informations de référence sur les données de surveillance Pare-feu Azure
Cet article contient toutes les informations de référence de surveillance pour ce service.
Consultez surveiller Pare-feu Azure pour plus d’informations sur les données que vous pouvez collecter pour Pare-feu Azure et comment l’utiliser.
Métriques
Cette section répertorie toutes les métriques de plateforme collectées automatiquement pour App Service. Ces métriques font également partie de la liste globale de toutes les métriques de plateforme prises en charge dans Azure Monitor.
Pour plus d’informations sur les métriques de surveillance, consultez la section Présentation des métriques Azure Monitor.
Métriques prises en charge pour Microsoft.Network/azureFirewalls
Le tableau suivant répertorie les métriques disponibles pour le type de ressource Microsoft.Network/azureFirewalls.
- Toutes les colonnes peuvent ne pas être présentes dans chaque table.
- Certaines colonnes peuvent dépasser la zone d’affichage de la page. Sélectionnez Développer la table pour afficher toutes les colonnes disponibles.
Titres du tableau
- Catégorie : le groupe de métriques ou classification.
- Métrique : nom complet de la métrique tel qu’il apparaît dans le portail Azure.
- Nom dans l’API REST : le nom de la métrique comme appelé dans l’API REST.
- Unité : unité de mesure.
- Agrégation : le type d’agrégation par défaut. Valeurs valides : Moyen (moy), Minimum (min), Maximum (max), Total (somme), Nombre.
- Dimensions - Dimensions disponibles pour la métrique.
- Fragments de temps - Intervalles auxquels la métrique est échantillonnée. Par exemple,
PT1Mindique que la métrique est échantillonnée toutes les minutes,PT30Mtoutes les 30 minutes,PT1Htoutes les heures, et ainsi de suite. - Exportation DS : indique si la métrique est exportable vers les journaux Azure Monitor via les paramètres de diagnostic. Pour plus d’informations sur l’exportation des métriques, consultez Créer des paramètres de diagnostic dans Azure Monitor.
| Mesure | Nom dans l’API REST | Unité | Agrégation | Dimensions | Fragments de temps | Exportation DS |
|---|---|---|---|---|---|---|
| Nombre d’accès aux règles d’application Nombre d'accès aux règles d'application |
ApplicationRuleHit |
Count | Total (Somme) | Status, , ReasonProtocol |
PT1M | Oui |
| Données traitées Volume total de données traitées par ce pare-feu |
DataProcessed |
Octets | Total (Somme) | <aucune> | PT1M | Oui |
| État d’intégrité du pare-feu Intégrité globale de ce pare-feu |
FirewallHealth |
Pourcentage | Average | Status, Reason |
PT1M | Oui |
| Sonde de latence Estimation de la latence moyenne du pare-feu mesurée par la sonde de latence |
FirewallLatencyPng |
Millisecondes | Average | <aucune> | PT1M | Oui |
| Nombre d’accès aux règles réseau Nombre d’accès aux règles de réseau |
NetworkRuleHit |
Count | Total (Somme) | Status, , ReasonProtocol |
PT1M | Oui |
| Utilisation du port SNAT Pourcentage de ports SNAT sortants en cours d’utilisation |
SNATPortUtilization |
Pourcentage | Moyenne, maximum | Protocol |
PT1M | Oui |
| Débit
Débit traité par ce pare-feu |
Throughput |
BitsPerSecond | Average | <aucune> | PT1M | Non |
État d’intégrité du pare-feu
Dans le tableau précédent, la métrique d’état d’intégrité du pare-feu a deux dimensions :
- État : les valeurs possibles sont Sain, Détérioré, Non sain.
- Motif : indique la raison de l’état correspondant du pare-feu.
Si les ports SNAT sont utilisés plus de 95 %, ils sont considérés comme épuisés et l’intégrité est de 50 % avec status=Détérioré et reason=Port SNAT. Le pare-feu continue à traiter le trafic et les connexions existantes ne sont pas affectées. Toutefois, de nouvelles connexions peuvent ne pas être établies par intermittence.
Si les ports SNAT sont utilisés à moins de 95 %, le pare-feu est considéré comme sain et l’intégrité est affichée à 100 %.
Si aucune utilisation des ports SNAT n'est signalée, l'intégrité est affichée à 0 %.
Utilisation des ports SNAT
Pour la métrique d’utilisation du port SNAT, lorsque vous ajoutez d’autres adresses IP publiques à votre pare-feu, davantage de ports SNAT sont disponibles, ce qui réduit l’utilisation des ports SNAT. En outre, lorsque le pare-feu augmente pour différentes raisons (par exemple, le processeur ou le débit) plus de ports SNAT deviennent également disponibles.
En fait, un pourcentage donné d’utilisation des ports SNAT peut diminuer sans ajouter d’adresses IP publiques, simplement parce que le service a été mis à l’échelle. Vous pouvez contrôler directement le nombre d’adresses IP publiques disponibles pour augmenter les ports disponibles sur votre pare-feu. Toutefois, vous ne pouvez pas contrôler directement la mise à l’échelle du pare-feu.
Si votre pare-feu épuise les ports SNAT, vous devez ajouter au moins cinq adresses IP publiques. Cela augmente le nombre de ports SNAT disponibles. Pour plus d’informations, consultez Fonctionnalités du Pare-feu Azure.
Sonde de latence AZFW
La métrique de la sonde de latence AZFW mesure la latence globale ou moyenne de Pare-feu Azure en millisecondes. Les administrateurs peuvent se servir de cette métrique aux fins suivantes :
- Diagnostiquez si le Pare-feu Azure est à l’origine de la latence dans le réseau
- Surveillez et alertez en cas de problèmes de latence ou de niveau de performance, afin que les équipes informatiques puissent agir de manière proactive.
- Il peut y avoir différentes raisons qui peuvent entraîner une latence élevée dans Pare-feu Azure. Par exemple, une utilisation élevée du processeur, un débit élevé ou un possible problème de mise en réseau.
Quelles sont les mesures de métriques de la sonde de latence AZFW (et non) :
- Ce qu’il mesure : latence du Pare-feu Azure au sein de la plateforme Azure
- Ce qu’elle ne me permet pas : la métrique ne capture pas la latence de bout en bout pour l’ensemble du chemin réseau. Au lieu de cela, elle reflète les performances au sein du pare-feu, plutôt que la latence Pare-feu Azure introduit dans le réseau.
- Rapport d’erreurs : si la métrique de latence ne fonctionne pas correctement, elle signale une valeur de 0 dans le tableau de bord des métriques, indiquant une défaillance ou une interruption de la sonde.
Facteurs qui ont un impact sur la latence :
- Utilisation élevée du processeur
- Débit élevé ou charge du trafic
- Problèmes de mise en réseau au sein de la plateforme Azure
Sondes de latence : de ICMP à TCP La sonde de latence utilise actuellement la technologie Ping Mesh de Microsoft, qui est basée sur ICMP (Internet Control Message Protcol). ICMP convient aux contrôles d’intégrité rapides, tels que les requêtes ping, mais il peut ne pas représenter avec précision le trafic d’application réel, qui relit généralement sur TCP. Toutefois, les sondes ICMP hiérarchisent différemment sur la plateforme Azure, ce qui peut entraîner des variations entre les références SKU. Pour réduire ces différences, Pare-feu Azure prévoit de passer à des sondes TCP.
- Pics de latence : avec les sondes ICMP, les pics intermittents sont normaux et font partie du comportement standard du réseau hôte. Ces problèmes ne doivent pas être mal interprétés comme des problèmes de pare-feu, sauf s’ils sont persistants.
- Latence moyenne : en moyenne, la latence d’Pare-feu Azure devrait passer de 1 ms à 10 ms, en passant par la référence SKU et la taille du déploiement du pare-feu.
Meilleures pratiques pour la surveillance de la latence
Définir une base de référence : établissez une ligne de base de latence dans des conditions de trafic léger pour des comparaisons précises pendant une utilisation normale ou maximale.
Surveiller les modèles : attendez des pics de latence occasionnels dans le cadre d’opérations normales. Si une latence élevée persiste au-delà de ces variations normales, cela peut indiquer un problème plus approfondi nécessitant une investigation.
Seuil de latence recommandé : une recommandation est que la latence ne doit pas dépasser 3x la ligne de base. Si ce seuil est franchi, une enquête supplémentaire est recommandée.
Vérifiez la limite de règle : vérifiez que les règles réseau se trouvent dans la limite de la règle 20K. Le dépassement de cette limite peut affecter les performances.
Nouvelle intégration d’applications : recherchez toutes les applications nouvellement intégrées susceptibles d’ajouter une charge importante ou de provoquer des problèmes de latence.
Demande de support : si vous observez une décomposition de latence continue qui ne s’aligne pas sur le comportement attendu, envisagez de déposer un ticket de support pour obtenir une assistance supplémentaire.
Dimensions de métrique
Pour plus d’informations sur les dimensions de métrique, consultez Métriques multidimensionnelles.
Ce service a les dimensions suivantes associées à ses métriques.
- Protocol
- Motif
- État
Journaux d’activité de ressources
Cette section répertorie les types de journaux d’activité de ressources que vous pouvez collecter pour ce service. La section extrait la liste de tous les types de catégorie de journaux d’activité de ressources pris en charge dans Azure Monitor.
Journaux de ressources pris en charge pour Microsoft.Network/azureFirewalls
| Category | Nom complet de la catégorie | Table de journal | Prend en charge le plan de journal de base | Prend en charge la transformation de la durée d’ingestion | Exemples de requêtes | Coûts d’exportation |
|---|---|---|---|---|---|---|
AZFWApplicationRule |
Règle d’application de pare-feu Azure | AZFWApplicationRule Contient toutes les données du journal des règles d’application. Chaque correspondance entre le plan de données et la règle d’application crée une entrée de journal avec le paquet de plan de données et les attributs de la règle mise en correspondance. |
Non | Non | Requêtes | Oui |
AZFWApplicationRuleAggregation |
Agrégation des règles réseau du Pare-feu Azure (analytique de la stratégie) | AZFWApplicationRuleAggregation Contient des données agrégées du journal des règles d’application pour Policy Analytics. |
Non | Non | Oui | |
AZFWDnsQuery |
Pare-feu Azure - Requête DNS | AZFWDnsQuery Contient toutes les données du journal des événements du proxy DNS. |
Non | Non | Requêtes | Oui |
AZFWFatFlow |
Pare-feu Azure - Journal FAT des flux | AZFWFatFlow Cette requête retourne les flux principaux entre les instances Pare-feu Azure. Le journal contient des informations de flux, un taux de transmission de date (en mégabits par seconde) et la période pendant laquelle les flux ont été enregistrés. Suivez la documentation pour activer la journalisation des flux principaux et des détails sur la façon dont il est enregistré. |
Non | Non | Requêtes | Oui |
AZFWFlowTrace |
Pare-feu Azure - Journal des traces de flux | AZFWFlowTrace Flux de journaux entre Pare-feu Azure instances. Le journal contient des informations de flux, des indicateurs et la période pendant laquelle les flux ont été enregistrés. Suivez la documentation pour activer la journalisation des traces de flux et des détails sur son enregistrement. |
Oui | Non | Requêtes | Oui |
AZFWFqdnResolveFailure |
Pare-feu Azure - Échec de la résolution FQDN | Non | Non | Oui | ||
AZFWIdpsSignature |
Pare-feu Azure - Signature IDPS | AZFWIdpsSignature Contient tous les paquets de plan de données qui ont été mis en correspondance avec une ou plusieurs signatures IDPS. |
Non | Non | Requêtes | Oui |
AZFWNatRule |
Pare-feu Azure - Règle NAT | AZFWNatRule Contient toutes les données du journal des événements DNAT (Traduction d’adresses réseau de destination). Chaque correspondance entre le plan de données et la règle DNAT crée une entrée de journal avec le paquet de plan de données et les attributs de la règle mise en correspondance. |
Non | Non | Requêtes | Oui |
AZFWNatRuleAggregation |
Pare-feu Azure - Agrégation des règles NAT (analytique de la stratégie) | AZFWNatRuleAggregation Contient des données de journal de règle NAT agrégées pour Policy Analytics. |
Non | Non | Oui | |
AZFWNetworkRule |
Règle de réseau de pare-feu Azure | AZFWNetworkRule Contient toutes les données du journal des règles de réseau. Chaque correspondance entre le plan de données et la règle réseau crée une entrée de journal avec le paquet de plan de données et les attributs de la règle mise en correspondance. |
Non | Non | Requêtes | Oui |
AZFWNetworkRuleAggregation |
Pare-feu Azure - Agrégation des règles d’application (analytique de la stratégie) | AZFWNetworkRuleAggregation Contient des données de journal des règles réseau agrégées pour Policy Analytics. |
Non | Non | Oui | |
AZFWThreatIntel |
Pare-feu Azure - Threat Intelligence | AZFWThreatIntel Contient tous les événements Threat Intelligence. |
Non | Non | Requêtes | Oui |
AzureFirewallApplicationRule |
Pare-feu Azure - Règle d’application (diagnostics Azure hérités) | AzureDiagnostics Journaux d’activité de plusieurs ressources Azure. |
Non | Non | Requêtes | Non |
AzureFirewallDnsProxy |
Pare-feu Azure - Proxy DNS (diagnostics Azure hérités) | AzureDiagnostics Journaux d’activité de plusieurs ressources Azure. |
Non | Non | Requêtes | Non |
AzureFirewallNetworkRule |
Pare-feu Azure - Règle réseau (diagnostics Azure hérités) | AzureDiagnostics Journaux d’activité de plusieurs ressources Azure. |
Non | Non | Requêtes | Non |
Pare-feu Azure a deux nouveaux journaux de diagnostic qui peuvent aider à surveiller votre pare-feu, mais ces journaux n’affichent actuellement pas les détails de la règle d’application.
- Flux principaux
- Trace de flux
Flux principaux
Le journal des flux principaux est connu dans le secteur comme journal des flux de graisse et dans le tableau précédent comme Pare-feu Azure journal de flux de graisse. Le journal des flux principaux affiche les connexions principales qui contribuent au débit le plus élevé via le pare-feu.
Conseil
Activez les journaux top flows uniquement lors de la résolution d’un problème spécifique afin d’éviter une utilisation excessive du processeur de Pare-feu Azure.
Le débit de flux est défini comme le taux de transmission de données en mégabits par seconde unités. Il s’agit d’une mesure de la quantité de données numériques qui peuvent être transmises sur un réseau pendant une période de temps via le pare-feu. Le protocole Flux principaux s’exécute régulièrement toutes les trois minutes. Le seuil minimal à considérer comme un flux supérieur est de 1 Mbits/s.
Activez le journal des flux principaux à l’aide des commandes Azure PowerShell suivantes :
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall
Pour désactiver les journaux, utilisez la même commande Azure PowerShell précédente et définissez la valeur sur Faux.
Par exemple :
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall
Il existe plusieurs façons de vérifier que la mise à jour a réussi. Vous pouvez notamment accéder à la section Vue d’ensemble du pare-feu et sélectionner la vue JSON dans le coin supérieur droit. Voici un exemple :
Pour créer un paramètre de diagnostic et activer une table spécifique à la ressource, consultez Créer des paramètres de diagnostic dans Azure Monitor.
Trace de flux
Les journaux de pare-feu affichent le trafic via le pare-feu lors de la première tentative d’une connexion TCP, appelée paquet SYN . Toutefois, une telle entrée n’affiche pas le parcours complet du paquet dans l’établissement d’une liaison TCP. Par conséquent, il est difficile de résoudre les problèmes si un paquet est supprimé ou si un routage asymétrique s’est produit. Le journal de trace de flux Pare-feu Azure répond à ce problème.
Conseil
Pour éviter une utilisation excessive du disque causée par les journaux de suivi Flow dans Pare-feu Azure avec de nombreuses connexions de courte durée, activez les journaux uniquement lors de la résolution d’un problème spécifique à des fins de diagnostic.
Les propriétés suivantes peuvent être ajoutées :
SYN-ACK : indicateur ACK qui indique l’accusé de réception du paquet SYN.
FIN : indicateur terminé du flux de paquets d’origine. Plus aucune donnée n’est transmise dans le flux TCP.
FIN-ACK : indicateur ACK qui indique l’accusé de réception du paquet FIN.
RST : La réinitialisation de l’indicateur indique que l’expéditeur d’origine ne reçoit pas plus de données.
NON VALIDE (flux) : indique que le paquet ne peut pas être identifié ou n’a pas d’état.
Par exemple :
- Un paquet TCP atterrit sur une instance de groupe de machines virtuelles identiques, qui n'a pas d'historique pour ce paquet
- Paquets de somme de contrôle incorrecte
- L’entrée de la table suivi des connexions est complète et les nouvelles connexions ne peuvent pas être acceptées
- Paquets ACK trop retardés
Activez le journal de suivi flow à l’aide des commandes Azure PowerShell suivantes ou naviguez dans le portail et recherchez Activer la journalisation des connexions TCP :
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
Cette modification peut prendre plusieurs minutes. Une fois la fonctionnalité inscrite, envisagez d’effectuer une mise à jour sur Pare-feu Azure pour que la modification prenne effet immédiatement.
Pour vérifier l’état de l’inscription AzResourceProvider, vous pouvez exécuter la commande Azure PowerShell :
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
Pour désactiver le journal, vous pouvez le désenregistrer à l'aide de la commande suivante ou sélectionner désenregistrer dans l'exemple du portail précédent.
Unregister-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Pour créer un paramètre de diagnostic et activer une table spécifique à la ressource, consultez Créer des paramètres de diagnostic dans Azure Monitor.
Tables Azure Monitor Logs
Cette section répertorie les tables de journaux Azure Monitor pertinentes pour ce service, disponibles pour une requête par l’analytique des journaux d’activité à l’aide de requêtes Kusto. Les tables contiennent les données du journal des ressources et éventuellement d’autres données en fonction de ce qui est collecté et acheminé vers elles.
Pare-feu Azure Microsoft.Network/azureFirewalls
- AZFWNetworkRule
- AZFWFatFlow
- AZFWFlowTrace
- AZFWApplicationRule
- AZFWThreatIntel
- AZFWNatRule
- AZFWIdpsSignature
- AZFWDnsQuery
- AZFWInternalFqdnResolutionFailure
- AZFWNetworkRuleAggregation
- AZFWApplicationRuleAggregation
- AZFWNatRuleAggregation
- AzureActivity
- AzureMetrics
- AzureDiagnostics
Journal d’activité
La table liée répertorie les opérations qui peuvent être enregistrées dans le journal d’activité de ce service. Ces opérations constituent un sous-ensemble de toutes les opérations possibles du fournisseur de ressources dans le journal d’activité.
Pour plus d’informations sur le schéma des entrées du journal d’activité, consultez Schéma du journal d’activité.
Contenu connexe
- Consultez Pare-feu Azure Surveiller pour obtenir une description des Pare-feu Azure de surveillance.
- Pour plus d’informations sur la supervision des ressources Azure, consultez Superviser des ressources Azure avec Azure Monitor.