Journaux structurés du Pare-feu Azure

  • Article

Les journaux structurés constituent un type de données de journal organisées dans un format spécifique. Ils utilisent un schéma prédéfini pour structurer des données de journal d’une manière qui facilite la recherche, le filtrage et l’analyse. Contrairement aux journaux non structurés, qui se composent d’un texte libre, les journaux structurés ont un format cohérent que des machines peuvent analyser.

Les journaux structurés de Pare-feu Azure fournissent une vue plus détaillée des événements de pare-feu. Ils incluent des informations telles que des adresses IP sources et de destination, des protocoles, des numéros de port et des actions effectuées par le pare-feu. Ils incluent également d’autres métadonnées, telles que l’heure de l’événement et le nom de l’instance Pare-feu Azure.

Actuellement, les catégories de journaux de diagnostic suivantes sont disponibles pour le Pare-feu Azure :

  • Journal de règles d’application
  • Journal de règles de réseau
  • Journal du proxy DNS

Ces catégories de journaux utilisent le mode Diagnostics Azure. Dans ce mode, toutes les données, quel que soit le paramètre de diagnostic, sont collectées dans la table AzureDiagnostics.

Avec des journaux structurés, vous pouvez choisir d’utiliser des Tables spécifiques aux ressources au lieu de la table AzureDiagnostics existante. Si les deux ensembles de journaux sont requis, au moins deux paramètres de diagnostic doivent être créés par pare-feu.

Mode spécifique des ressources

En mode Spécifique aux ressources, les tables individuelles de l’espace de travail sélectionné sont créées pour chaque catégorie sélectionnée dans le paramètre de diagnostic. Cette méthode est recommandée, car elle :

  • Peut réduire les coûts globaux de journalisation jusqu’à 80 %.
  • facilite beaucoup l’utilisation des données dans les requêtes de journal ;
  • facilite la découverte de schémas et leur structure ;
  • améliore les performances au niveau de la latence d’ingestion et des délais de requêtes ;
  • vous permet d’accorder des droits RBAC Azure sur une table spécifique.

De nouvelles tables spécifiques aux ressources sont désormais disponibles dans le paramètre Diagnostic qui vous permet d’utiliser les catégories suivantes :

  • Journal des règles réseau : contient toutes les données du journal des règles réseau. Chaque correspondance entre le plan de données et la règle réseau crée une entrée de journal avec le paquet de plan de données et les attributs de la règle mise en correspondance.
  • Journal des règles NAT : contient toutes les données du journal des événements DNAT (traduction d’adresses réseau de destination). Chaque correspondance entre le plan de données et la règle DNAT crée une entrée de journal avec le paquet de plan de données et les attributs de la règle mise en correspondance.
  • Journal des règles d’application : contient toutes les données du journal des règles d’application. Chaque correspondance entre le plan de données et la règle d’application crée une entrée de journal avec le paquet de plan de données et les attributs de la règle mise en correspondance.
  • Journal de renseignement sur les menaces : contient tous les événements de renseignement sur les menaces.
  • Journal IDPS : contient tous les paquets de plan de données qui ont été mis en correspondance avec une ou plusieurs signatures IDPS.
  • Journal du proxy DNS : contient toutes les données du journal des événements du proxy DNS.
  • Journal des échecs de résolution du nom de domaine complet interne : contient toutes les demandes de résolution de nom de domaine complet du pare-feu internes qui ont entraîné l’échec.
  • Journal d’agrégation des règles d’application : contient des données de journal des règles d’application agrégées pour Policy Analytics.
  • Journal d’agrégation des règles réseau : contient des données de journal des règles réseau agrégées pour Policy Analytics.
  • Journal d’agrégation des règles de traduction d'adresses réseau : contient des données de journal des règles de traduction d'adresses réseau agrégées pour Policy Analytics.
  • Journal des flux principaux (préversion) : le journal des flux principaux (flux FAT) montre les principales connexions qui contribuent au débit le plus élevé à travers le pare-feu.
  • Trace de flux (préversion) : Contient des informations du flux, des indicateurs et la période pendant laquelle les flux ont été enregistrés. Vous pouvez voir des informations complètes de flux telles que SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (flux).

Activer les journaux structurés

Pour activer des journaux structurés du Pare-feu Azure, vous devez d’abord configurer un espace de travail Log Analytics dans votre abonnement Azure. Cet espace de travail est utilisé pour stocker les journaux structurés générés par Pare-feu Azure.

Après avoir configuré l’espace de travail Log Analytics, vous pouvez activer des journaux structurés dans Pare-feu Azure en accédant à la page Paramètres de diagnostic du pare-feu dans le Portail Azure. À partir de là, vous devez sélectionner la table de destination Spécifique à la ressource et sélectionner le type d’événements que vous souhaitez journaliser.

Notes

Il n’est pas nécessaire d’activer cette fonctionnalité avec un indicateur de fonctionnalité ou des commandes Azure PowerShell.

Capture d’écran de la page des Paramètres de diagnostic.

Requêtes de journaux structurés

Une liste de requêtes prédéfinies est disponible dans le Portail Azure. Cette liste comporte une requête de journal KQL (Langage de requête Kusto) prédéfinie pour chaque catégorie et requête jointe montrant l’ensemble des événements de journalisation du Pare-feu Azure en mode unique.

Capture d’écran montrant des requêtes du Pare-feu Azure.

Classeur du Pare-feu Azure

Le classeur Pare-feu Azure constitue un canevas flexible pour l’analyse de données du Pare-feu Azure. Il permet de créer des rapports visuels enrichis au sein du Portail Azure. Vous pouvez exploiter plusieurs pare-feux déployés dans Azure et les combiner dans des expériences interactives unifiées.

Pour déployer le nouveau classeur qui utilise des journaux structurés Pare-feu Azure, consultez Classeur Azure Monitor pour Pare-feu Azure.

Étapes suivantes