Strukturierte Azure-Firewallprotokolle

  • Artikel

Strukturierte Protokolle sind eine Art von Protokolldaten, die in einem bestimmten Format angeordnet sind. Sie verwenden ein vordefiniertes Schema, um Protokolldaten so zu strukturieren, dass sie einfach zu suchen, zu filtern und zu analysieren sind. Im Gegensatz zu unstrukturierten Protokollen, die aus Freiformtext bestehen, haben strukturierte Protokolle ein konsistentes Format, das Computer analysieren können.

Die strukturierten Protokolle von Azure Firewall bieten eine detailliertere Ansicht der Firewallereignisse. Sie enthalten Informationen wie Quell- und Ziel-IP-Adressen, Protokolle, Portnummern und Aktionen der Firewall. Zudem enthalten Sie weitere Metadaten, z. B. die Uhrzeit des Ereignisses und den Namen des Azure Firewall-Instanz.

Für Azure Firewall sind derzeit folgende Diagnoseprotokollkategorien verfügbar:

  • Anwendungsregelprotokoll
  • Netzwerkregelprotokoll
  • DNS-Proxy-Protokoll

Diese Protokollkategorien verwenden den Azure-Diagnosemodus. In diesem Modus werden alle Daten aus einer beliebigen Diagnoseeinstellung in der Tabelle AzureDiagnostics gesammelt.

Mit strukturierten Protokollen können Sie anstelle der vorhandenen AzureDiagnostics-Tabelle ressourcenspezifische Tabellen verwenden. Wenn beide Protokollsätze erforderlich sind, müssen mindestens zwei Diagnoseeinstellungen pro Firewall erstellt werden.

Ressourcenspezifischer Modus

Im Modus Ressourcenspezifisch Modus werden in dem ausgewählten Arbeitsbereich für jede in der Diagnoseeinstellung ausgewählte Kategorie individuelle Tabellen erstellt. Diese Methode wird empfohlen, da sie:

  • Kann die Gesamtkosten für die Protokollierung um bis zu 80 % senken.
  • die Arbeit mit den Daten in Protokollabfragen erheblich vereinfacht
  • die Ermittlung von Schemas und deren Struktur erleichtert
  • die Leistung sowohl im Hinblick auf Erfassungslatenz als auch auf Abfragezeiten verbessert
  • Ihnen ermöglicht, Azure RBAC-Rechte für eine bestimmte Tabelle zu erteilen

Neue ressourcenspezifische Tabellen sind jetzt in der Diagnoseeinstellung verfügbar, mit der Sie die folgenden Kategorien nutzen können:

  • Netzwerkregelprotokoll – Enthält alle Netzwerkregelprotokolldaten. Bei jeder Übereinstimmung zwischen Datenebene und Netzwerkregel wird ein Protokolleintrag mit dem Datenebenenpaket und den Attributen der übereinstimmende Regel erstellt.
  • NAT-Regelprotokoll – Enthält alle DNAT-Ereignisprotokolldaten (Destination Network Address Translation). Bei jeder Übereinstimmung zwischen Datenebene und DNAT-Regel wird ein Protokolleintrag mit dem Datenebenenpaket und den Attributen der übereinstimmende Regel erstellt.
  • Anwendungsregelprotokoll – Enthält alle Anwendungsregelprotokolldaten. Bei jeder Übereinstimmung zwischen Datenebene und Anwendungsregel wird ein Protokolleintrag mit dem Datenebenenpaket und den Attributen der übereinstimmende Regel erstellt.
  • Threat Intelligence-Protokoll – Enthält alle Threat Intelligence-Ereignisse.
  • IDPS-Protokoll – Enthält alle Datenebenenpakete, die mit einer oder mehreren IDPS-Signaturen übereinstimmen.
  • DNS-Proxy-Protokoll – Enthält alle Daten des DNS-Proxy-Ereignisprotokolls.
  • Protokoll der Fehler bei der internen FQDN-Auflösung – Enthält alle internen FQDN-Auflösungsanforderungen, die zu Fehlern führen.
  • Protokoll zur Anwendungsregelaggregation – Enthält aggregierte Protokolldaten zur Anwendungsregel für Policy Analytics.
  • Protokoll zur Netzwerkregelaggregation – Enthält aggregierte Protokolldaten zur Netzwerkregel für Policy Analytics.
  • Protokoll zur NAT-Regelaggregation – Enthält aggregierte Protokolldaten zur Netzwerkregel für Policy Analytics.
  • Protokoll des wichtigsten Flows (Vorschau) – Das Protokoll der wichtigsten Flows (Fat Flows) zeigt die wichtigsten Verbindungen an, die zum höchsten Durchsatz durch die Firewall beitragen.
  • Flowüberwachung (Vorschau): Enthält Flowinformationen, Flags und den Zeitraum, in dem die Flows aufgezeichnet wurden. Sie können vollständige Flowinformationen wie SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (Flows) einsehen.

Aktivieren strukturierter Protokolle

Um strukturierte Azure Firewall-Protokolle zu aktivieren, müssen Sie zunächst einen Log Analytics-Arbeitsbereich in Ihrem Azure-Abonnement konfigurieren. Dieser Arbeitsbereich zum Speichern der von Azure Firewall generierten strukturierten Protokolle verwendet.

Nachdem Sie den Log Analytics-Arbeitsbereich konfiguriert haben, können Sie strukturierte Protokolle in Azure Firewall aktivieren, indem Sie im Azure-Portal zur Seite Diagnoseeinstellungen der Firewall navigieren. Dort müssen Sie die ressourcenspezifische Zieltabelle auswählen und den Typ der Ereignisse auswählen, die Sie protokollieren möchten.

Hinweis

Es ist nicht erforderlich, dieses Feature mit einem Featureflag oder Azure PowerShell-Befehlen zu aktivieren.

Screenshot: Seite mit Diagnoseeinstellungen

Strukturierte Protokollabfragen

Eine Liste vordefinierter Abfragen ist im Microsoft Azure-Portal verfügbar. Diese Liste enthält eine vordefinierte KQL-Protokollabfrage (Kusto Query Language) für jede Kategorie und eine verknüpfte Abfrage, die die gesamten Azure Firewall-Protokollierungsereignisse in einer einzigen Ansicht anzeigt.

Screenshot: Azure Firewall-Abfragen

Azure Firewall-Workbook

Azure Firewall Workbook bietet einen flexiblen Bereich für die Azure Firewall-Datenanalyse. Sie können damit umfangreiche visuelle Berichte innerhalb des Azure-Portals erstellen. Sie können mehrere in Azure bereitgestellte Firewalls nutzen und sie in einheitlichen interaktiven Oberflächen kombinieren.

Informationen zum Bereitstellen der neuen Arbeitsmappe, die strukturierte Azure Firewall-Protokolle verwendet, finden Sie unter Azure Monitor-Arbeitsmappe für Azure Firewall.

Nächste Schritte