Protokoly služby Azure Structured Firewall
Strukturované protokoly jsou typ dat protokolu, která jsou uspořádaná do konkrétního formátu. Používají předdefinované schéma ke strukturování dat protokolu způsobem, který usnadňuje vyhledávání, filtrování a analýzu. Na rozdíl od nestrukturovaných protokolů, které se skládají z volného textu, mají strukturované protokoly konzistentní formát, který můžou počítače analyzovat a analyzovat.
Azure Firewall strukturované protokoly poskytují podrobnější zobrazení událostí brány firewall. Obsahují informace, jako jsou zdrojové a cílové IP adresy, protokoly, čísla portů a akce prováděné bránou firewall. Obsahují také další metadata, jako je čas události a název Azure Firewall instance.
V současné době jsou pro Azure Firewall k dispozici následující kategorie diagnostických protokolů:
- Protokol pravidel aplikace
- Protokol pravidel sítě
- Protokol proxy serveru DNS
Tyto kategorie protokolů používají režim diagnostiky Azure. V tomto režimu se všechna data z libovolného nastavení diagnostiky shromažďují v tabulce AzureDiagnostics .
Se strukturovanými protokoly můžete místo stávající tabulky AzureDiagnostics použít tabulky specifické pro prostředky. V případě, že se vyžadují obě sady protokolů, je potřeba vytvořit aspoň dvě nastavení diagnostiky pro každou bránu firewall.
Režim specifický pro prostředek
V režimu specifickém pro prostředek se vytvoří jednotlivé tabulky ve vybraném pracovním prostoru pro každou kategorii vybranou v nastavení diagnostiky. Tato metoda se doporučuje, protože:
- Může snížit celkové náklady na protokolování až o 80 %.
- usnadňuje práci s daty v dotazech protokolu.
- usnadňuje zjišťování schémat a jejich struktury.
- zlepšuje výkon v době latence příjmu dat i dotazování.
- umožňuje udělit práva Azure RBAC pro konkrétní tabulku.
V nastavení diagnostiky jsou teď k dispozici nové tabulky specifické pro prostředky, které umožňuje využívat následující kategorie:
- Protokol pravidel sítě – obsahuje všechna data protokolu pravidel sítě. Každá shoda mezi rovinou dat a pravidlem sítě vytvoří položku protokolu s paketem roviny dat a atributy odpovídajícího pravidla.
- Protokol pravidel NAT – obsahuje všechna data protokolu událostí DNAT (Destination Network Address Translation). Každá shoda mezi rovinou dat a pravidlem DNAT vytvoří záznam protokolu s paketem roviny dat a atributy odpovídajícího pravidla.
- Protokol pravidel aplikace – obsahuje všechna data protokolu pravidel aplikace. Každá shoda mezi rovinou dat a pravidlem aplikace vytvoří záznam protokolu s paketem roviny dat a atributy odpovídajícího pravidla.
- Protokol analýzy hrozeb – obsahuje všechny události analýzy hrozeb.
- Protokol IDPS – obsahuje všechny pakety roviny dat, které byly spárovány s jedním nebo více podpisy IDPS.
- Protokol proxy serveru DNS – obsahuje všechna data protokolu protokolu událostí proxy DNS.
- Interní protokol překladu plně kvalifikovaného názvu domény – obsahuje všechny interní požadavky na překlad plně kvalifikovaného názvu domény brány firewall, které vedly k selhání.
- Protokol agregace pravidel aplikace – obsahuje agregovaná data protokolu pravidel aplikace pro Policy Analytics.
- Protokol agregace pravidel sítě – obsahuje agregovaná data protokolu pravidel sítě pro Policy Analytics.
- Protokol agregace pravidel NAT – obsahuje agregovaná data protokolu pravidel NAT pro Analýzu zásad.
- Protokol top flow (Preview) – protokol Top Flow (Fat Flow) zobrazuje nejvyšší připojení, která přispívají k nejvyšší propustnosti přes bránu firewall.
- Trasování toku (Preview) – obsahuje informace o toku, příznaky a časové období, kdy byly toky zaznamenány. Můžete zobrazit úplné informace o toku, jako jsou SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (toky).
Povolení strukturovaných protokolů
Pokud chcete povolit Azure Firewall strukturovaných protokolů, musíte nejprve nakonfigurovat pracovní prostor služby Log Analytics ve svém předplatném Azure. Tento pracovní prostor slouží k ukládání strukturovaných protokolů vygenerovaných Azure Firewall.
Jakmile nakonfigurujete pracovní prostor služby Log Analytics, můžete v Azure Firewall povolit strukturované protokoly tak, že přejdete na stránku Nastavení diagnostiky brány firewall v Azure Portal. Odtud musíte vybrat cílovou tabulku specifickou pro prostředek a vybrat typ událostí, které chcete protokolovat.
Poznámka
Není nutné povolit tuto funkci pomocí příznaku funkce nebo Azure PowerShell příkazů.
Strukturované dotazy na protokoly
Seznam předdefinovaných dotazů je k dispozici v Azure Portal. Tento seznam obsahuje předdefinovaný dotaz protokolu KQL (dotazovací jazyk Kusto) pro každou kategorii a připojený dotaz zobrazující celé události protokolování brány Azure Firewall v jednom zobrazení.
Sešit služby Azure Firewall
Azure Firewall Workbook poskytuje flexibilní plátno pro analýzu dat Azure Firewall. Můžete ho použít k vytváření bohatých vizuálních sestav v rámci Azure Portal. Můžete se připojit k několika branám firewall nasazeným v Azure a zkombinovat je do sjednocených interaktivních prostředí.
Pokud chcete nasadit nový sešit, který používá Azure Firewall strukturované protokoly, přečtěte si téma Sešit služby Azure Monitor pro Azure Firewall.
Další kroky
Další informace najdete v tématu Zkoumání strukturovaného protokolování specifického pro nové prostředky v Azure Firewall.
Další informace o protokolech a metrikách Azure Firewall najdete v tématu protokoly a metriky Azure Firewall.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro