Aktivieren der Protokolle der wichtigsten Flows und Flow-Ablaufverfolgungsprotokolle in Azure Firewall

Azure Firewall verfügt über zwei neue Diagnoseprotokolle, die Sie zur Überwachung Ihrer Firewall verwenden können:

• Wichtigste Flows
• Flow-Ablaufverfolgung

Wichtigste Flows

Das Protokoll der wichtigsten Flows (in der Branche als Fat Flows bekannt) zeigt die wichtigsten Verbindungen an, die zum höchsten Durchsatz durch die Firewall beitragen.

Tipp

Aktivieren Sie die Protokolle der wichtigsten Flows nur bei der Problembehandlung eines bestimmten Problems, um eine übermäßige CPU-Auslastung von Azure Firewall zu vermeiden.

Die Flowrate ist als Datenübertragungsrate (in Megabits pro Sekunde) definiert. Anders ausgedrückt: Es handelt sich um ein Maß für die Menge digitaler Daten, die über ein Netzwerk in einem bestimmten Zeitraum durch die Firewall übertragen werden können. Das Protokoll der wichtigsten Flows wird in regelmäßigen Abständen alle drei Minuten ausgeführt. Der Mindestschwellenwert für die Einstufung als wichtigster Flow beträgt 1 MBit/s.

Voraussetzungen

• Aktivieren strukturierter Protokolle
• Verwenden Sie das Azure ressourcenspezifische Tabellenformat in den Diagnoseeinstellungen.

Aktivieren des Protokolls

Aktivieren Sie das Protokoll mit den folgenden Azure PowerShell-Befehlen:

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall

Deaktivieren des Protokolls

Verwenden Sie zum Deaktivieren der Protokolle den gleichen vorherigen Azure PowerShell-Befehl, und legen Sie den Wert auf False fest.

Beispiel:

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall

Überprüfen des Updates

Es gibt mehrere Möglichkeiten, um zu überprüfen, ob das Update erfolgreich war. Sie können jedoch zur Firewallübersicht navigieren und in der oberen rechten Ecke die JSON-Ansicht auswählen. Hier ist ein Beispiel angegeben:

Erstellen Sie eine Diagnoseeinstellung und aktivieren Sie die ressourcenspezifische Tabelle

1. Wählen Sie auf der Registerkarte Diagnoseeinstellungen die Option Diagnoseeinstellung hinzufügen.
2. Geben Sie einen Namen der Diagnoseeinstellung ein.
3. Wählen Sie Azure Firewall Fat Flow-Protokoll unter Kategorien und alle anderen Protokolle, die in der Firewall unterstützt werden sollen.
4. Wählen Sie unter Zieldetails die Option An Log Analytics-Arbeitsbereich senden.
   1. Wählen Sie das gewünschte Abonnement und den vorkonfigurierten Protokollanalyse-Arbeitsbereich.
   2. Aktivieren Sie Ressourcenspezifisch.

Anzeigen und Analysieren von Azure Firewall-Protokollen

1. Navigieren Sie auf einer Firewallressource auf der Registerkarte Überwachung zu Protokolle.

2. Wählen Sie Abfragen aus, und laden Sie dann Azure Firewall Top Datenflussprotokolle, indem Sie mit dem Mauszeiger auf die Option zeigen und In Editor laden auswählen.

3. Wenn die Abfrage geladen wird, wählen Sie Ausführen aus.

   

Flow-Ablaufverfolgung

Derzeit zeigen die Firewall-Protokolle den Datenverkehr durch die Firewall beim ersten Versuch einer TCP-Verbindung, dem so genannten SYN-Paket. Dies zeigt jedoch nicht den gesamten Weg des Pakets im TCP-Handshake. Infolgedessen ist es schwierig, eine Fehlersuche durchzuführen, wenn ein Paket verworfen wurde oder ein asymmetrisches Routing aufgetreten ist.

Tipp

Um eine übermäßige Datenträgerauslastung durch Ablaufverfolgungsprotokolle in Azure Firewall mit vielen kurzlebigen Verbindungen zu vermeiden, aktivieren Sie die Protokolle nur zu Diagnosezwecken bei der Problembehandlung eines bestimmten Problems.

Die folgenden zusätzlichen Eigenschaften können hinzugefügt werden:

• SYN-ACK

  ACK-Flag, das die Bestätigung des SYN-Pakets angibt.

• FIN

  Finished-Flag des ursprünglichen Paketflusses. Im TCP-Flow werden keine weiteren Daten übertragen.

• FIN-ACK

  ACK-Flag, das die Bestätigung des FIN-Pakets angibt.

• RST

  Das Flag „Zurücksetzen“ gibt an, dass der ursprüngliche Absender keine weiteren Daten empfängt.

• INVALID (Flows)

  Gibt an, dass das Paket nicht identifiziert werden kann bzw. keinen Zustand aufweist.

  Beispiel:

  • Ein TCP-Paket landet auf einer Virtual Machine Scale Sets-Instanz, die keinen vorherigen Verlauf für dieses Paket hat
  • Fehlerhafte CheckSum-Pakete
  • Der Tabelleneintrag für die Verbindungsnachverfolgung ist voll, und neue Verbindungen können nicht akzeptiert werden
  • Übermäßig verzögerte ACK-Pakete

Flow-Ablaufverfolgungsprotokolle, z. B. SYN-ACK und ACK, werden ausschließlich für Netzwerkdatenverkehr protokolliert. Darüber hinaus werden SYN-Pakete nicht standardmäßig protokolliert. Sie können jedoch innerhalb der Netzwerkregelprotokolle auf die anfänglichen SYN-Pakete zugreifen.

Voraussetzungen

• Aktivieren Sie strukturierte Protokolle.
• Verwenden Sie das Azure ressourcenspezifische Tabellenformat in den Diagnoseeinstellungen.

Aktivieren des Protokolls

Aktivieren Sie das Protokoll mithilfe der folgenden Azure PowerShell-Befehle, oder navigieren Sie im Portal, und suchen Sie nach TCP-Verbindungsprotokollierung aktivieren:

Connect-AzAccount 
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Es kann etwas dauern, bis dies wirksam wird. Nach Registrierung des Features sollten Sie eine Aktualisierung von Azure Firewall in Betracht ziehen, damit die Änderung sofort wirksam wird.

Um den Status der AzResourceProvider-Registrierung zu überprüfen, können Sie diesen Azure PowerShell-Befehl ausführen:

Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"

Deaktivieren des Protokolls

Um das Protokoll zu deaktivieren, können Sie die Registrierung mit dem folgenden Befehl aufheben oder im vorherigen Portalbeispiel „Registrierung aufheben“ auswählen.

Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"

Erstellen Sie eine Diagnoseeinstellung und aktivieren Sie die ressourcenspezifische Tabelle

1. Wählen Sie auf der Registerkarte Diagnoseeinstellungen die Option Diagnoseeinstellung hinzufügen.
2. Geben Sie einen Namen der Diagnoseeinstellung ein.
3. Wählen Sie unter Kategorien das Azure Firewall-Flow-Ablaufverfolgungsprotokoll sowie alle anderen Protokolle aus, die in der Firewall unterstützt werden sollen.
4. Wählen Sie unter Zieldetails die Option An Log Analytics-Arbeitsbereich senden.
   1. Wählen Sie das gewünschte Abonnement und den vorkonfigurierten Protokollanalyse-Arbeitsbereich.
   2. Aktivieren Sie Ressourcenspezifisch.

Anzeigen und Analysieren von Azure Firewall-Ablaufprotokollen

1. Navigieren Sie auf einer Firewallressource auf der Registerkarte Überwachung zu Protokolle.

2. Wählen Sie Abfragen aus, und laden Sie dann Azure Firewall Ablaufverfolgungsprotokolle, indem Sie mit dem Mauszeiger auf die Option zeigen und In Editor laden auswählen.

3. Wenn die Abfrage geladen wird, wählen Sie Ausführen aus.

   

Nächste Schritte

• Strukturierte Azure-Firewallprotokolle