Metriky a protokoly Azure Firewallu

Bránu Azure Firewall můžete monitorovat pomocí protokolů brány firewall. K auditu operací na prostředcích brány Azure Firewall můžete také použít protokoly aktivit.

Některé z těchto protokolů jsou přístupné z webu Azure Portal. Protokoly můžete odeslat do protokolů služby Azure Monitor nebo služeb Storage a Event Hubs a analyzovat je můžete v protokolech služby Azure Monitor nebo pomocí jiných nástrojů, jako jsou Excel nebo Power BI.

Metriky jsou jednoduché a můžou podporovat scénáře téměř v reálném čase, takže jsou užitečné pro upozorňování a rychlou detekci problémů.

Poznámka

K dispozici jsou strukturované protokoly brány firewall (Preview), které nabízejí větší kontrolu nad protokoly a rychlejší dotazy. Další informace najdete v tématu funkce Azure Firewall Preview.

Diagnostické protokoly

Pro bránu Azure Firewall jsou k dispozici následující diagnostické protokoly:

  • Protokol pravidel aplikace

    Protokol pravidel aplikace se ukládá do účtu úložiště, streamuje se do služby Event Hubs nebo odesílá do protokolů služby Azure Monitor jenom v případě, že jste ho povolili pro každou Azure Firewall. Každé nové připojení, které odpovídá jednomu z vašich nakonfigurovaných pravidel aplikace, vytvoří pro dané přijaté nebo odepřené připojení protokol. Data se protokolují ve formátu JSON, jak je znázorněno v následujících příkladech:

    Category: application rule logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    
    {
      "category": "AzureFirewallApplicationRule",
      "time": "2018-04-16T23:45:04.8295030Z",
      "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
      "operationName": "AzureFirewallApplicationRuleLog",
      "properties": {
          "msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
      }
    }
    
    {
       "category": "AzureFirewallApplicationRule",
       "time": "2018-04-16T23:45:04.8295030Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallApplicationRuleLog",
       "properties": {
           "msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals"
       }
    }
    
  • Protokol pravidel sítě

    Protokol pravidel sítě se ukládá do účtu úložiště, streamuje se do služby Event Hubs nebo odesílá do protokolů služby Azure Monitor jenom v případě, že jste ho povolili pro každou Azure Firewall. Každé nové připojení, které odpovídá jednomu z vašich nakonfigurovaných pravidel aplikace, vytvoří pro dané přijaté nebo odepřené připojení protokol. Jak je vidět v následujícím příkladu, data se protokolují ve formátu JSON:

    Category: network rule logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    
    {
      "category": "AzureFirewallNetworkRule",
      "time": "2018-06-14T23:44:11.0590400Z",
      "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
      "operationName": "AzureFirewallNetworkRuleLog",
      "properties": {
          "msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
      }
    }
    
    
  • Protokol proxy serveru DNS

    Protokol proxy serveru DNS se ukládá do účtu úložiště, streamuje se do služby Event Hubs nebo se odesílá do protokolů služby Azure Monitor, pouze pokud jste ho povolili pro každou Azure Firewall. Tento protokol sleduje zprávy DNS na server DNS nakonfigurovaný pomocí proxy serveru DNS. Data se protokolují ve formátu JSON, jak je znázorněno v následujících příkladech:

    Category: DNS proxy logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    

    Úspěch:

    {
       "category": "AzureFirewallDnsProxy",
       "time": "2020-09-02T19:12:33.751Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallDnsProxyLog",
       "properties": {
           "msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
       }
    }
    

    Se nezdařilo:

    {
       "category": "AzureFirewallDnsProxy",
       "time": "2020-09-02T19:12:33.751Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallDnsProxyLog",
       "properties": {
           "msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
       }
    }
    

    Formát msg:

    [client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]

Protokoly můžete ukládat třemi způsoby:

  • Učet úložiště: Účty úložiště jsou nejvhodnější pro ukládání protokolů na delší dobu, které budete kontrolovat pouze v případě potřeby.
  • Centra událostí: Centra událostí jsou skvělou volbou pro integrování protokolů s jinými nástroji správy akcí a informací o zabezpečení (SEIM), abyste o svých prostředcích získávali upozornění.
  • Protokoly Azure Monitoru: Protokoly Azure Monitoru se nejlépe používají pro obecné monitorování vaší aplikace v reálném čase nebo sledování trendů.

Protokoly aktivit

Položky protokolu aktivit se ve výchozím nastavení shromažďují a můžete si je zobrazit na webu Azure Portal.

K zobrazení všech operací odeslaných do vašeho předplatného Azure můžete použít protokoly aktivit Azure (dříve označované jako provozní protokoly a protokoly auditu).

Metriky

Metriky ve službě Azure Monitor jsou číselné hodnoty, které popisují určité aspekty systému v určitém čase. Metriky se shromažďují každou minutu a jsou užitečné pro upozorňování, protože se dají často vzorkovat. Upozornění se dá aktivovat rychle s relativně jednoduchou logikou.

Pro Azure Firewall jsou k dispozici následující metriky:

  • Počet přístupů pravidel aplikace – kolikrát bylo pravidlo aplikace splněno.

    Jednotka: count

  • Počet přístupů pravidel sítě – kolikrát bylo pravidlo sítě splněno.

    Jednotka: count

  • Zpracovávaná data – součet dat procházejících bránou firewall v daném časovém intervalu.

    Jednotka: bajty

  • Propustnost – rychlost přenosu dat bránou firewall za sekundu.

    Jednotka: bity za sekundu

  • Stav brány firewall – indikuje stav brány firewall na základě dostupnosti portů SNAT.

    Jednotka: percent

    Tato metrika má dvě dimenze:

    • Stav: Možné hodnoty jsou V pořádku, Snížený výkon, Není v pořádku.

    • Reason (Důvod): Označuje důvod odpovídajícího stavu brány firewall.

      Pokud se porty SNAT používají > na 95 %, považují se za vyčerpané a stav je 50 % se stavem = Snížený výkon a důvod = port SNAT. Brána firewall dál zpracovává provoz a stávající připojení nejsou ovlivněná. Občas však není možné navazovat nová připojení.

      Pokud se porty SNAT používají < na 95 %, brána firewall se považuje za v pořádku a zobrazuje se jako 100 %.

      Pokud se nehlásí žádné využití portů SNAT, zobrazí se 0% stav.

  • Využití portů SNAT – procento portů SNAT, které brána firewall využívá.

    Jednotka: percent

    Když do brány firewall přidáte další veřejné IP adresy, zvýší se počet dostupných portů SNAT a sníží se jejich využití. Další porty SNAT budou k dispozici také po škálování brány firewall na více instancí z jiných důvodů (například kvůli procesoru nebo propustnosti). V důsledku toho může dané procento využití portů SNAT snížit, aniž byste museli přidávat veřejné IP adresy, jen proto, že služba škálovala na více instancí. Počet dostupných veřejných IP adres můžete přímo řídit, abyste zvýšili počet portů dostupných v bráně firewall. Nemůžete ale přímo řídit škálování brány firewall.

    Pokud u brány firewall dochází k vyčerpání portů SNAT, měli byste přidat aspoň pět veřejných IP adres. Tím se zvýší počet dostupných portů SNAT. Další informace najdete v tématu Azure Firewall funkce.

Další kroky