Activer les journaux des flux principaux et de suivi des flux dans le Pare-feu Azure
Pare-feu Azure dispose de deux nouveaux journaux de diagnostic qui vous permettent de surveiller votre pare-feu :
- Flux principaux
- Trace de flux
Flux principaux
Le journal des flux principaux (également appelés « flux FAT » dans le secteur) montre les principales connexions qui contribuent au débit le plus élevé à travers le pare-feu.
Conseil
Activez les journaux top flows uniquement lors de la résolution d’un problème spécifique afin d’éviter une utilisation excessive du processeur de Pare-feu Azure.
Le débit de flux est défini comme le taux de transmission de données (en unités de mégabits par seconde). En d'autres termes, il s'agit d'une mesure de la quantité de données numériques qui peuvent être transmises sur un réseau au cours d'une période donnée à travers le pare-feu. Le protocole Flux principaux s’exécute régulièrement toutes les trois minutes. Le seuil minimal à considérer comme un flux supérieur est de 1 Mbits/s.
Prérequis
- Activer les journaux structurés
- Utilisez le format de table spécifique aux ressources Azure dans les paramètres de diagnostic.
Activer le journal
Activez le journal à l’aide des commandes Azure PowerShell suivantes :
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall
Désactivez le journal
Pour désactiver les journaux, utilisez la même commande Azure PowerShell précédente et définissez la valeur sur Faux.
Par exemple :
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall
Vérifier la mise à jour
Il existe plusieurs façons de vérifier que la mise à jour a réussi. Vous pouvez notamment accéder à la section Vue d’ensemble du pare-feu et sélectionner la vue JSON dans le coin supérieur droit. Voici un exemple :
Créer un paramètre de diagnostic et activer une table spécifique à une ressource
- Dans l’onglet Paramètres de diagnostic, sélectionnez Ajouter un paramètre de diagnostic.
- Entrez un Nom du paramètre de diagnostic.
- Sélectionnez Pare-feu Azure journal – Journal FAT des flux sous Catégories, ainsi que tous les autres journaux que le pare-feu doit prendre en charge.
- Dans les détails de la destination, sélectionnez Envoyer à l’espace de travail Log Analytics.
- Choisissez l’abonnement et l’espace de travail Log Analytics préconfiguré souhaités.
- Activez Spécifique de la ressource.
Afficher et analyser les journaux Pare-feu Azure
Sur une ressource Pare-feu, accédez à Journaux sous l’onglet Supervision.
Sélectionnez Requêtes, puis chargez Pare-feu Azure – Journaux des principaux flux en passant le pointeur sur l’option, puis en sélectionnant Charger dans l’éditeur.
Une fois la requête chargée, sélectionnez Exécuter.
Trace de flux
Actuellement, les journaux de pare-feu affichent le trafic qui transite par le pare-feu lors de la première tentative d’une connexion TCP, appelée paquet SYN. Il n’affiche toutefois pas le parcours complet du paquet dans l’établissement d'une liaison TCP. Par conséquent, il est difficile de résoudre les problèmes si un paquet est supprimé ou si un routage asymétrique s’est produit.
Conseil
Pour éviter une utilisation excessive du disque causée par les journaux de suivi Flow dans Pare-feu Azure avec de nombreuses connexions de courte durée, activez les journaux uniquement lors de la résolution d’un problème spécifique à des fins de diagnostic.
Les propriétés supplémentaires suivantes peuvent être ajoutées :
SYN-ACK
Indicateur ACK qui indique l’accusé de réception du paquet SYN.
FIN
Indicateur de fin du flux de paquets d’origine. Plus aucune donnée n’est transmise dans le flux TCP.
FIN-ACK
Indicateur ACK qui indique l’accusé de réception du paquet FIN.
RST
L’indicateur Réinitialiser l’indicateur indique que l’expéditeur d’origine ne reçoit pas plus de données.
INVALID (flux)
Indique que le paquet ne peut pas être identifié ou n’a pas d’état.
Par exemple :
- Un paquet TCP atterrit sur une instance de groupe de machines virtuelles identiques, qui n'a pas d'historique pour ce paquet
- Paquets de somme de contrôle incorrecte
- L’entrée de la table suivi des connexions est complète et les nouvelles connexions ne peuvent pas être acceptées
- Paquets ACK trop retardés
Les journaux de trace de flux, tels que SYN-ACK et ACK, sont exclusivement journalisés pour le trafic réseau. En outre, les paquets SYN ne sont pas journalisés par défaut. Toutefois, vous pouvez accéder aux paquets SYN initiaux dans les journaux des règles réseau.
Prérequis
- Activez les journaux structurés.
- Utilisez le format de table spécifique aux ressources Azure dans les paramètres de diagnostic.
Activer le journal
Activez le journal à l’aide des commandes Azure PowerShell suivantes ou naviguez dans le portail et recherchez Activer la journalisation des connexions TCP :
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
La prise en compte de cette opération peut prendre plusieurs minutes. Une fois la fonctionnalité inscrite, envisagez d’effectuer une mise à jour sur Pare-feu Azure pour que la modification prenne effet immédiatement.
Pour vérifier l’état de l’inscription AzResourceProvider, vous pouvez exécuter la commande Azure PowerShell :
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
Désactivez le journal
Pour désactiver le journal, vous pouvez le désenregistrer à l'aide de la commande suivante ou sélectionner désenregistrer dans l'exemple du portail précédent.
Unregister-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Créer un paramètre de diagnostic et activer une table spécifique à une ressource
- Dans l’onglet Paramètres de diagnostic, sélectionnez Ajouter un paramètre de diagnostic.
- Entrez un Nom du paramètre de diagnostic.
- Sélectionnez Journal du flux de trace du Pare-feu Azure sous Catégories, ainsi que tous les autres journaux que le pare-feu doit prendre en charge.
- Dans les détails de la destination, sélectionnez Envoyer à l’espace de travail Log Analytics.
- Choisissez l’abonnement et l’espace de travail Log Analytics préconfiguré souhaités.
- Activez Spécifique de la ressource.
Afficher et analyser les journaux de trace de flux Pare-feu Azure Flow
Sur une ressource Pare-feu, accédez à Journaux sous l’onglet Supervision.
Sélectionnez Requêtes, puis chargez Pare-feu Azure – Journaux de trace de flux en passant le pointeur sur l’option, puis en sélectionnant Charger dans l’éditeur.
Une fois la requête chargée, sélectionnez Exécuter.
Étapes suivantes
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour