Strukturierte Azure-Firewallprotokolle
Strukturierte Protokolle sind eine Art von Protokolldaten, die in einem bestimmten Format angeordnet sind. Sie verwenden ein vordefiniertes Schema, um Protokolldaten so zu strukturieren, dass sie einfach zu suchen, zu filtern und zu analysieren sind. Im Gegensatz zu unstrukturierten Protokollen, die aus Freiformtext bestehen, haben strukturierte Protokolle ein konsistentes Format, das Computer analysieren können.
Die strukturierten Protokolle von Azure Firewall bieten eine detailliertere Ansicht der Firewallereignisse. Sie enthalten Informationen wie Quell- und Ziel-IP-Adressen, Protokolle, Portnummern und Aktionen der Firewall. Zudem enthalten Sie weitere Metadaten, z. B. die Uhrzeit des Ereignisses und den Namen des Azure Firewall-Instanz.
Für Azure Firewall sind derzeit folgende Diagnoseprotokollkategorien verfügbar:
- Anwendungsregelprotokoll
- Netzwerkregelprotokoll
- DNS-Proxy-Protokoll
Diese Protokollkategorien verwenden den Azure-Diagnosemodus. In diesem Modus werden alle Daten aus einer beliebigen Diagnoseeinstellung in der Tabelle AzureDiagnostics gesammelt.
Mit strukturierten Protokollen können Sie anstelle der vorhandenen AzureDiagnostics-Tabelle ressourcenspezifische Tabellen verwenden. Wenn beide Protokollsätze erforderlich sind, müssen mindestens zwei Diagnoseeinstellungen pro Firewall erstellt werden.
Ressourcenspezifischer Modus
Im Modus Ressourcenspezifisch Modus werden in dem ausgewählten Arbeitsbereich für jede in der Diagnoseeinstellung ausgewählte Kategorie individuelle Tabellen erstellt. Diese Methode wird empfohlen, da sie:
- Kann die Gesamtkosten für die Protokollierung um bis zu 80 % senken.
- die Arbeit mit den Daten in Protokollabfragen erheblich vereinfacht
- die Ermittlung von Schemas und deren Struktur erleichtert
- die Leistung sowohl im Hinblick auf Erfassungslatenz als auch auf Abfragezeiten verbessert
- Ihnen ermöglicht, Azure RBAC-Rechte für eine bestimmte Tabelle zu erteilen
Neue ressourcenspezifische Tabellen sind jetzt in der Diagnoseeinstellung verfügbar, mit der Sie die folgenden Kategorien nutzen können:
- Netzwerkregelprotokoll – Enthält alle Netzwerkregelprotokolldaten. Bei jeder Übereinstimmung zwischen Datenebene und Netzwerkregel wird ein Protokolleintrag mit dem Datenebenenpaket und den Attributen der übereinstimmende Regel erstellt.
- NAT-Regelprotokoll – Enthält alle DNAT-Ereignisprotokolldaten (Destination Network Address Translation). Bei jeder Übereinstimmung zwischen Datenebene und DNAT-Regel wird ein Protokolleintrag mit dem Datenebenenpaket und den Attributen der übereinstimmende Regel erstellt.
- Anwendungsregelprotokoll – Enthält alle Anwendungsregelprotokolldaten. Bei jeder Übereinstimmung zwischen Datenebene und Anwendungsregel wird ein Protokolleintrag mit dem Datenebenenpaket und den Attributen der übereinstimmende Regel erstellt.
- Threat Intelligence-Protokoll – Enthält alle Threat Intelligence-Ereignisse.
- IDPS-Protokoll – Enthält alle Datenebenenpakete, die mit einer oder mehreren IDPS-Signaturen übereinstimmen.
- DNS-Proxy-Protokoll – Enthält alle Daten des DNS-Proxy-Ereignisprotokolls.
- Protokoll der Fehler bei der internen FQDN-Auflösung – Enthält alle internen FQDN-Auflösungsanforderungen, die zu Fehlern führen.
- Protokoll zur Anwendungsregelaggregation – Enthält aggregierte Protokolldaten zur Anwendungsregel für Policy Analytics.
- Protokoll zur Netzwerkregelaggregation – Enthält aggregierte Protokolldaten zur Netzwerkregel für Policy Analytics.
- Protokoll zur NAT-Regelaggregation – Enthält aggregierte Protokolldaten zur Netzwerkregel für Policy Analytics.
- Protokoll des wichtigsten Flows (Vorschau) – Das Protokoll der wichtigsten Flows (Fat Flows) zeigt die wichtigsten Verbindungen an, die zum höchsten Durchsatz durch die Firewall beitragen.
- Flowüberwachung (Vorschau): Enthält Flowinformationen, Flags und den Zeitraum, in dem die Flows aufgezeichnet wurden. Sie können vollständige Flowinformationen wie SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (Flows) einsehen.
Aktivieren strukturierter Protokolle
Um strukturierte Azure Firewall-Protokolle zu aktivieren, müssen Sie zunächst einen Log Analytics-Arbeitsbereich in Ihrem Azure-Abonnement konfigurieren. Dieser Arbeitsbereich zum Speichern der von Azure Firewall generierten strukturierten Protokolle verwendet.
Nachdem Sie den Log Analytics-Arbeitsbereich konfiguriert haben, können Sie strukturierte Protokolle in Azure Firewall aktivieren, indem Sie im Azure-Portal zur Seite Diagnoseeinstellungen der Firewall navigieren. Dort müssen Sie die ressourcenspezifische Zieltabelle auswählen und den Typ der Ereignisse auswählen, die Sie protokollieren möchten.
Hinweis
Es ist nicht erforderlich, dieses Feature mit einem Featureflag oder Azure PowerShell-Befehlen zu aktivieren.
Strukturierte Protokollabfragen
Eine Liste vordefinierter Abfragen ist im Microsoft Azure-Portal verfügbar. Diese Liste enthält eine vordefinierte KQL-Protokollabfrage (Kusto Query Language) für jede Kategorie und eine verknüpfte Abfrage, die die gesamten Azure Firewall-Protokollierungsereignisse in einer einzigen Ansicht anzeigt.
Azure Firewall-Workbook
Azure Firewall Workbook bietet einen flexiblen Bereich für die Azure Firewall-Datenanalyse. Sie können damit umfangreiche visuelle Berichte innerhalb des Azure-Portals erstellen. Sie können mehrere in Azure bereitgestellte Firewalls nutzen und sie in einheitlichen interaktiven Oberflächen kombinieren.
Informationen zum Bereitstellen der neuen Arbeitsmappe, die strukturierte Azure Firewall-Protokolle verwendet, finden Sie unter Azure Monitor-Arbeitsmappe für Azure Firewall.
Nächste Schritte
Weitere Informationen finden Sie unter Erkunden der neuen ressourcenspezifischen strukturierten Protokollierung in Azure Firewall.
Weitere Informationen zu Azure Firewall-Protokollen und -Metriken finden Sie unter Azure Firewall-Protokolle und -Metriken.