Azure Structured Firewall-naplók

  • Cikk

A strukturált naplók olyan naplóadatok, amelyek egy adott formátumban vannak rendszerezve. Egy előre definiált sémát használnak a naplóadatok oly módon történő strukturálásához, amely megkönnyíti a keresést, a szűrést és az elemzést. A strukturálatlan, szabad formátumú szövegből álló naplóktól eltérően a strukturált naplók egységes formátumúak, amelyeket a gépek elemezhetnek és elemezhetnek.

Azure Firewall strukturált naplói részletesebb képet nyújtanak a tűzfaleseményekről. Ezek közé tartoznak többek között a forrás- és cél IP-címek, a protokollok, a portszámok és a tűzfal által végrehajtott műveletek. További metaadatokat is tartalmaznak, például az esemény időpontját és a Azure Firewall példány nevét.

Jelenleg a következő diagnosztikai naplókategóriák érhetők el Azure Firewall:

  • Alkalmazásszabályok naplója
  • Hálózati szabályok naplója
  • DNS-proxynapló

Ezek a naplókategóriák Azure Diagnosztikai módot használnak. Ebben a módban a diagnosztikai beállítások összes adata az AzureDiagnostics táblában lesz összegyűjtve.

Strukturált naplók esetén a meglévő AzureDiagnostics-tábla helyett erőforrás-specifikus táblákat használhat. Ha mindkét naplókészletre szükség van, tűzfalonként legalább két diagnosztikai beállítást kell létrehozni.

Erőforrás-specifikus mód

Erőforrás-specifikus módban a rendszer a kiválasztott munkaterületen külön táblákat hoz létre a diagnosztikai beállításban kiválasztott kategóriákhoz. Ez a módszer ajánlott, mivel:

  • Akár 80%-kal is csökkentheti a naplózási költségeket.
  • sokkal egyszerűbbé teszi az adatokkal való munkát a naplóbeli lekérdezésekben
  • megkönnyíti a sémák és azok szerkezetének felderítését
  • javítja a teljesítményt a betöltési késés és a lekérdezési idők között
  • Lehetővé teszi, hogy Azure RBAC-jogokat adjon egy adott táblához

Új erőforrás-specifikus táblák érhetők el a Diagnosztikai beállításban, amely lehetővé teszi a következő kategóriák kihasználását:

  • Hálózati szabálynapló – A hálózati szabály összes naplóadatait tartalmazza. Az adatsík és a hálózati szabály közötti minden egyezés létrehoz egy naplóbejegyzést az adatsík csomagjával és az egyeztetett szabály attribútumaival.
  • NAT-szabálynapló – Tartalmazza a DNAT (célhálózati címfordítás) eseménynaplójának összes adatát. Az adatsík és a DNAT-szabály közötti minden egyezés létrehoz egy naplóbejegyzést az adatsík csomagjával és az egyeztetett szabály attribútumaival.
  • Alkalmazásszabálynapló – Az alkalmazásszabály összes naplóadatait tartalmazza. Az adatsík és az alkalmazásszabály közötti minden egyezés létrehoz egy naplóbejegyzést az adatsík csomagjával és az egyeztetett szabály attribútumaival.
  • Fenyegetésfelderítési napló – Az összes fenyegetésfelderítési eseményt tartalmazza.
  • IDPS-napló – Az összes olyan adatsíkcsomagot tartalmazza, amely megfelelt egy vagy több IDPS-aláírásnak.
  • DNS-proxynapló – Az összes DNS-proxyesemény naplóadatait tartalmazza.
  • Belső teljes tartománynév hibanaplója – Tartalmazza az összes belső tűzfal FQDN-feloldási kérését, amely hibát eredményezett.
  • Alkalmazásszabály-összesítési napló – A Policy Analytics összesített alkalmazásszabály-naplóadatait tartalmazza.
  • Hálózati szabályok összesítési naplója – A Policy Analytics összesített hálózatiszabály-naplóadatait tartalmazza.
  • NAT-szabály összesítési naplója – A Policy Analytics összesített NAT-szabálynapló-adatait tartalmazza.
  • Felső folyamatnapló (előzetes verzió) – A Felső folyamatok (Fat Flows) naplója azokat a felső kapcsolatokat jeleníti meg, amelyek a tűzfalon keresztül a legmagasabb átviteli sebességet mutatják.
  • Folyamatkövetés (előzetes verzió) – Folyamatinformációkat, jelzőket és a folyamatok rögzítésének időtartamát tartalmazza. Teljes folyamatinformációkat láthat, például SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (folyamatok).

Strukturált naplók engedélyezése

A strukturált naplók Azure Firewall engedélyezéséhez először konfigurálnia kell egy Log Analytics-munkaterületet az Azure-előfizetésében. Ez a munkaterület a Azure Firewall által létrehozott strukturált naplók tárolására szolgál.

Miután konfigurálta a Log Analytics-munkaterületet, engedélyezheti a strukturált naplókat Azure Firewall a tűzfal Diagnosztikai beállítások lapján a Azure Portal. Itt ki kell választania az Erőforrás-specifikus céltáblát, és ki kell választania a naplózni kívánt események típusát.

Megjegyzés

Nem követelmény, hogy funkciójelölővel vagy Azure PowerShell parancsokkal engedélyezze ezt a funkciót.

Képernyőkép a Diagnosztikai beállítások oldalról.

Strukturált napló lekérdezések

Az előre definiált lekérdezések listája elérhető a Azure Portal. Ez a lista egy előre definiált KQL-naplólekérdezéssel (Kusto lekérdezésnyelv) rendelkezik az egyes kategóriákhoz és a csatlakoztatott lekérdezésekhez, amelyek a teljes Azure-tűzfalnaplózási eseményt egyetlen nézetben jelenítik meg.

Képernyőkép Azure Firewall lekérdezésekről.

Azure Firewall-munkafüzet

Azure Firewall Munkafüzet rugalmas vásznat biztosít Azure Firewall adatelemzéshez. Segítségével gazdag vizualizációs jelentéseket hozhat létre a Azure Portal belül. Több, az Azure-ban üzembe helyezett tűzfalra is koppinthat, és egyesített interaktív élményben kombinálhatja őket.

Az Azure Firewall strukturált naplókat használó új munkafüzet üzembe helyezéséhez lásd: Azure Monitor-munkafüzet Azure Firewall.

Következő lépések