداث وكيل DNS.
  • سجل فشل حل FQDN الداخلي - يحتوي على جميع طلبات دقة FQDN الداخلية لجدار الحماية التي أدت إلى الفشل.
  • سجل تجميع قاعدة التطبيق - يحتوي على بيانات سجل قاعدة التطبيق المجمعة لـ Policy Analytics.
  • سجل تجميع قاعدة الشبكة - يحتوي على بيانات سجل قاعدة الشبكة المجمعة لـ Policy Analytics.
  • سجل تجميع قاعدة NAT - يحتوي على بيانات سجل قاعدة NAT المجمعة لـ Policy Analytics.
  • سجل التدفق العلوي (معاينة) - يعرض سجل التدفقات العليا (تدفقات الدهون) أهم الاتصالات التي تساهم في أعلى معدل نقل من خلال جدار الحماية.
  • تتبع التدفق (معاينة) - يحتوي على معلومات التدفق والعلامات والفترة الزمنية التي تم فيها تسجيل التدفقات. يمكنك مشاهدة معلومات التدفق الكامل مثل SYN وSYN-ACK و FIN و FIN-ACK و RST و INVALID (التدفقات).

تمكين السجلات المنظمة

لتمكين سجلات Azure Firewall المنظمة، يجب أولا تكوين مساحة عمل Log Analytics في اشتراك Azure الخاص بك. يتم استخدام مساحة العمل هذه لتخزين السجلات المنظمة التي تم إنشاؤها بواسطة Azure Firewall.

بمجرد تكوين مساحة عمل Log Analytics، يمكنك تمكين السجلات المنظمة في Azure Firewall عن طريق الانتقال إلى صفحة إعدادات تشخيص جدار الحماية في مدخل Microsoft Azure. من هناك، يجب تحديد جدول الوجهة الخاص بالموارد وتحديد نوع الأحداث التي تريد تسجيلها.

ملاحظة

لا يوجد أي متطلبات لتمكين هذه الميزة باستخدام علامة ميزة أو أوامر Azure PowerShell.

لقطة شاشة لصفحة إعدادات التشخيص.

استعلامات السجل المنظمة

تتوفر قائمة بالاستعلامات المعرفة مسبقا في مدخل Microsoft Azure. تحتوي هذه القائمة على استعلام سجل KQL (لغة استعلام Kusto) محدد مسبقا لكل فئة واستعلام مرتبط يعرض أحداث تسجيل جدار حماية Azure بالكامل في طريقة عرض واحدة.

لقطة شاشة تعرض استعلامات Azure Firewall.

مصنف Azure Firewall

يوفر مصنف Azure Firewall مادة مرنة لتحليل بيانات Azure Firewall. يمكنك استخدامه لإنشاء تقارير مرئية ثرية من خلال مدخل Microsoft Azure. يمكنك الاستفادة من جدران الحماية المتعددة الموزعة عبر Azure ودمجها في تجارب تفاعلية موحدة.

لنشر المصنف الجديد الذي يستخدم سجلات Azure Firewall Structured Logs، راجع مصنف Azure Monitor لجدار حماية Azure.

الخطوات التالية