Vue d’ensemble des journaux d’activité et des métriques Pare-feu Azure

Vous pouvez utiliser Pare-feu Azure journaux et métriques pour surveiller votre trafic et vos opérations au sein du pare-feu. Ces journaux et métriques servent à plusieurs fins essentielles, notamment :

• Analyse du trafic : utilisez les journaux d’activité pour examiner et analyser le trafic passant par le pare-feu. Cela inclut l’examen du trafic autorisé et refusé, l’inspection des adresses IP source et de destination, des URL, des numéros de port, des protocoles, etc. Ces insights sont essentiels pour comprendre les modèles de trafic, identifier les menaces de sécurité potentielles et résoudre les problèmes de connectivité.

• Métriques de performances et d’intégrité : Pare-feu Azure métriques fournissent des métriques de performances et d’intégrité, telles que les données traitées, le débit, le nombre d’accès aux règles et la latence. Surveillez ces métriques pour évaluer l’intégrité globale de votre pare-feu, identifier les goulots d’étranglement des performances et détecter les anomalies.

• Piste d’audit : les journaux d’activité permettent d’auditer les opérations liées aux ressources de pare-feu, de capturer des actions telles que la création, la mise à jour ou la suppression de règles et de stratégies de pare-feu. L’examen des journaux d’activité permet de conserver un enregistrement historique des modifications de configuration et garantit la conformité aux exigences de sécurité et d’audit.

Affichage et stockage

Les journaux et les métriques sont accessibles via le Portail Azure, avec plusieurs options de stockage et d’analyse :

• Espace de travail Log Analytics (alimenté par Azure Monitor) : centraliser vos journaux d’activité et métriques Pare-feu Azure dans un espace de travail Log Analytics pour une analyse avancée, la création de tableaux de bord personnalisé et la configuration d’alertes basées sur des seuils de métrique spécifiques.

• Stockage compte : stockez les journaux d’activité dans un compte Stockage Azure pour la rétention et l’intégration à long terme à des outils d’analyse des journaux externes.

• Event Hub : diffusez en continu les journaux d’activité Pare-feu Azure vers Azure Event Hub pour le traitement, l’analyse ou l’intégration en temps réel à des solutions SIEM tierces.

• Solutions partenaires : envoyez Pare-feu Azure journaux à des solutions partenaires tierces pour une analyse et une corrélation plus approfondies avec d’autres données de sécurité.

Les paramètres de configuration des journaux et des métriques pour Pare-feu Azure sont généralement effectués via le Portail Azure. Cela vous permet de spécifier la destination des journaux et des métriques et de configurer des configurations de rétention et d’alerte adaptées aux exigences de surveillance et de sécurité de votre organisation.

Les journaux structurés

Surveillez Pare-feu Azure à l’aide de journaux structurés, qui utilisent un schéma prédéfini pour structurer les données de journal pour faciliter la recherche, le filtrage et l’analyse. Ces journaux incluent des informations telles que les adresses IP source et de destination, les protocoles, les numéros de port et les actions de pare-feu. Hiérarchiser la configuration des journaux structurés en tant que type de journal principal à l’aide de tables spécifiques aux ressources au lieu de la table AzureDiagnostics existante. Pour activer ces journaux et explorer les catégories de journaux, consultez journaux d’activité du pare-feu structuré Azure.

Journaux d’activité de Diagnostics Azure hérités

Les journaux de diagnostic Azure hérités sont les requêtes de journal d’origine Pare-feu Azure qui génèrent des données de journal dans un format texte non structuré ou libre. Les Pare-feu Azure catégories de journaux héritées utilisent le mode diagnostics Azure, collectant des données entières dans la table AzureDiagnostics. Si les journaux structurés et de diagnostic sont obligatoires, au moins deux paramètres de diagnostic doivent être créés par pare-feu. Pour activer ces journaux et explorer les catégories de journaux, consultez Pare-feu Azure journaux de diagnostic.

Métriques

Les métriques dans Azure Monitor sont des valeurs numériques décrivant les aspects d’un système à un moment donné. Collectées toutes les minutes, les métriques sont utiles pour alerter en raison de leur échantillonnage fréquent. Configurez rapidement des alertes avec une logique relativement simple. Pour connaître les métriques disponibles et la configuration des alertes pour Pare-feu Azure, consultez Pare-feu Azure métriques et alertes.

Journaux d’activité

Les entrées dujournal d'activité sont collectées par défaut et peuvent être consultées dans le portail Azure. Utilisez les journaux d’activité Azure (anciennement appelés journaux d’activité opérationnels et journaux d’audit) pour afficher toutes les opérations soumises à votre abonnement Azure.

Étapes suivantes

• Pour en savoir plus sur les métriques dans Azure Monitor, consultez Métriques dans Azure Monitor.