Azure Firewall-Metriken und Warnungen
Metriken in Azure Monitor sind numerische Werte, die einen Aspekt eines Systems zu einem bestimmten Zeitpunkt beschreiben. Metriken werden jede Minute erfasst und eignen sich gut für Warnmeldungen, da sie häufig abgefragt werden können. Eine Warnung kann mit relativ einfacher Logik schnell ausgelöst werden.
Firewallmetriken
Für Azure Firewall sind folgende Metriken verfügbar:
Application rules hit count (Trefferanzahl für Anwendungsregeln): Gibt an, wie oft eine Anwendungsregel ausgelöst wurde.
Einheit: Anzahl
Network rules hit count (Trefferanzahl für Netzwerkregeln): Gibt an, wie oft eine Netzwerkregel ausgelöst wurde.
Einheit: Anzahl
Verarbeitete Daten: Summe der Daten, die in einem bestimmten Zeitfenster die Firewall durchlaufen
Einheit: Bytes
Durchsatz: Rate der Daten, die pro Sekunde die Firewall durchlaufen
Einheit: Bits pro Sekunde
Firewall health state (Firewallintegritätszustand): Gibt die Integrität der Firewall basierend auf der SNAT-Portverfügbarkeit an.
Einheit: Prozent
Diese Metrik enthält zwei Dimensionen:
Status: Mögliche Werte sind Fehlerfrei, Beeinträchtigt und Fehlerhaft.
Ursache: Gibt den Grund für den entsprechenden Status der Firewall an.
Wenn die Auslastung von SNAT-Ports bei > 95 % liegt, gelten sie als erschöpft, und die Integrität beträgt 50 % mit dem Status Beeinträchtigt und der Ursache SNAT-Port. Die Firewall verarbeitet weiterhin Datenverkehr, und vorhandene Verbindungen sind nicht betroffen. Neue Verbindungen werden jedoch möglicherweise zeitweise nicht hergestellt.
Wenn die Auslastung von SNAT-Ports weniger als 95 % beträgt, wird die Firewall als fehlerfrei angesehen, und die Integrität wird als 100 % angezeigt.
Wenn keine Auslastung von SNAT-Ports gemeldet wird, wird die Integrität als 0 % angezeigt.
SNAT port utilization (SNAT-Portnutzung): Prozentangabe der SNAT-Ports, die durch die Firewall genutzt werden.
Einheit: Prozent
Wenn Sie der Firewall weitere öffentliche IP-Adressen hinzufügen, sind zusätzliche SNAT-Ports verfügbar, wodurch die Auslastung der SNAT-Ports reduziert wird. Wenn die Firewall aus unterschiedlichen Gründen horizontal hochskaliert wird (z. B. CPU oder Durchsatz), sind ebenfalls zusätzliche SNAT-Ports verfügbar. Ein bestimmter Prozentsatz der SNAT-Portnutzung kann sich also effektiv verringern, ohne dass Sie öffentliche IP-Adressen hinzufügen, sondern nur weil der Dienst horizontal hochskaliert wurde. Sie können die Anzahl der verfügbaren öffentlichen IP-Adressen direkt steuern, um die für die Firewall verfügbaren Ports zu erhöhen. Die Firewallskalierung können Sie jedoch nicht direkt steuern.
Wenn bei der Firewall eine SNAT-Portauslastung auftritt, sollten Sie mindestens fünf öffentliche IP-Adressen hinzufügen. Dadurch wird die Anzahl der verfügbaren SNAT-Ports erhöht. Weitere Informationen finden Sie unter Azure Firewall-Features.
AZFW-Latenztest: Schätzt die durchschnittliche Wartezeit von Azure Firewall.
Maßeinheit: ms
Diese Metrik misst die gesamte oder durchschnittliche Latenz von Azure Firewall in Millisekunden. Administrator*innen können diese Metrik für folgende Zwecke verwenden:
Diagnostizieren, ob Azure Firewall die Ursache von Latenz im Netzwerk ist
Überwachen und warnen, wenn Latenz- oder Leistungsprobleme auftreten, sodass IT-Teams proaktiv interagieren können
Es kann verschiedene Gründe geben, die zu einer hohen Latenz bei Azure Firewall führen können. Beispielsweise eine hohe CPU-Auslastung, ein hoher Durchsatz oder ein mögliches Netzwerkproblem.
Diese Metrik misst keine End-to-End-Wartezeit eines bestimmten Netzwerkpfads. Das bedeutet, dass dieser Integritätstest nicht die durch Azure Firewall verursachte zusätzliche Wartezeit misst.
Wenn die Wartezeitmetrik nicht wie erwartet funktioniert, wird im Metrikendashboard der Wert 0 angezeigt.
Als Referenz beträgt die durchschnittliche erwartete Latenz für eine Firewall etwa 1 ms. Dies kann je nach Bereitstellungsgröße und Umgebung variieren.
Der Wartezeittest basiert auf der Pingmesh-Technologie von Microsoft. Daher ist mit zeitweiligen Spitzen in der Wartezeitmetrik zu rechnen. Diese Spitzen sind normal und deuten nicht auf ein Problem mit Azure Firewall hin. Sie sind Teil des Standardsetups für die Hostnetztechnologie, die das System unterstützt.
Wenn Sie also dauerhaft hohe Wartezeiten feststellen, die länger andauern als die typischen Spitzen, erstellen Sie ggf. ein Supportticket, um Unterstützung zu erhalten.
Warnung für Azure Firewall-Metriken
Metriken liefern wichtige Signale zur Nachverfolgung der Ressourcenintegrität. Daher ist es wichtig, Metriken für Ihre Ressource zu überwachen und auf Anomalien zu achten. Aber was ist, wenn keine Azure Firewall-Metriken mehr übermittelt werden? Dies kann auf ein potenzielles Konfigurationsproblem oder auch auf einen Ausfall hindeuten. Fehlende Metriken können auf die Veröffentlichung von Standardrouten zurückzuführen sein, die das Hochladen von Metriken durch Azure Firewall blockieren. Eine weitere Möglichkeit ist, dass keine fehlerfreien Instanzen mehr vorhanden sind. In diesem Abschnitt erfahren Sie, wie Sie Metriken für einen Log Analytics-Arbeitsbereich konfigurieren und Warnungen für fehlende Metriken einrichten.
Konfigurieren von Metriken für einen Log Analytics-Arbeitsbereich
Der erste Schritt besteht darin, die Verfügbarkeit von Metriken für den Log Analytics-Arbeitsbereich mithilfe von Diagnoseeinstellungen in der Firewall zu konfigurieren.
Navigieren Sie zur Ressourcenseite von Azure Firewall, um Diagnoseeinstellungen zu konfigurieren, wie im folgenden Screenshot gezeigt. Dadurch werden Firewallmetriken an den konfigurierten Arbeitsbereich gepusht.
Hinweis
Die Diagnoseeinstellungen für Metriken müssen getrennt von Protokollen konfiguriert werden. Firewallprotokolle können für die Verwendung von Azure Diagnostics oder ressourcenspezifisch konfiguriert werden. Firewallmetriken müssen allerdings immer Azure Diagnostics verwenden.
Erstellen einer Warnung zum Nachverfolgen des Empfangs von Firewallmetriken ohne Fehler
Navigieren Sie zu dem Arbeitsbereich, der in den Metrikdiagnoseeinstellungen konfiguriert ist. Überprüfen Sie mithilfe der folgenden Abfrage, ob Metriken verfügbar sind:
AzureMetrics
| where MetricName contains "FirewallHealth"
| where ResourceId contains "/SUBSCRIPTIONS/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/RESOURCEGROUPS/PARALLELIPGROUPRG/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/HUBVNET-FIREWALL"
| where TimeGenerated > ago(30m)
Erstellen Sie als Nächstes eine Warnung für fehlende Metriken für einen Zeitraum von 60 Minuten. Navigieren Sie im Log Analytics-Arbeitsbereich zur Seite „Warnung“, um neue Warnungen für fehlende Metriken einzurichten.
