Az Azure Firewall naplóinak és metrikáinak monitorozása

Az Azure Firewall tűzfalnaplókkal monitorozható. Az Azure Firewall-erőforrásokon végzett műveletek tevékenységnaplókkal is naplózhatók. A metrikákkal teljesítményszámlálókat tekinthet meg a portálon.

Ezen naplók egy része a portálról érhető el. A naplók elküldhetők az Azure Monitor-naplókba, a Storage és Event Hubs szolgáltatásba, és elemezhetők az Azure Monitor-naplókban vagy más eszközökben, például az Excelben vagy a Power BI-ban.

Megjegyzés

Ez a cikk nemrég frissült, hogy a Log Analytics helyett az Azure Monitor-naplók kifejezést használja. A naplóadatok továbbra is egy Log Analytics-munkaterületen tárolódnak, és ugyanazon Log Analytics-szolgáltatás gyűjti és elemzi azokat. Frissítjük a terminológiát, hogy jobban tükrözze a naplók szerepét az Azure Monitorban. A részletekért lásd az Azure Monitor terminológiai módosításait ismertető cikket.

Megjegyzés

Javasoljuk, hogy az Azure Az PowerShell-modult használja az Azure-ral való kommunikációhoz. Az első lépésekért lásd: Azure PowerShell telepítése. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Előfeltételek

A kezdés előtt olvassa el Azure Firewall naplókat és metrikákat a Azure Firewall elérhető diagnosztikai naplók és metrikák áttekintéséhez.

Diagnosztikai naplózás engedélyezése az Azure Portalon

A diagnosztikai naplózás bekapcsolása után eltarthat néhány percig, amíg az adatok megjelennek a naplókban. Ha először nem lát semmit, néhány perc múlva ellenőrizze újra.

  1. A Azure Portal nyissa meg a tűzfal erőforráscsoportját, és válassza ki a tűzfalat.

  2. A Monitorozás területen kattintson a Diagnosztikai beállítások elemre.

    A Azure Firewall esetében három szolgáltatásspecifikus napló érhető el:

    • AzureFirewallApplicationRule
    • AzureFirewallNetworkRule
    • AzureFirewallDnsProxy
  3. Válassza a Diagnosztikai beállítások megadása lehetőséget. A Diagnosztikai beállítások lap megadja a diagnosztikai naplók beállításait.

  4. Ebben a példában az Azure Monitor naplói tárolják a naplókat, ezért írja be a tűzfalnapló-elemzés kifejezést a névhez.

  5. A Napló területen válassza az AzureFirewallApplicationRule, az AzureFirewallNetworkRule és az AzureFirewallDnsProxy lehetőséget a naplók gyűjtéséhez.

  6. Válassza a Küldés a Log Analyticsbe lehetőséget a munkaterület konfigurálásához.

  7. Válassza ki előfizetését.

  8. Kattintson a Mentés gombra.

    Képernyőkép a Tűzfaldiagnosztika beállításról.

Diagnosztikai naplózás engedélyezése a PowerShell használatával

A tevékenységnaplózás automatikusan engedélyezve van minden Resource Manager-erőforráshoz. A diagnosztikai naplózást engedélyezni kell a naplókban elérhető adatok gyűjtésének megkezdéséhez.

A diagnosztikai naplózás PowerShell-lel való engedélyezéséhez kövesse az alábbi lépéseket:

  1. Jegyezze fel a Log Analytics-munkaterület erőforrás-azonosítóját, ahol a naplóadatok tárolása történik. Ez az érték a következő formában jelenik meg:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    Az előfizetés bármely munkaterületét használhatja. Ezeket az információkat az Azure Portalon találhatja meg. Az információk az erőforrás Tulajdonságok lapján találhatók.

  2. Jegyezze fel a tűzfal erőforrás-azonosítóját. Ez az érték a következő formában jelenik meg:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    Ezeket az információkat a portálon találhatja meg.

  3. Engedélyezze a diagnosztikai naplózást az összes naplóhoz és metrikához a következő PowerShell-parancsmag használatával:

       $diagSettings = @{
       Name = 'toLogAnalytics'
       ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       }
    New-AzDiagnosticSetting  @diagSettings 
    

Diagnosztikai naplózás engedélyezése az Azure CLI használatával

A tevékenységnaplózás automatikusan engedélyezve van minden Resource Manager-erőforráshoz. A diagnosztikai naplózást engedélyezni kell a naplókban elérhető adatok gyűjtésének megkezdéséhez.

A diagnosztikai naplózás Azure CLI-vel való engedélyezéséhez kövesse az alábbi lépéseket:

  1. Jegyezze fel a Log Analytics-munkaterület erőforrás-azonosítóját, ahol a naplóadatok tárolása történik. Ez az érték a következő formában jelenik meg:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    Az előfizetés bármely munkaterületét használhatja. Ezeket az információkat az Azure Portalon találhatja meg. Az információk az erőforrás Tulajdonságok lapján találhatók.

  2. Jegyezze fel a tűzfal erőforrás-azonosítóját. Ez az érték a következő formában jelenik meg:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    Ezeket az információkat a portálon találhatja meg.

  3. Engedélyezze a diagnosztikai naplózást az összes naplóhoz és metrikához az alábbi Azure CLI-paranccsal:

       az monitor diagnostic-settings create -n 'toLogAnalytics'
       --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       --logs "[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]" 
       --metrics "[{\"category\": \"AllMetrics\",\"enabled\": true}]"
    

A tevékenységnapló megtekintése és elemzése

A tevékenységnaplók adatainak megtekintéséhez és elemzéséhez használja az alábbi módszerek bármelyikét:

  • Azure-eszközök: Információkat kérhet le a tevékenységnaplóból az Azure PowerShell-lel, az Azure CLI-vel, az Azure REST API-val vagy az Azure Portallal. Az egyes módszerek részletes útmutatóit a Resource Managerrel végzett tevékenységművelet című cikkben találja.

  • Power BI: Ha még nem rendelkezik Power BI-fiókkal, ingyenesen kipróbálhatja. A Power BI-hoz készült Azure Activity Logs-tartalomcsomaggal olyan előre konfigurált irányítópultokkal elemezheti az adatokat, amelyeket eredeti formájukban vagy testre szabva is használhat.

  • Microsoft Sentinel: Csatlakoztathat Azure Firewall naplókat a Microsoft Sentinelhez, így megtekintheti a naplóadatokat a munkafüzetekben, létrehozhat egyéni riasztásokat, és beépítheti őket a vizsgálat javítására. A Microsoft Sentinel Azure Firewall adatösszekötője jelenleg nyilvános előzetes verzióban érhető el. További információ: Adatok csatlakoztatása Azure Firewall.

    Az áttekintésért tekintse meg Mohit Kumar alábbi videóját:

A hálózati szabályok és alkalmazásszabályok naplóinak megtekintése és elemzése

Azure Firewall munkafüzet rugalmas vászont biztosít Azure Firewall adatelemzéshez. Segítségével gazdag vizualizációs jelentéseket hozhat létre a Azure Portal belül. Az Azure-ban üzembe helyezett több tűzfalra is koppinthat, és kombinálhatja őket egységes interaktív élményben.

A Storage-fiókjához is csatlakozhat, és lekérheti a hozzáférés- és teljesítménynaplók JSON-naplóbejegyzéseit. A letöltött JSON-fájlokat átalakíthatja CSV-fájlokká, és ezeket megtekintheti az Excelben, Power BI-ban vagy bármely más adatvizualizációs eszközben.

Tipp

Ha ismeri a Visual Studiót, illetve C#-állandók és -változók módosításának alapfogalmait, használja a GitHubról elérhető naplókonvertáló eszközöket.

Metrikák megtekintése

Tallózással keresse meg a Azure Firewall. A Figyelés területen kattintson a Metrikák elemre. Az elérhető értékeket a METRIKÁK legördülő listában találja.

Következő lépések

Most, hogy konfigurálta a tűzfalat a naplók gyűjtésére, megismerheti az Azure Monitor-naplókat az adatok megtekintéséhez.