Azure Structured Firewall-naplók
A strukturált naplók olyan naplóadatok, amelyek egy adott formátumban vannak rendszerezve. Egy előre definiált sémát használnak a naplóadatok oly módon történő strukturálásához, amely megkönnyíti a keresést, a szűrést és az elemzést. A strukturálatlan, szabad formátumú szövegből álló naplóktól eltérően a strukturált naplók egységes formátumúak, amelyeket a gépek elemezhetnek és elemezhetnek.
Azure Firewall strukturált naplói részletesebb képet nyújtanak a tűzfaleseményekről. Ezek közé tartoznak többek között a forrás- és cél IP-címek, a protokollok, a portszámok és a tűzfal által végrehajtott műveletek. További metaadatokat is tartalmaznak, például az esemény időpontját és a Azure Firewall példány nevét.
Jelenleg a következő diagnosztikai naplókategóriák érhetők el Azure Firewall:
- Alkalmazásszabályok naplója
- Hálózati szabályok naplója
- DNS-proxynapló
Ezek a naplókategóriák Azure Diagnosztikai módot használnak. Ebben a módban a diagnosztikai beállítások összes adata az AzureDiagnostics táblában lesz összegyűjtve.
Strukturált naplók esetén a meglévő AzureDiagnostics-tábla helyett erőforrás-specifikus táblákat használhat. Ha mindkét naplókészletre szükség van, tűzfalonként legalább két diagnosztikai beállítást kell létrehozni.
Erőforrás-specifikus mód
Erőforrás-specifikus módban a rendszer a kiválasztott munkaterületen külön táblákat hoz létre a diagnosztikai beállításban kiválasztott kategóriákhoz. Ez a módszer ajánlott, mivel:
- Akár 80%-kal is csökkentheti a naplózási költségeket.
- sokkal egyszerűbbé teszi az adatokkal való munkát a naplóbeli lekérdezésekben
- megkönnyíti a sémák és azok szerkezetének felderítését
- javítja a teljesítményt a betöltési késés és a lekérdezési idők között
- Lehetővé teszi, hogy Azure RBAC-jogokat adjon egy adott táblához
Új erőforrás-specifikus táblák érhetők el a Diagnosztikai beállításban, amely lehetővé teszi a következő kategóriák kihasználását:
- Hálózati szabálynapló – A hálózati szabály összes naplóadatait tartalmazza. Az adatsík és a hálózati szabály közötti minden egyezés létrehoz egy naplóbejegyzést az adatsík csomagjával és az egyeztetett szabály attribútumaival.
- NAT-szabálynapló – Tartalmazza a DNAT (célhálózati címfordítás) eseménynaplójának összes adatát. Az adatsík és a DNAT-szabály közötti minden egyezés létrehoz egy naplóbejegyzést az adatsík csomagjával és az egyeztetett szabály attribútumaival.
- Alkalmazásszabálynapló – Az alkalmazásszabály összes naplóadatait tartalmazza. Az adatsík és az alkalmazásszabály közötti minden egyezés létrehoz egy naplóbejegyzést az adatsík csomagjával és az egyeztetett szabály attribútumaival.
- Fenyegetésfelderítési napló – Az összes fenyegetésfelderítési eseményt tartalmazza.
- IDPS-napló – Az összes olyan adatsíkcsomagot tartalmazza, amely megfelelt egy vagy több IDPS-aláírásnak.
- DNS-proxynapló – Az összes DNS-proxyesemény naplóadatait tartalmazza.
- Belső teljes tartománynév hibanaplója – Tartalmazza az összes belső tűzfal FQDN-feloldási kérését, amely hibát eredményezett.
- Alkalmazásszabály-összesítési napló – A Policy Analytics összesített alkalmazásszabály-naplóadatait tartalmazza.
- Hálózati szabályok összesítési naplója – A Policy Analytics összesített hálózatiszabály-naplóadatait tartalmazza.
- NAT-szabály összesítési naplója – A Policy Analytics összesített NAT-szabálynapló-adatait tartalmazza.
- Felső folyamatnapló (előzetes verzió) – A Felső folyamatok (Fat Flows) naplója azokat a felső kapcsolatokat jeleníti meg, amelyek a tűzfalon keresztül a legmagasabb átviteli sebességet mutatják.
- Folyamatkövetés (előzetes verzió) – Folyamatinformációkat, jelzőket és a folyamatok rögzítésének időtartamát tartalmazza. Teljes folyamatinformációkat láthat, például SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (folyamatok).
Strukturált naplók engedélyezése
A strukturált naplók Azure Firewall engedélyezéséhez először konfigurálnia kell egy Log Analytics-munkaterületet az Azure-előfizetésében. Ez a munkaterület a Azure Firewall által létrehozott strukturált naplók tárolására szolgál.
Miután konfigurálta a Log Analytics-munkaterületet, engedélyezheti a strukturált naplókat Azure Firewall a tűzfal Diagnosztikai beállítások lapján a Azure Portal. Itt ki kell választania az Erőforrás-specifikus céltáblát, és ki kell választania a naplózni kívánt események típusát.
Megjegyzés
Nem követelmény, hogy funkciójelölővel vagy Azure PowerShell parancsokkal engedélyezze ezt a funkciót.
Strukturált napló lekérdezések
Az előre definiált lekérdezések listája elérhető a Azure Portal. Ez a lista egy előre definiált KQL-naplólekérdezéssel (Kusto lekérdezésnyelv) rendelkezik az egyes kategóriákhoz és a csatlakoztatott lekérdezésekhez, amelyek a teljes Azure-tűzfalnaplózási eseményt egyetlen nézetben jelenítik meg.
Azure Firewall-munkafüzet
Azure Firewall Munkafüzet rugalmas vásznat biztosít Azure Firewall adatelemzéshez. Segítségével gazdag vizualizációs jelentéseket hozhat létre a Azure Portal belül. Több, az Azure-ban üzembe helyezett tűzfalra is koppinthat, és egyesített interaktív élményben kombinálhatja őket.
Az Azure Firewall strukturált naplókat használó új munkafüzet üzembe helyezéséhez lásd: Azure Monitor-munkafüzet Azure Firewall.
Következő lépések
További információ: Az új erőforrás-specifikus strukturált naplózás felderítése Azure Firewall.
A Azure Firewall naplókkal és metrikákkal kapcsolatos további információkért lásd: Azure Firewall naplók és metrikák