Partager via

Activer les journaux des flux principaux et de suivi des flux dans le Pare-feu Azure

  • Article

Pare-feu Azure dispose de deux nouveaux journaux de diagnostic qui vous permettent de surveiller votre pare-feu :

  • Flux principaux
  • Trace de flux

Flux principaux

Le journal des flux principaux (également appelés « flux FAT » dans le secteur) montre les principales connexions qui contribuent au débit le plus élevé à travers le pare-feu.

Conseil

Activez les journaux top flows uniquement lors de la résolution d’un problème spécifique afin d’éviter une utilisation excessive du processeur de Pare-feu Azure.

Le débit de flux est défini comme le taux de transmission de données (en unités de mégabits par seconde). En d'autres termes, il s'agit d'une mesure de la quantité de données numériques qui peuvent être transmises sur un réseau au cours d'une période donnée à travers le pare-feu. Le protocole Flux principaux s’exécute régulièrement toutes les trois minutes. Le seuil minimal à considérer comme un flux supérieur est de 1 Mbits/s.

Prérequis

Activer le journal

Activez le journal à l’aide des commandes Azure PowerShell suivantes :

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall

Désactivez le journal

Pour désactiver les journaux, utilisez la même commande Azure PowerShell précédente et définissez la valeur sur Faux.

Par exemple :

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall

Vérifier la mise à jour

Il existe plusieurs façons de vérifier que la mise à jour a réussi. Vous pouvez notamment accéder à la section Vue d’ensemble du pare-feu et sélectionner la vue JSON dans le coin supérieur droit. Voici un exemple :

Screenshot of JSON showing additional log verification.

Créer un paramètre de diagnostic et activer une table spécifique à une ressource

  1. Dans l’onglet Paramètres de diagnostic, sélectionnez Ajouter un paramètre de diagnostic.
  2. Entrez un Nom du paramètre de diagnostic.
  3. Sélectionnez Pare-feu Azure journal – Journal FAT des flux sous Catégories, ainsi que tous les autres journaux que le pare-feu doit prendre en charge.
  4. Dans les détails de la destination, sélectionnez Envoyer à l’espace de travail Log Analytics.
    1. Choisissez l’abonnement et l’espace de travail Log Analytics préconfiguré souhaités.
    2. Activez Spécifique de la ressource. Screenshot showing log destination details.

Afficher et analyser les journaux Pare-feu Azure

  1. Sur une ressource Pare-feu, accédez à Journaux sous l’onglet Supervision.

  2. Sélectionnez Requêtes, puis chargez Pare-feu Azure – Journaux des principaux flux en passant le pointeur sur l’option, puis en sélectionnant Charger dans l’éditeur.

  3. Une fois la requête chargée, sélectionnez Exécuter.

    Screenshot showing the Top flow log.

Trace de flux

Actuellement, les journaux de pare-feu affichent le trafic qui transite par le pare-feu lors de la première tentative d’une connexion TCP, appelée paquet SYN. Il n’affiche toutefois pas le parcours complet du paquet dans l’établissement d'une liaison TCP. Par conséquent, il est difficile de résoudre les problèmes si un paquet est supprimé ou si un routage asymétrique s’est produit.

Conseil

Pour éviter une utilisation excessive du disque causée par les journaux de suivi Flow dans Pare-feu Azure avec de nombreuses connexions de courte durée, activez les journaux uniquement lors de la résolution d’un problème spécifique à des fins de diagnostic.

Les propriétés supplémentaires suivantes peuvent être ajoutées :

  • SYN-ACK

    Indicateur ACK qui indique l’accusé de réception du paquet SYN.

  • FIN

    Indicateur de fin du flux de paquets d’origine. Plus aucune donnée n’est transmise dans le flux TCP.

  • FIN-ACK

    Indicateur ACK qui indique l’accusé de réception du paquet FIN.

  • RST

    L’indicateur Réinitialiser l’indicateur indique que l’expéditeur d’origine ne reçoit pas plus de données.

  • INVALID (flux)

    Indique que le paquet ne peut pas être identifié ou n’a pas d’état.

    Par exemple :

    • Un paquet TCP atterrit sur une instance de groupe de machines virtuelles identiques, qui n'a pas d'historique pour ce paquet
    • Paquets de somme de contrôle incorrecte
    • L’entrée de la table suivi des connexions est complète et les nouvelles connexions ne peuvent pas être acceptées
    • Paquets ACK trop retardés

Les journaux de trace de flux, tels que SYN-ACK et ACK, sont exclusivement journalisés pour le trafic réseau. En outre, les paquets SYN ne sont pas journalisés par défaut. Toutefois, vous pouvez accéder aux paquets SYN initiaux dans les journaux des règles réseau.

Prérequis

Activer le journal

Activez le journal à l’aide des commandes Azure PowerShell suivantes ou naviguez dans le portail et recherchez Activer la journalisation des connexions TCP :

Connect-AzAccount 
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

La prise en compte de cette opération peut prendre plusieurs minutes. Une fois la fonctionnalité inscrite, envisagez d’effectuer une mise à jour sur Pare-feu Azure pour que la modification prenne effet immédiatement.

Pour vérifier l’état de l’inscription AzResourceProvider, vous pouvez exécuter la commande Azure PowerShell :

Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"

Désactivez le journal

Pour désactiver le journal, vous pouvez le désenregistrer à l'aide de la commande suivante ou sélectionner désenregistrer dans l'exemple du portail précédent.

Unregister-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network

Créer un paramètre de diagnostic et activer une table spécifique à une ressource

  1. Dans l’onglet Paramètres de diagnostic, sélectionnez Ajouter un paramètre de diagnostic.
  2. Entrez un Nom du paramètre de diagnostic.
  3. Sélectionnez Journal du flux de trace du Pare-feu Azure sous Catégories, ainsi que tous les autres journaux que le pare-feu doit prendre en charge.
  4. Dans les détails de la destination, sélectionnez Envoyer à l’espace de travail Log Analytics.
    1. Choisissez l’abonnement et l’espace de travail Log Analytics préconfiguré souhaités.
    2. Activez Spécifique de la ressource. Screenshot showing log destination details.

Afficher et analyser les journaux de trace de flux Pare-feu Azure Flow

  1. Sur une ressource Pare-feu, accédez à Journaux sous l’onglet Supervision.

  2. Sélectionnez Requêtes, puis chargez Pare-feu Azure – Journaux de trace de flux en passant le pointeur sur l’option, puis en sélectionnant Charger dans l’éditeur.

  3. Une fois la requête chargée, sélectionnez Exécuter.

    Screenshot showing the Trace flow log.

Étapes suivantes