Surveiller les journaux (hérités) et les indicateurs de performance du pare-feu Azure

Conseil

Consultez Journaux structurés du Pare-feu Azure pour obtenir une méthode optimale d’utilisation des journaux du pare-feu.

Vous pouvez surveiller le service Pare-feu Azure à l’aide des journaux d’activité de pare-feu. Vous pouvez également utiliser les journaux d’activité pour auditer les opérations sur les ressources de Pare-feu Azure. Grâce aux métriques, vous pouvez afficher des compteurs de performances dans le portail.

Vous pouvez accéder à certains de ces journaux d’activité via le portail. Les journaux d’activité peuvent être envoyés au service Journaux d’activité Azure Monitor, au stockage et aux hubs d’événements, puis analysés dans les journaux d’activité Azure Monitor ou par différents outils comme Excel et Power BI.

Notes

Cet article a récemment été mis à jour pour utiliser le terme journaux d’activité Azure Monitor au lieu de Log Analytics. Les données de journal sont toujours stockées dans un espace de travail Log Analytics, et elles sont toujours collectées et analysées par le même service Log Analytics. Nous mettons la terminologie à jour pour mieux refléter le rôle des journaux d’activité dans Azure Monitor. Pour plus d'informations, consultez Modifications de la terminologie d'Azure Monitor.

Notes

Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour commencer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

Prérequis

Avant de commencer, consultez Journaux d’activité et métriques du Pare-feu Azure pour obtenir une vue d’ensemble des journaux de diagnostic et des métriques disponibles pour le Pare-feu Azure.

Activer la journalisation des diagnostics via le portail Azure

L’affichage des données dans vos journaux d’activité peut prendre quelques minutes après que vous avez effectué cette procédure d’activation de la journalisation des diagnostics. Si aucune donnée n’apparaît dans un premier temps, patientez quelques minutes supplémentaires, puis vérifiez de nouveau.

1. Sur le portail Azure, ouvrez votre groupe de ressources de pare-feu et sélectionnez le pare-feu.

2. Sous Supervision, sélectionnez Paramètres de diagnostic.

   Pour le service Pare-feu Azure, les journaux hérités propres à trois services sont disponibles :

   • Pare-feu Azure - Règle d’application (diagnostics Azure hérités)
   • Pare-feu Azure - Règle réseau (diagnostics Azure hérités)
   • Proxy DNS du pare-feu Azure (diagnostics Azure hérités)

3. Sélectionnez Ajouter le paramètre de diagnostic. La page Paramètres de diagnostic contient les paramètres des journaux de diagnostic.

4. Saisissez un nom pour le paramètre de diagnostic.

5. Sous Journaux, sélectionnez Règle d’application du Pare-feu Azure (diagnostics Azure hérités), Règle réseau du Pare-feu Azure (diagnostics Azure hérités) et Proxy DNS du pare-feu Azure (diagnostics Azure hérités) pour collecter les journaux.

6. Sélectionnez Envoyer à Log Analytics pour configurer votre espace de travail.

7. Sélectionnez votre abonnement.

8. Pour la table de destination, sélectionnez Diagnostics Azure.

9. Sélectionnez Enregistrer.

   

Activer la journalisation des diagnostics à l’aide de PowerShell

La journalisation d’activité est automatiquement activée pour chaque ressource Resource Manager. Vous devez activer la journalisation des diagnostics pour commencer à collecter les données disponibles dans ces journaux d’activité.

Pour activer la journalisation des diagnostics avec PowerShell, procédez comme suit :

1. Notez l’ID de ressource de votre espace de travail Log Analytics, où les données de journalisation sont stockées. Cette valeur se présente sous la forme suivante :

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

   Vous pouvez utiliser n’importe quel espace de travail dans votre abonnement. Vous pouvez utiliser le portail Azure pour rechercher ces informations. Les informations se trouvent dans la page Propriétés de la ressource.

2. Notez l’ID de ressource pour le pare-feu. Cette valeur se présente sous la forme suivante :

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

   Vous pouvez utiliser le portail pour rechercher ces informations.

3. Activez la journalisation des diagnostics pour l’ensemble des journaux et métriques à l’aide de la cmdlet PowerShell suivante :

      $diagSettings = @{
      Name = 'toLogAnalytics'
      ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
      WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
      }
   New-AzDiagnosticSetting  @diagSettings 
   

Activer la journalisation des diagnostics à l’aide d’Azure CLI

La journalisation d’activité est automatiquement activée pour chaque ressource Resource Manager. Vous devez activer la journalisation des diagnostics pour commencer à collecter les données disponibles dans ces journaux d’activité.

Pour activer la journalisation des diagnostics avec Azure CLI, procédez comme suit :

1. Notez l’ID de ressource de votre espace de travail Log Analytics, où les données de journalisation sont stockées. Cette valeur se présente sous la forme suivante :

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

   Vous pouvez utiliser n’importe quel espace de travail dans votre abonnement. Vous pouvez utiliser le portail Azure pour rechercher ces informations. Les informations se trouvent dans la page Propriétés de la ressource.

2. Notez l’ID de ressource pour le pare-feu. Cette valeur se présente sous la forme suivante :

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

   Vous pouvez utiliser le portail pour rechercher ces informations.

3. Activez la journalisation des diagnostics pour l’ensemble des journaux et métriques à l’aide de la commande Azure CLI suivante :

      az monitor diagnostic-settings create -n 'toLogAnalytics'
      --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
      --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
      --logs "[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]" 
      --metrics "[{\"category\": \"AllMetrics\",\"enabled\": true}]"
   

Afficher et analyser le journal d’activité

Vous pouvez afficher et analyser les données du journal d’activité en utilisant l’une des méthodes suivantes :

• Outils Azure : récupérez les informations du journal d’activité en utilisant Azure PowerShell, Azure CLI, l’API REST Azure ou le portail Azure. Des instructions pas à pas pour chaque méthode sont détaillées dans l’article Opérations d’activité avec Resource Manager.

• Power BI : si vous n’avez pas encore de compte Power BI, vous pouvez l’essayer gratuitement. À l’aide du pack de contenus des journaux d’activité Azure pour Power BI, vous pouvez analyser vos données avec des tableaux de bord préconfigurés à utiliser en l’état ou à personnaliser.

• Microsoft Sentinel : Vous pouvez connecter des journaux Pare-feu Azure à Microsoft Sentinel, ce qui vous permet d’afficher les données des journaux dans des classeurs, de les utiliser pour créer des alertes personnalisées et de les incorporer pour améliorer votre investigation. Le connecteur de données Pare-feu Azure dans Microsoft Sentinel est disponible en préversion publique. Pour plus d’informations, consultez Connecter des données à partir du Pare-feu Azure.

  Pour obtenir une vue d’ensemble, consultez la vidéo suivante de Mohit Kumar :

Afficher et analyser les journaux d’activité de règles et d’application et de réseau

Le classeur Pare-feu Azure constitue un canevas flexible pour l’analyse de données du Pare-feu Azure. Il permet de créer des rapports visuels enrichis au sein du Portail Azure. Vous pouvez exploiter plusieurs pare-feu déployés à travers l’écosystème Azure et les combiner dans des expériences interactives unifiées.

Vous pouvez également vous connecter à votre compte de stockage et récupérer les entrées de journal d’activité JSON pour les journaux d’activité d’accès et des performances. Après avoir téléchargé les fichiers JSON, vous pouvez les convertir en CSV et les afficher dans Excel, PowerBI ou tout autre outil de visualisation de données.

Conseil

Si vous savez utiliser Visual Studio et les concepts de base de la modification des valeurs de constantes et variables en C#, vous pouvez utiliser les outils de convertisseur de journaux disponibles dans GitHub.

Afficher les mesures

Accédez à un pare-feu Azure. Sous Supervision, sélectionnez Métriques. Pour afficher les valeurs disponibles, sélectionnez la liste déroulante MÉTRIQUE.

Étapes suivantes

Maintenant que vous avez configuré votre pare-feu pour collecter des journaux d’activité, vous pouvez explorer les journaux d’activité Azure Monitor pour voir vos données.

• Monitoring des journaux avec un classeur Pare-feu Azure
• Solutions de supervision réseau dans les journaux d’activité Azure Monitor
• En savoir plus sur la sécurité du réseau Azure