Übersicht über Azure Firewall-Protokolle und Metriken

  • Artikel

Sie können Azure Firewall-Protokolle und -Metriken verwenden, um Ihren Datenverkehr und Ihre Vorgänge innerhalb der Firewall zu überwachen. Diese Protokolle und Metriken dienen mehreren wesentlichen Zwecken, darunter:

  • Datenverkehrsanalyse: Verwenden Sie Protokolle, um den Datenverkehr zu untersuchen und zu analysieren, der durch die Firewall geht. Dazu gehört die Untersuchung zulässiger und verweigerter Datenverkehr, das Überprüfen von Quell- und Ziel-IP-Adressen, URLs, Portnummern, Protokollen und vieles mehr. Diese Erkenntnisse sind unerlässlich, um Datenverkehrsmuster zu verstehen, potenzielle Sicherheitsbedrohungen zu identifizieren und Konnektivitätsprobleme zu beheben.

  • Leistungs- und Integritätsmetriken: Azure Firewall-Metriken bieten Leistungs- und Integritätsmetriken, z. B. verarbeitete Daten, Durchsatz, Regeltrefferanzahl und Latenz. Überwachen Sie diese Metriken, um die Gesamtintegrität Ihrer Firewall zu bewerten, Leistungsengpässe zu identifizieren und Anomalien zu erkennen.

  • Überwachungspfad: Aktivitätsprotokolle ermöglichen die Überwachung von Vorgängen im Zusammenhang mit Firewallressourcen, das Erfassen von Aktionen wie Erstellen, Aktualisieren oder Löschen von Firewallregeln und -richtlinien. Das Überprüfen von Aktivitätsprotokollen hilft Standard, einen historischen Datensatz von Konfigurationsänderungen zu speichern und die Einhaltung der Sicherheits- und Überwachungsanforderungen zu gewährleisten.

Anzeigen und Speichern

Auf Protokolle und Metriken kann über die Azure-Portal zugegriffen werden, mit mehreren Optionen für Speicher und Analyse:

  • Log Analytics Workspace (unterstützt von Azure Monitor): Zentralisieren Sie Ihre Azure Firewall-Protokolle und -Metriken in einem Log Analytics-Arbeitsbereich für die erweiterte Analyse, die angepasste Dashboarderstellung und das Einrichten von Warnungen basierend auf bestimmten Metrikschwellenwerten.

  • Speicherkonto: Speichern Sie Protokolle in einem Azure Storage-Konto für die langfristige Aufbewahrung und Integration mit externen Protokollanalysetools.

  • Event Hub: Streamen Von Azure Firewall-Protokollen an Azure Event Hub zur Echtzeitverarbeitung, Analyse oder Integration in SIEM-Lösungen von Drittanbietern.

  • Partnerlösungen: Senden Sie Azure Firewall-Protokolle an Partnerlösungen von Drittanbietern, um weitere Analysen und Korrelation mit anderen Sicherheitsdaten zu ermöglichen.

Protokoll- und Metrikkonfigurationseinstellungen für Azure Firewall werden in der Regel über die Azure-Portal durchgeführt. Auf diese Weise können Sie das Ziel für Protokolle und Metriken angeben und Aufbewahrungs- und Warnungskonfigurationen einrichten, die auf die Überwachungs- und Sicherheitsanforderungen Ihrer Organisation zugeschnitten sind.

Strukturierte Protokolle

Überwachen Sie Azure Firewall mithilfe von strukturierten Protokollen, die ein vordefiniertes Schema verwenden, um Protokolldaten für einfache Suche, Filterung und Analyse zu strukturieren. Zu diesen Protokollen gehören Informationen wie Quell- und Ziel-IP-Adressen, Protokolle, Portnummern und Firewallaktionen. Priorisieren Sie das Einrichten von strukturierten Protokollen als Standard Protokolltyp mithilfe von ressourcenspezifischen Tabellen anstelle der vorhandenen AzureDiagnostics-Tabelle. Informationen zum Aktivieren dieser Protokolle und Zum Durchsuchen von Protokollkategorien finden Sie unter Azure Structured Firewall Logs.

Ältere Azure-Diagnose-Protokolle

Ältere Azure Diagnostic-Protokolle sind die ursprünglichen Azure Firewall-Protokollabfragen, die Protokolldaten in einem unstrukturierten oder freiformatigen Textformat ausgeben. Die Legacyprotokollkategorien der Azure Firewall verwenden den Azure Diagnose-Modus, wobei gesamte Daten in der Tabelle "AzureDiagnostics" gesammelt werden. Falls sowohl strukturierte als auch Diagnoseprotokolle erforderlich sind, müssen mindestens zwei Diagnoseeinstellungen pro Firewall erstellt werden. Informationen zum Aktivieren dieser Protokolle und Zum Durchsuchen von Protokollkategorien finden Sie unter Azure Firewall-Diagnoseprotokolle.

metrics

Metriken in Azure Monitor sind numerische Werte, die Aspekte eines Systems zu einem bestimmten Zeitpunkt beschreiben. Die Metriken werden jede Minute gesammelt, um aufgrund ihrer häufigen Stichproben alarmiert zu werden. Konfigurieren Sie Warnungen schnell mit relativ einfacher Logik. Verfügbare Metriken und Konfigurieren von Warnungen für Azure Firewall finden Sie unter Azure Firewall-Metriken und -Warnungen.

Aktivitätsprotokolle

Einträge im Aktivitätsprotokoll werden standardmäßig erfasst und können im Azure-Portal angezeigt werden. Verwenden Sie Azure-Aktivitätsprotokolle (früher als Betriebsprotokolle und Überwachungsprotokolle bezeichnet), um alle Vorgänge anzuzeigen, die an Ihr Azure-Abonnement übermittelt wurden.

Nächste Schritte