Az Azure Firewall naplói és metrikái

Az Azure Firewall tűzfalnaplókkal monitorozható. Az Azure Firewall-erőforrásokon végzett műveletek tevékenységnaplókkal is naplózhatók.

Ezen naplók egy része a portálról érhető el. A naplók elküldhetők az Azure Monitor-naplókba, a Storage és Event Hubs szolgáltatásba, és elemezhetők az Azure Monitor-naplókban vagy más eszközökben, például az Excelben vagy a Power BI-ban.

A metrikák egyszerűek, és támogatják a közel valós idejű forgatókönyveket, amelyek hasznosak a riasztásokhoz és a problémák gyors észleléséhez.

Megjegyzés

Strukturált tűzfalnaplók (előzetes verzió) érhetők el, amelyek nagyobb vezérlést kínálnak a naplók és a gyorsabb lekérdezések felett. További információ: Azure Firewall előzetes verziójú funkciók.

Diagnosztikai naplók

Az Azure Firewallhoz az alábbi diagnosztikai naplók érhetők el:

  • Alkalmazásszabályok naplója

    Az alkalmazásszabály-naplót a rendszer egy tárfiókba menti, streameli az Eseményközpontokba, és/vagy csak akkor küldi el az Azure Monitor-naplókba, ha engedélyezte azt az egyes Azure Firewall. Minden új kapcsolat, amely megegyezik egy konfigurált alkalmazásszabállyal, az elfogadott/letiltott kapcsolatra vonatkozó naplóbejegyzést eredményez. Az adatok JSON formátumban vannak naplózva, ahogy az alábbi példákban látható:

    Category: application rule logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    
    {
      "category": "AzureFirewallApplicationRule",
      "time": "2018-04-16T23:45:04.8295030Z",
      "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
      "operationName": "AzureFirewallApplicationRuleLog",
      "properties": {
          "msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
      }
    }
    
    {
       "category": "AzureFirewallApplicationRule",
       "time": "2018-04-16T23:45:04.8295030Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallApplicationRuleLog",
       "properties": {
           "msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals"
       }
    }
    
  • Hálózati szabályok naplója

    A hálózati szabálynaplót a rendszer egy tárfiókba menti, streameli az Eseményközpontokba, és/vagy csak akkor küldi el az Azure Monitor-naplókba, ha engedélyezte azt az egyes Azure Firewall. Minden új kapcsolat, amely megegyezik egy konfigurált hálózati szabállyal, az elfogadott/letiltott kapcsolatra vonatkozó naplót eredményez. Az adatokat a rendszer JSON formátumban naplózza, az alábbi példához látható módon:

    Category: network rule logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    
    {
      "category": "AzureFirewallNetworkRule",
      "time": "2018-06-14T23:44:11.0590400Z",
      "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
      "operationName": "AzureFirewallNetworkRuleLog",
      "properties": {
          "msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
      }
    }
    
    
  • DNS-proxynapló

    A DNS-proxynaplót a rendszer egy tárfiókba menti, streameli az Eseményközpontokba, és/vagy csak akkor küldi el az Azure Monitor-naplókba, ha engedélyezte az egyes Azure Firewall. Ez a napló egy DNS-proxyval konfigurált DNS-kiszolgálóra követi nyomon a DNS-üzeneteket. Az adatok JSON formátumban vannak naplózva, ahogy az alábbi példákban látható:

    Category: DNS proxy logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    

    Siker:

    {
       "category": "AzureFirewallDnsProxy",
       "time": "2020-09-02T19:12:33.751Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallDnsProxyLog",
       "properties": {
           "msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
       }
    }
    

    Nem sikerült:

    {
       "category": "AzureFirewallDnsProxy",
       "time": "2020-09-02T19:12:33.751Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallDnsProxyLog",
       "properties": {
           "msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
       }
    }
    

    msg formátum:

    [client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]

A naplók tárolásához három lehetőség közül választhat:

  • Storage-fiók: A Storage-fiókok akkor a legmegfelelőbbek a naplók tárolására, ha a naplókat hosszabb ideig tárolják, és szükség esetén áttekintik őket.
  • Event Hubs-eseményközpont: Az eseményközpontok ideális megoldások egyéb biztonsági információkkal és eseménykezelési (SEIM) eszközökkel való integrációhoz, amelyekkel az erőforrásokra vonatkozó riasztásokat kaphat.
  • Azure Monitor-naplók: Az Azure Monitor-naplók a legjobban az alkalmazás általános valós idejű monitorozásához vagy trendek megtekintéséhez használhatók.

Tevékenységnaplók

A tevékenységnaplók bejegyzéseit alapértelmezés szerint gyűjti a rendszer, ezeket az Azure Portalon tekintheti meg.

Az Azure-tevékenységnaplók (korábbi nevén műveleti naplók és auditnaplók) használatával megtekintheti az Azure-előfizetésbe küldött összes műveletet.

Mérőszámok

Az Azure Monitor metrikái olyan numerikus értékek, amelyek a rendszer bizonyos aspektusait írják le egy adott időpontban. A metrikákat percenként gyűjti a rendszer, és hasznos riasztásokhoz, mert gyakran lehet mintát venni. A riasztások viszonylag egyszerű logikával gyorsan aktiválhatók.

A Azure Firewall a következő metrikák érhetők el:

  • Alkalmazásszabályok találatainak száma – Az alkalmazásszabályok találatainak száma.

    Egység: darabszám

  • Hálózati szabályok találatainak száma – A hálózati szabály találatainak száma.

    Egység: darabszám

  • Feldolgozott adatok – A tűzfalon áthaladó adatok összege egy adott időablakban.

    Egység: bájt

  • Átviteli sebesség – A tűzfalon másodpercenként áthaladó adatok sebessége.

    Egység: bit/másodperc

  • Tűzfal állapota – A tűzfal állapotát jelzi az SNAT-port rendelkezésre állása alapján.

    Egység: százalék

    Ez a metrika két dimenzióval rendelkezik:

    • Állapot: Lehetséges értékek : Kifogástalan, Csökkentett teljesítményű, Nem kifogástalan.

    • Ok: A tűzfal megfelelő állapotának okát jelzi.

      Ha az SNAT-portokat 95%-ban használják > , a rendszer kimerültnek tekinti őket, és az állapotuk 50%, állapota pedig állapot=Csökkentett és reason=SNAT port. A tűzfal továbbra is feldolgozza a forgalmat, és a meglévő kapcsolatokat ez nem érinti. Előfordulhat azonban, hogy időnként nem jönnek létre új kapcsolatok.

      Ha az SNAT-portok használata < 95%, akkor a tűzfal kifogástalannak minősül, és az állapot 100%-ként jelenik meg.

      Ha a rendszer nem kap jelentést az SNAT-portok használatáról, az állapot 0%-osként jelenik meg.

  • SNAT-port kihasználtsága – A tűzfal által használt SNAT-portok százalékos aránya.

    Egység: százalék

    Ha több nyilvános IP-címet ad hozzá a tűzfalhoz, további SNAT-portok érhetők el, ami csökkenti az SNAT-portok kihasználtságát. Emellett, ha a tűzfal a különböző okokból (például CPU vagy átviteli sebesség miatt) felskálázást végez, további SNAT-portok is elérhetővé válnak. Így hatékonyan előfordulhat, hogy az SNAT-portok kihasználtságának adott százaléka csökken anélkül, hogy nyilvános IP-címeket adna hozzá, csak azért, mert a szolgáltatás felskálázott. Közvetlenül szabályozhatja a nyilvános IP-címek számát a tűzfalon elérhető portok számának növeléséhez. A tűzfal skálázását azonban nem lehet közvetlenül szabályozni.

    Ha a tűzfal SNAT-portfogyásba ütközik, legalább öt nyilvános IP-címet kell hozzáadnia. Ez növeli a rendelkezésre álló SNAT-portok számát. További információ: Azure Firewall funkciók.

Következő lépések