Supervisión de métricas y registros (heredados) de Azure Firewall

Sugerencia

Para que un método mejorado funcione con registros de firewall, consulte Registros de firewall estructurados de Azure.

Puede supervisar Azure Firewall mediante los registros del firewall. También puede usar los registros de actividad para auditar las operaciones de los recursos de Azure Firewall. Con las métricas, puede ver los contadores de rendimiento en el portal.

Se puede acceder a algunos de estos registros mediante el portal. Se pueden enviar registros a los registros de Azure Monitor, a Storage y a Event Hubs, y se pueden analizar en los registros de Azure Monitor o mediante otras herramientas como Excel y Power BI.

Nota:

Este artículo se ha actualizado recientemente para usar el término registros de Azure Monitor en lugar de Log Analytics. Los datos de registro siguen almacenándose en un área de trabajo de Log Analytics y siguen recopilándose y analizándose por el mismo servicio de Log Analytics. Estamos actualizando la terminología para reflejar mejor el rol de los registros de Azure Monitor. Consulte Azure Monitor terminology changes (Cambios en la terminología de Azure Monitor) para obtener más información.

Nota

Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Consulte Instalación de Azure PowerShell para empezar. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Requisitos previos

Antes de comenzar, debe leer el artículo acerca de las métricas y registros de Azure Firewall, una introducción a los registros y las métricas de diagnóstico disponibles para Azure Firewall.

Habilitación del registro de diagnóstico mediante Azure Portal

Puede tardar algunos minutos en que los datos aparezcan en los registros después de completar este procedimiento para activar el registro de diagnóstico. Si no ve nada a primera vista, vuelva a comprobarlo en unos minutos.

1. En Azure Portal, abra el grupo de recursos de firewall y seleccione el firewall.

2. En Supervisión, seleccione Configuración de diagnóstico.

   Para Azure Firewall, hay tres registros heredados específicos del servicio disponibles:

   • Regla de aplicación de Azure Firewall (Azure Diagnostics heredado)
   • Regla de red de Azure Firewall (Azure Diagnostics heredado)
   • Proxy DNS de Azure Firewall (Azure Diagnostics heredado)

3. Seleccione Agregar configuración de diagnóstico. En la página Configuración de diagnóstico, se encuentran las opciones de configuración de los registros de diagnóstico.

4. Escriba un nombre para la configuración de diagnóstico.

5. En Registros, seleccione Regla de aplicación de Azure Firewall (Azure Diagnostics heredado), Regla de red de Azure Firewall (Azure Diagnostics heredado) y Proxy DNS de Azure Firewall (Azure Diagnostics heredado) para recopilar los registros.

6. Seleccione Enviar a Log Analytics para configurar el área de trabajo.

7. Seleccione su suscripción.

8. En la Tabla de destino, seleccione Diagnósticos de Azure.

9. Seleccione Guardar.

   

Habilitación del registro de diagnóstico con PowerShell

El registro de actividades se habilita automáticamente para todos los recursos de Resource Manager. Se debe habilitar el registro de diagnóstico para empezar a recopilar los datos disponibles mediante esos registros.

Para habilitar el registro de diagnóstico con PowerShell, siga estos pasos:

1. Anote el identificador de recurso del área de trabajo de Log Analytics donde se almacenan los datos de registro. Este valor tiene el formato:

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

   Puede usar cualquier área de trabajo de la suscripción. Para buscar esta información, se puede usar Azure Portal. La información se encuentra en la página Propiedades del recurso.

2. Anote el identificador de recurso para el firewall. Este valor tiene el formato:

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

   Para buscar esta información, use Azure Portal.

3. Habilite el registro de diagnóstico para todos los registros y las métricas mediante el siguiente cmdlet de PowerShell:

      $diagSettings = @{
      Name = 'toLogAnalytics'
      ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
      WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
      }
   New-AzDiagnosticSetting  @diagSettings 
   

Habilitación del registro de diagnóstico con la CLI de Azure

El registro de actividades se habilita automáticamente para todos los recursos de Resource Manager. Se debe habilitar el registro de diagnóstico para empezar a recopilar los datos disponibles mediante esos registros.

Para habilitar el registro de diagnóstico con la CLI de Azure, siga estos pasos:

1. Anote el identificador de recurso del área de trabajo de Log Analytics donde se almacenan los datos de registro. Este valor tiene el formato:

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

   Puede usar cualquier área de trabajo de la suscripción. Para buscar esta información, se puede usar Azure Portal. La información se encuentra en la página Propiedades del recurso.

2. Anote el identificador de recurso para el firewall. Este valor tiene el formato:

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

   Para buscar esta información, use Azure Portal.

3. Habilite el registro de diagnóstico para todos los registros y las métricas mediante el siguiente comando de la CLI de Azure:

      az monitor diagnostic-settings create -n 'toLogAnalytics'
      --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
      --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
      --logs "[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]" 
      --metrics "[{\"category\": \"AllMetrics\",\"enabled\": true}]"
   

Visualización y análisis del registro de actividades

Puede ver y analizar los datos del registro de actividades con cualquiera de los métodos siguientes:

• Herramientas de Azure: permiten recuperar información de los registros de actividades mediante Azure PowerShell, la CLI de Azure, la API REST de Azure o Azure Portal. En el artículo Operaciones de actividades con Resource Manager se detallan instrucciones paso a paso de cada método.

• Power BI: si todavía no tiene una cuenta de Power BI, puede probarlo gratis. Con el paquete de contenido de los registros de actividades de Azure para Power BI, puede analizar sus datos con los paneles preconfigurados que puede personalizar o usar tal cual.

• Microsoft Sentinel: Los registros de Azure Firewall se pueden conectar a Microsoft Sentinel, de forma que es posible ver los datos de registro en los libros, usarlos para crear alertas personalizadas e incorporarlos para mejorar su investigación. El conector de datos de Azure Firewall en Microsoft Sentinel se encuentra actualmente en versión preliminar pública. Para más información, consulte Conexión de datos desde Azure Firewall.

  Consulte el siguiente vídeo de Mohit Kumar para obtener información general:

Ver y analizar los registros de la regla de red y de aplicación

El libro de Azure Firewall proporciona un lienzo flexible para el análisis de datos de Azure Firewall. Puede utilizarlo para crear informes visuales completos en Azure Portal. Puede acceder a varias instancias de Firewall implementadas en Azure y combinarlas en experiencias interactivas unificadas.

También puede conectarse a la cuenta de almacenamiento y recuperar las entradas del registro de JSON de los registros de acceso y rendimiento. Después de descargar los archivos JSON, se pueden convertir a CSV y consultarlos en Excel, PowerBI o cualquier otra herramienta de visualización de datos.

Sugerencia

Si está familiarizado con Visual Studio y con los conceptos básicos de cambio de los valores de constantes y variables de C#, puede usar las herramientas convertidoras de registros que encontrará en GitHub.

Visualización de métricas

Vaya a Azure Firewall. En Supervisión, seleccione Métricas. Para ver los valores disponibles, seleccione la lista desplegable MÉTRICA.

Pasos siguientes

Ahora que ha configurado el firewall para recopilar registros, puede explorar los registros de Azure Monitor para ver los datos.

• Supervisión de registros mediante el libro de Azure Firewall
• Soluciones de supervisión de redes en registros de Azure Monitor
• Más información sobre la seguridad de red de Azure