Monitorování protokolů (starších) a metrik Azure Firewallu

Článek
06/03/2024

Tip

Vylepšenou metodu pro práci s protokoly brány firewall najdete v tématu Protokoly strukturované brány firewall Azure.

Bránu Azure Firewall můžete monitorovat pomocí protokolů brány firewall. K auditu operací na prostředcích brány Azure Firewall můžete také použít protokoly aktivit. Pomocí metrik můžete zobrazit čítače výkonu na portálu.

Některé z těchto protokolů jsou přístupné z webu Azure Portal. Protokoly můžete odeslat do protokolů služby Azure Monitor nebo služeb Storage a Event Hubs a analyzovat je můžete v protokolech služby Azure Monitor nebo pomocí jiných nástrojů, jako jsou Excel nebo Power BI.

Poznámka:

Tento článek byl nedávno aktualizován tak, aby místo Log Analytics používal termín protokoly služby Azure Monitor. Data protokolů jsou stále uložená v pracovním prostoru služby Log Analytics a stále se shromažďují a analyzují stejnou službou Log Analytics. Aktualizujeme terminologii tak, aby lépe odrážela roli protokolů ve službě Azure Monitor. Podrobnosti najdete v tématu Změny terminologie služby Azure Monitor.

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Pokud chcete začít, přečtěte si téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Požadavky

Než začnete, měli byste si přečíst protokoly a metriky služby Azure Firewall, abyste měli přehled diagnostických protokolů a metrik dostupných pro službu Azure Firewall.

Povolení diagnostického protokolování prostřednictvím webu Azure Portal

Než se data v protokolech po dokončení tohoto procesu zapnutí protokolování diagnostiky zobrazí, může to trvat několik minut. Pokud nic nevidíte, zkuste to znovu po několika minutách.

Na webu Azure Portal otevřete skupinu prostředků brány firewall a vyberte bránu firewall.
V části Monitorování vyberte Nastavení diagnostiky.

Pro Službu Azure Firewall jsou k dispozici tři starší protokoly specifické pro službu:
- Pravidlo aplikace služby Azure Firewall (starší verze diagnostiky Azure)
- Pravidlo sítě služby Azure Firewall (starší verze diagnostiky Azure)
- Proxy dns služby Azure Firewall (starší verze diagnostiky Azure)
Vyberte Přidat nastavení diagnostiky. Stránka Nastavení diagnostiky obsahuje nastavení diagnostických protokolů.
Zadejte název nastavení diagnostiky.
V části Protokoly vyberte pravidlo aplikace služby Azure Firewall (starší verze diagnostiky Azure), síťové pravidlo služby Azure Firewall (starší verze diagnostiky Azure) a proxy dns služby Azure Firewall (starší verze diagnostiky Azure) a shromážděte protokoly.
Výběrem možnosti Odeslat do Log Analytics nakonfigurujte pracovní prostor.
Vyberte své předplatné.
Jako cílovou tabulku vyberte diagnostiku Azure.
Zvolte Uložit.

Povolení protokolování diagnostiky pomocí PowerShellu

Protokolování aktivit je u každého prostředku Správce prostředků povolené automaticky. Abyste mohli začít shromažďovat data dostupná prostřednictvím těchto protokolů, musíte zapnout protokolování diagnostiky.

Pokud chcete povolit protokolování diagnostiky pomocí PowerShellu, postupujte následovně:

Poznamenejte si ID prostředku pracovního prostoru služby Log Analytics, kde se ukládají data protokolu. Tato hodnota je ve formuláři:

/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

V předplatném můžete použít libovolný pracovní prostor. Tuto informaci najdete pomocí webu Azure Portal Informace se nacházejí na stránce Vlastnosti prostředku.
Poznamenejte si ID prostředku pro bránu firewall. Tato hodnota je ve formuláři:

/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

Tuto informaci najdete pomocí webu Azure Portal.

Povolte protokolování diagnostiky pro všechny protokoly a metriky pomocí následující rutiny PowerShellu:

   $diagSettings = @{
   Name = 'toLogAnalytics'
   ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
   WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
   }
New-AzDiagnosticSetting  @diagSettings

Povolení protokolování diagnostiky pomocí Azure CLI

Pokud chcete povolit protokolování diagnostiky pomocí Azure CLI, postupujte následovně:

Poznamenejte si ID prostředku pracovního prostoru služby Log Analytics, kde se ukládají data protokolu. Tato hodnota je ve formuláři:

/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

V předplatném můžete použít libovolný pracovní prostor. Tuto informaci najdete pomocí webu Azure Portal Informace se nacházejí na stránce Vlastnosti prostředku.
Poznamenejte si ID prostředku pro bránu firewall. Tato hodnota je ve formuláři:

/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

Tuto informaci najdete pomocí webu Azure Portal.

Pomocí následujícího příkazu Azure CLI povolte protokolování diagnostiky pro všechny protokoly a metriky:

   az monitor diagnostic-settings create -n 'toLogAnalytics'
   --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
   --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
   --logs "[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]" 
   --metrics "[{\"category\": \"AllMetrics\",\"enabled\": true}]"

Zobrazení a analýza protokolu aktivit

Data protokolu aktivit si můžete zobrazit použitím jedné z následujících metod:

Nástroje Azure: Načtěte informace z protokolu aktivit prostřednictvím Azure PowerShellu, Azure CLI, rozhraní Azure REST API nebo webu Azure Portal. Podrobné pokyny k jednotlivým metodám najdete v článku o operacích s protokoly aktivit ve Správci prostředků.
Power BI: Pokud ještě účet Power BI nemáte, můžete ho vyzkoušet zdarma. Díky balíčku obsahu protokoly aktivit Azure pro Power BI můžete svá data analyzovat pomocí předkonfigurovaných řídicích panelů, které můžete použít okamžitě nebo si je upravit.
Microsoft Sentinel: K Microsoft Sentinelu můžete připojit protokoly služby Azure Firewall, abyste mohli zobrazit data protokolu v sešitech, použít je k vytváření vlastních upozornění a začlenit je ke zlepšení vyšetřování. Datový konektor služby Azure Firewall v Microsoft Sentinelu je aktuálně ve verzi Public Preview. Další informace najdete v tématu Připojení dat ze služby Azure Firewall.

Přehled najdete v následujícím videu od Uživatele Mohit Kumar:

Zobrazení a analyzování protokolů pravidel sítě a aplikace

Sešit služby Azure Firewall poskytuje flexibilní plátno pro analýzu dat služby Azure Firewall. Můžete ho použít k vytváření bohatých vizuálních sestav na webu Azure Portal. Můžete využít několik bran firewall nasazených v Azure a kombinovat je do sjednocených interaktivních prostředí.

Můžete se také připojit k účtu úložiště a načíst položky protokolu JSON s protokoly přístupu a výkonu. Po stažení souborů JSON je můžete převést do formátu CSV a zobrazit si je v Excelu, Power BI nebo jiném nástroji s vizualizací dat.

Tip

Pokud znáte Visual Studio a máte představu, jak u konstant a proměnných v jazyce C# měnit hodnoty, můžete použít nástroje pro převedení protokolů, které jsou k dispozici na GitHubu.

Zobrazení metrik

Přejděte na bránu Azure Firewall. V oblasti Monitorování vyberte Metriky. Chcete-li zobrazit dostupné hodnoty, vyberte rozevírací seznam METRIKA.

Další kroky

Teď, když jste bránu firewall nakonfigurovali tak, aby shromažďovala protokoly, můžete prozkoumat protokoly služby Azure Monitor a zobrazit data.

Sdílet prostřednictvím