Registros de firewall estructurados de Azure

Los registros estructurados son un tipo de datos de registro que se organizan en un formato específico. Utilizan un esquema predefinido para estructurar los datos de registro de forma que sea fácil buscarlos, filtrarlos y analizarlos. A diferencia de los registros no estructurados, que constan de texto de forma libre, los registros estructurados tienen un formato coherente que las máquinas pueden analizar.

Los registros estructurados de Azure Firewall proporcionan una vista más detallada de los eventos de firewall. Incluyen información como direcciones IP de origen y destino, protocolos, números de puerto y acciones realizadas por el firewall. También incluyen más metadatos, como la hora del evento y el nombre de la instancia de Azure Firewall.

Actualmente, las siguientes categorías de registros de diagnóstico están disponibles para Azure Firewall:

• Registro de regla de aplicación
• Registro de regla de red
• Registro de proxy DNS

Estas categorías de registro usan el modo de diagnóstico de Azure. En este modo se recopilan todos los datos de cualquier configuración de diagnóstico de la tabla AzureDiagnostics.

Con los registros estructurados, puede optar por usar tablas específicas de recursos en lugar de una tabla AzureDiagnostics existente. En caso de que se requieran ambos conjuntos de registros, es necesario crear al menos dos configuraciones de diagnóstico por firewall.

Modo específico del recurso

En el modo específico de recursos se crean tablas individuales en el área de trabajo seleccionada para cada categoría seleccionada en la configuración de diagnóstico. Se recomienda este método por los siguientes motivos:

• Puede reducir los costos generales de registro en hasta un 80 %.
• Facilita considerablemente el trabajo con los datos en las consultas de registro.
• Facilita la detección de esquemas y su estructura.
• Mejora el rendimiento tanto de la latencia de ingesta como de los tiempos de consulta.
• Permite conceder derechos de RBAC de Azure en una tabla específica.

Las nuevas tablas específicas de recursos ahora están disponibles en el valor Diagnóstico que le permite usar las siguientes categorías:

• Registro de reglas de red: contiene todos los datos de registro de reglas de red. Cada coincidencia entre el plano de datos y la regla de red crea una entrada de registro con el paquete del plano de datos y los atributos de la regla de coincidencia.
• Registro de reglas NAT: contiene todos los datos del registro de eventos DNAT (traducción de direcciones de red de destino). Cada coincidencia entre el plano de datos y la regla DNAT crea una entrada de registro con el paquete del plano de datos y los atributos de la regla de coincidencia.
• Registro de reglas de aplicación: contiene todos los datos del registro de reglas de aplicación. Cada coincidencia entre el plano de datos y la regla de aplicación crea una entrada de registro con el paquete del plano de datos y los atributos de la regla de coincidencia.
• Registro de inteligencia sobre amenazas: contiene todos los eventos de inteligencia sobre amenazas.
• Registro de IDPS: contiene todos los paquetes del plano de datos que se han emparejado con una o varias firmas IDPS.
• Registro de proxy DNS: contiene todos los datos de registro de eventos de proxy DNS.
• Registro de errores internos de resolución de FQDN: contiene todas las solicitudes de resolución de FQDN de firewall internas que produjeron un error.
• Registro de agregación de reglas de aplicación: contiene datos agregados del registro de reglas de aplicación para análisis de directivas.
• Registro de agregación de reglas de red: contiene datos agregados del registro de reglas de red para análisis de directivas.
• Registro de agregación de reglas de NAT: contiene datos agregados del registro de reglas de NAT para análisis de directivas.
• Registro de los flujos principales (versión preliminar): el registro de los flujos principales (flujos de FAT) muestra las conexiones principales que contribuyen a un mayor rendimiento a través del firewall.
• Seguimiento de flujo (versión preliminar): contiene información sobre el flujo, marcas y el período de tiempo en que se registraron los flujos. Puede ver información completa del flujo, como SYN, SYN-ACK, FIN, FIN, FIN-ACK, RST, INVALID (flujos).

Habilitar registros estructurados

Para habilitar los registros estructurados de Azure Firewall, primero debe configurar un área de trabajo de Log Analytics en la suscripción de Azure. Esta área de trabajo se usa para almacenar los registros estructurados generados por Azure Firewall.

Una vez configurado el área de trabajo de Log Analytics, puede habilitar los registros estructurados en Azure Firewall; para ello, vaya a la página Configuración de diagnóstico de Firewall en Azure Portal. Allí, debe seleccionar la tabla de destino específica del recurso y seleccionar el tipo de eventos que desea registrar.

Nota:

No es necesario habilitar esta característica con una marca de característica o comandos de Azure PowerShell.

Consultas de registro estructuradas

Hay disponible una lista de consultas predefinidas en Azure Portal. Esta lista tiene una consulta de registro de KQL (Lenguaje de consulta Kusto) predefinida para cada categoría y una consulta combinada que muestra todos los eventos de registro de Firewall de Azure en una sola vista.

Libro de Azure Firewall

El libro de Azure Firewall proporciona un lienzo flexible para el análisis de datos de Azure Firewall. Puede utilizarlo para crear informes visuales completos en Azure Portal. Puede acceder a varias instancias de Firewall implementadas en Azure y combinarlas en experiencias interactivas unificadas.

Para implementar el nuevo libro que usa registros estructurados de Azure Firewall, consulte Libro de Azure Monitor para Azure Firewall.

Pasos siguientes

• Para obtener más información, consulte Exploración del nuevo registro estructurado específico de recursos en Azure Firewall.

• Para obtener más información sobre los registros y las métricas de Azure Firewall, consulte Registros y métricas de Azure Firewall.