Azure Firewall naplók (örökölt) és metrikák monitorozása
Tipp
A tűzfalnaplók hatékonyabb használatához lásd: Azure Structured Firewall-naplók.
Az Azure Firewall tűzfalnaplókkal monitorozható. Az Azure Firewall-erőforrásokon végzett műveletek tevékenységnaplókkal is naplózhatók. A metrikákkal teljesítményszámlálókat tekinthet meg a portálon.
Ezen naplók egy része a portálról érhető el. A naplók elküldhetők az Azure Monitor-naplókba, a Storage és Event Hubs szolgáltatásba, és elemezhetők az Azure Monitor-naplókban vagy más eszközökben, például az Excelben vagy a Power BI-ban.
Megjegyzés
Ez a cikk nemrég frissült, hogy a Log Analytics helyett az Azure Monitor-naplók kifejezést használja. A naplóadatok továbbra is egy Log Analytics-munkaterületen tárolódnak, és ugyanazon Log Analytics-szolgáltatás gyűjti és elemzi azokat. Frissítjük a terminológiát, hogy jobban tükrözze a naplók szerepét az Azure Monitorban. Részletekért tekintse meg az Azure Monitor terminológiai változásait ismertető cikket.
Megjegyzés
Javasoljuk, hogy az Azure Az PowerShell-modullal kommunikáljon az Azure-ral. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Előfeltételek
A kezdés előtt olvassa el Azure Firewall naplókat és metrikákat a Azure Firewall elérhető diagnosztikai naplók és metrikák áttekintéséhez.
Diagnosztikai naplózás engedélyezése az Azure Portalon
A diagnosztikai naplózás bekapcsolása után eltarthat néhány percig, amíg az adatok megjelennek a naplókban. Ha elsőre nem lát semmit, néhány perc múlva ellenőrizze újra.
A Azure Portal nyissa meg a tűzfal erőforráscsoportját, és válassza ki a tűzfalat.
A Monitorozás területen kattintson a Diagnosztikai beállítások elemre.
A Azure Firewall esetében három szolgáltatásspecifikus örökölt napló érhető el:
- Azure Firewall alkalmazásszabály (örökölt Azure Diagnostics)
- Azure Firewall hálózati szabály (örökölt Azure Diagnostics)
- dns-proxy Azure Firewall (örökölt Azure Diagnostics)
Válassza a Diagnosztikai beállítások megadása lehetőséget. A Diagnosztikai beállítások lap megadja a diagnosztikai naplók beállításait.
Adja meg a diagnosztikai beállítás nevét.
A Naplók területen válassza Azure Firewall alkalmazásszabály (örökölt Azure Diagnostics), Azure Firewall hálózati szabály (örökölt Azure Diagnostics) és Azure Firewall DNS-proxy (örökölt) lehetőséget. Azure Diagnostics) a naplók gyűjtéséhez.
A munkaterület konfigurálásához válassza a Küldés a Log Analyticsbe lehetőséget.
Válassza ki előfizetését.
A Destination (Cél) táblában válassza az Azure Diagnostics (Azure-diagnosztika) lehetőséget.
Kattintson a Mentés gombra.
Diagnosztikai naplózás engedélyezése a PowerShell használatával
A tevékenységnaplózás automatikusan engedélyezve van minden Resource Manager-erőforráshoz. A diagnosztikai naplózást engedélyezni kell a naplókban elérhető adatok gyűjtésének megkezdéséhez.
A diagnosztikai naplózás PowerShell-lel való engedélyezéséhez kövesse az alábbi lépéseket:
Jegyezze fel a Log Analytics-munkaterület erőforrás-azonosítóját, ahol a naplóadatok tárolódnak. Ez az érték a következő formában jelenik meg:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>
Az előfizetésében bármely munkaterületet használhatja. Ezeket az információkat az Azure Portalon találhatja meg. Az információ az erőforrás Tulajdonságok lapján található.
Jegyezze fel a tűzfal erőforrás-azonosítóját. Ez az érték a következő formában jelenik meg:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>
Ezeket az információkat a portálon találhatja meg.
Engedélyezze a diagnosztikai naplózást az összes naplóhoz és metrikához a következő PowerShell-parancsmag használatával:
$diagSettings = @{ Name = 'toLogAnalytics' ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>' WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>' } New-AzDiagnosticSetting @diagSettings
Diagnosztikai naplózás engedélyezése az Azure CLI használatával
A tevékenységnaplózás automatikusan engedélyezve van minden Resource Manager-erőforráshoz. A diagnosztikai naplózást engedélyezni kell a naplókban elérhető adatok gyűjtésének megkezdéséhez.
Ha engedélyezni szeretné a diagnosztikai naplózást az Azure CLI-vel, kövesse az alábbi lépéseket:
Jegyezze fel a Log Analytics-munkaterület erőforrás-azonosítóját, ahol a naplóadatok tárolódnak. Ez az érték a következő formában jelenik meg:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>
Az előfizetésében bármely munkaterületet használhatja. Ezeket az információkat az Azure Portalon találhatja meg. Az információ az erőforrás Tulajdonságok lapján található.
Jegyezze fel a tűzfal erőforrás-azonosítóját. Ez az érték a következő formában jelenik meg:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>
Ezeket az információkat a portálon találhatja meg.
Engedélyezze a diagnosztikai naplózást az összes naplóhoz és metrikához a következő Azure CLI-paranccsal:
az monitor diagnostic-settings create -n 'toLogAnalytics' --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>' --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>' --logs "[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]" --metrics "[{\"category\": \"AllMetrics\",\"enabled\": true}]"
A tevékenységnapló megtekintése és elemzése
A tevékenységnaplók adatainak megtekintéséhez és elemzéséhez használja az alábbi módszerek bármelyikét:
Azure-eszközök: Információkat kérhet le a tevékenységnaplóból az Azure PowerShell-lel, az Azure CLI-vel, az Azure REST API-val vagy az Azure Portallal. Az egyes módszerek részletes útmutatóit a Resource Managerrel végzett tevékenységművelet című cikkben találja.
Power BI: Ha még nem rendelkezik Power BI-fiókkal, ingyenesen kipróbálhatja. A Power BI-hoz készült Azure Activity Logs-tartalomcsomaggal olyan előre konfigurált irányítópultokkal elemezheti az adatokat, amelyeket eredeti formájukban vagy testre szabva is használhat.
Microsoft Sentinel: Csatlakoztathat Azure Firewall naplókat a Microsoft Sentinelhez, így megtekintheti a naplóadatokat a munkafüzetekben, egyéni riasztásokat hozhat létre, és beépítheti őket a vizsgálat javítására. A Microsoft Sentinel Azure Firewall adatösszekötője jelenleg nyilvános előzetes verzióban érhető el. További információ: Adatok csatlakoztatása Azure Firewall.
Az áttekintésért tekintse meg Mohit Kumar alábbi videóját:
A hálózati szabályok és alkalmazásszabályok naplóinak megtekintése és elemzése
Azure Firewall Munkafüzet rugalmas vásznat biztosít Azure Firewall adatelemzéshez. Segítségével gazdag vizualizációs jelentéseket hozhat létre a Azure Portal belül. Több, az Azure-ban üzembe helyezett tűzfalra is koppinthat, és egyesített interaktív élményben kombinálhatja őket.
A Storage-fiókjához is csatlakozhat, és lekérheti a hozzáférés- és teljesítménynaplók JSON-naplóbejegyzéseit. A letöltött JSON-fájlokat átalakíthatja CSV-fájlokká, és ezeket megtekintheti az Excelben, Power BI-ban vagy bármely más adatvizualizációs eszközben.
Tipp
Ha ismeri a Visual Studiót, illetve C#-állandók és -változók módosításának alapfogalmait, használja a GitHubról elérhető naplókonvertáló eszközöket.
Metrikák megtekintése
Tallózással keresse meg a Azure Firewall. A Figyelés területen kattintson a Metrikák elemre. Az elérhető értékeket a METRIKÁK legördülő listában találja.
Következő lépések
Most, hogy konfigurálta a tűzfalat a naplók gyűjtésére, megismerheti az Azure Monitor-naplókat az adatok megtekintéséhez.