Compartir a través de

Recopilación de registros de Firewall de Windows desde una máquina virtual con Azure Monitor

El Firewall de Windows es una aplicación de Microsoft Windows que filtra la información que llega al sistema desde Internet y bloquea los programas potencialmente dañinos. Los registros de Firewall de Windows se generan en sistemas operativos cliente y servidor. Estos registros proporcionan información valiosa sobre el tráfico de red, incluyendo los paquetes eliminados y las conexiones exitosas. El análisis de archivos de registro del Firewall de Windows se puede realizar mediante métodos, como el reenvío de eventos de Windows (WEF) o el reenvío de registros a un producto SIEM, como Azure Sentinel.

Los detalles para la creación del DCR se proporcionan en Recopilar datos del cliente de VM con Azure Monitor. En este artículo se proporcionan detalles adicionales para el tipo de origen de datos firewall de Windows.

Prerrequisitos

Además de los requisitos previos de Recopilación de datos del cliente de máquina virtual con Azure Monitor, debe instalar la solución Seguridad y auditoría para crear la tabla WindowsFirewall en el área de trabajo de Log Analytics.

En Azure Portal, busque Seguridad y auditoría y seleccione la solución en Marketplace. Cuando se le solicite, especifique el grupo de recursos y el área de trabajo de Log Analytics donde va a enviar los datos de registro del firewall.

Captura de pantalla que muestra la instalación de la solución Seguridad y auditoría.

Configuración del origen de datos de registros de firewall

Cree el DCR mediante el proceso de Recopilación de datos del cliente de máquina virtual con Azure Monitor. En la pestaña Recopilar y entregar de DCR, seleccione Registros de firewall en la lista desplegable Tipo de origen de datos . Seleccione cada uno de los perfiles de red que desea recopilar.

Captura de pantalla que muestra la configuración del origen de datos de los registros del firewall.

Agregar destinos

Los registros de firewall solo se pueden enviar a un área de trabajo de Log Analytics donde se almacena en la tabla Event . Agregue un destino de tipo Registros de Azure Monitor y seleccione un área de trabajo de Log Analytics. Solo puede agregar una sola área de trabajo a un DCR para un origen de datos de registro de firewall. Si necesita varios destinos, cree varias DCR. Tenga en cuenta que esto enviará datos duplicados a cada uno, lo que dará lugar a un costo adicional.

Recorte de pantalla en el que se muestra la configuración de un destino de registros de Azure Monitor en una regla de recopilación de datos.

Comprobación de la recopilación de datos

Para comprobar que se recopilan los datos, compruebe si hay registros en la WindowsFirewall tabla. En la máquina virtual o en el área de trabajo de Log Analytics en Azure Portal, seleccione Registros y, a continuación, haga clic en el botón Tablas . En la categoría Seguridad y auditoría , haga clic en Ejecutar junto a WindowsFirewall. Si esta sección o la tabla no aparecen en la lista, consulte Solución de problemas de pasos para resolver el problema.

Captura de pantalla que muestra la consulta de registro de firewall con los registros de firewall recopilados.

Solución de problemas

Siga estos pasos para solucionar problemas de recopilación de registros de firewall.

Comprobar que firewall de Windows está habilitado

Siga estos pasos en la máquina Windows:

  1. Seleccione Inicio y, a continuación, abra Configuración.
  2. En Actualizar y seguridad, seleccione Seguridad de Windows y, a continuación, Firewall y protección de red.
  3. Seleccione un perfil de red: dominio, privado o público.
  4. Compruebe que la configuración del Firewall de Microsoft Defender esté activada.

Comprobar que se están creando los registros de firewall

Empiece comprobando las marcas de tiempo de los archivos de registro y abra la más reciente para ver que las marcas de tiempo más recientes están presentes en los archivos de registro. La ubicación predeterminada para los archivos de registro del firewall es C:\windows\system32\logfiles\firewall\pfirewall.log.

Para comprobar y modificar la configuración de registro, siga estos pasos en la máquina Windows:

  1. En la página Firewall y protección de red , seleccione Configuración avanzada.

  2. Seleccione Supervisión y compruebe la configuración de registro de cada perfil.

    Captura de pantalla que muestra la configuración actual del registro del firewall.

  3. Para cambiar la configuración de registro, haga clic con el botón derecho en Firewall de Windows Defender en el panel izquierdo y seleccione Propiedades. Seleccione Personalizar junto a Registro y modifique cualquier configuración de cada perfil.

    Captura de pantalla que muestra la modificación de la configuración del registro del firewall.

Puede habilitar el registro para todos los perfiles mediante la siguiente línea de comandos:

netsh advfirewall set allprofiles logging allowedconnections enable​
netsh advfirewall set allprofiles logging droppedconnections enable​

Ejecución del solucionador de problemas del agente de Azure Monitor

Para probar la configuración y compartir registros con Microsoft, use el solucionador de problemas del agente de Azure Monitor.

Pasos siguientes

Más información sobre: