Monitorování protokolů a metrik Azure Firewallu

Bránu Azure Firewall můžete monitorovat pomocí protokolů brány firewall. K auditu operací na prostředcích brány Azure Firewall můžete také použít protokoly aktivit. Pomocí metrik můžete zobrazit čítače výkonu na portálu.

Některé z těchto protokolů jsou přístupné z webu Azure Portal. Protokoly můžete odeslat do protokolů služby Azure Monitor nebo služeb Storage a Event Hubs a analyzovat je můžete v protokolech služby Azure Monitor nebo pomocí jiných nástrojů, jako jsou Excel nebo Power BI.

Poznámka

Tento článek byl nedávno aktualizován tak, aby místo Log Analytics používal termín protokoly Azure Monitoru. Data protokolu jsou stále uložená v pracovním prostoru služby Log Analytics a stále je shromažďuje a analyzuje stejná služba Log Analytics. Aktualizujeme terminologii tak, aby lépe odrážela roli protokolů ve službě Azure Monitor. Podrobnosti najdete v tématu Změny terminologie služby Azure Monitor .

Poznámka

K interakci s Azure doporučujeme použít modul Azure Az PowerShell. Začněte tím, že si projdete téma Instalace Azure PowerShell. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Požadavky

Než začnete, měli byste si přečíst Azure Firewall protokoly a metriky, kde najdete přehled diagnostických protokolů a metrik dostupných pro Azure Firewall.

Povolení diagnostického protokolování prostřednictvím webu Azure Portal

Než se data v protokolech po dokončení tohoto procesu zapnutí protokolování diagnostiky zobrazí, může to trvat několik minut. Pokud na začátku nic nevidíte, zkuste to znovu za pár minut.

  1. V Azure Portal otevřete skupinu prostředků brány firewall a vyberte bránu firewall.

  2. V části Monitorování vyberte Nastavení diagnostiky.

    Pro Azure Firewall jsou k dispozici tři protokoly specifické pro službu:

    • AzureFirewallApplicationRule
    • AzureFirewallNetworkRule
    • AzureFirewallDnsProxy
  3. Vyberte Přidat nastavení diagnostiky. Stránka Nastavení diagnostiky obsahuje nastavení diagnostických protokolů.

  4. V tomto příkladu protokoly služby Azure Monitor ukládají protokoly, takže jako název zadejte Firewall Log Analytics .

  5. V části Protokol vyberte AzureFirewallApplicationRule, AzureFirewallNetworkRule a AzureFirewallDnsProxy a shromážděte protokoly.

  6. Vyberte Odeslat do Log Analytics a nakonfigurujte pracovní prostor.

  7. Vyberte své předplatné.

  8. Vyberte Uložit.

    Snímek obrazovky s nastavením diagnostiky brány firewall

Povolení protokolování diagnostiky pomocí PowerShellu

Protokolování aktivit je u každého prostředku Správce prostředků povolené automaticky. Abyste mohli začít shromažďovat data dostupná prostřednictvím těchto protokolů, musíte zapnout protokolování diagnostiky.

Pokud chcete povolit protokolování diagnostiky pomocí PowerShellu, postupujte následovně:

  1. Poznamenejte si ID prostředku pracovního prostoru služby Log Analytics, ve kterém jsou uložená data protokolu. Tato hodnota je ve tvaru:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    Můžete použít libovolný pracovní prostor ve vašem předplatném. Tuto informaci najdete pomocí webu Azure Portal Informace se nacházejí na stránce Vlastnosti prostředku.

  2. Poznamenejte si ID prostředku brány firewall. Tato hodnota je ve tvaru:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    Tuto informaci najdete pomocí webu Azure Portal.

  3. Pomocí následující rutiny PowerShellu povolte protokolování diagnostiky pro všechny protokoly a metriky:

       $diagSettings = @{
       Name = 'toLogAnalytics'
       ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       }
    New-AzDiagnosticSetting  @diagSettings 
    

Povolení protokolování diagnostiky pomocí Azure CLI

Protokolování aktivit je u každého prostředku Správce prostředků povolené automaticky. Abyste mohli začít shromažďovat data dostupná prostřednictvím těchto protokolů, musíte zapnout protokolování diagnostiky.

Pokud chcete povolit protokolování diagnostiky pomocí Azure CLI, postupujte následovně:

  1. Poznamenejte si ID prostředku pracovního prostoru služby Log Analytics, ve kterém jsou uložená data protokolu. Tato hodnota je ve tvaru:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    Můžete použít libovolný pracovní prostor ve vašem předplatném. Tuto informaci najdete pomocí webu Azure Portal Informace se nacházejí na stránce Vlastnosti prostředku.

  2. Poznamenejte si ID prostředku brány firewall. Tato hodnota je ve tvaru:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    Tuto informaci najdete pomocí webu Azure Portal.

  3. Povolte protokolování diagnostiky pro všechny protokoly a metriky pomocí následujícího příkazu Azure CLI:

       az monitor diagnostic-settings create -n 'toLogAnalytics'
       --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       --logs "[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]" 
       --metrics "[{\"category\": \"AllMetrics\",\"enabled\": true}]"
    

Zobrazení a analýza protokolu aktivit

Data protokolu aktivit si můžete zobrazit použitím jedné z následujících metod:

  • Nástroje Azure: Načtěte informace z protokolu aktivit prostřednictvím Azure PowerShellu, Azure CLI, rozhraní Azure REST API nebo webu Azure Portal. Podrobné pokyny k jednotlivým metodám najdete v článku o operacích s protokoly aktivit ve Správci prostředků.

  • Power BI: Pokud ještě účet Power BI nemáte, můžete ho vyzkoušet zdarma. Díky balíčku obsahu protokoly aktivit Azure pro Power BI můžete svá data analyzovat pomocí předkonfigurovaných řídicích panelů, které můžete použít okamžitě nebo si je upravit.

  • Microsoft Sentinel: Můžete připojit Azure Firewall protokoly ke službě Microsoft Sentinel, což vám umožní zobrazit data protokolů v sešitech, použít je k vytváření vlastních upozornění a začlenit je, abyste zlepšili šetření. Datový konektor Azure Firewall ve službě Microsoft Sentinel je aktuálně ve verzi Public Preview. Další informace najdete v tématu Připojení dat z Azure Firewall.

    Přehled najdete v následujícím videu od Mohit Kumar:

Zobrazení a analyzování protokolů pravidel sítě a aplikace

Azure Firewall Workbook poskytuje flexibilní plátno pro analýzu dat Azure Firewall. Můžete ho použít k vytváření bohatých vizuálních sestav v rámci Azure Portal. Můžete se připojit k několika branám firewall nasazeným v Azure a zkombinovat je do sjednocených interaktivních prostředí.

Můžete se také připojit k účtu úložiště a načíst položky protokolu JSON s protokoly přístupu a výkonu. Po stažení souborů JSON je můžete převést do formátu CSV a zobrazit si je v Excelu, Power BI nebo jiném nástroji s vizualizací dat.

Tip

Pokud znáte Visual Studio a máte představu, jak u konstant a proměnných v jazyce C# měnit hodnoty, můžete použít nástroje pro převedení protokolů, které jsou k dispozici na GitHubu.

Zobrazit metriky

Přejděte na Azure Firewall. V oblasti Monitorování vyberte Metriky. Chcete-li zobrazit dostupné hodnoty, vyberte rozevírací seznam METRIKA.

Další kroky

Teď, když jste bránu firewall nakonfigurovali tak, aby shromažďovala protokoly, můžete prozkoumat protokoly služby Azure Monitor a zobrazit data.