Az Azure Firewall naplói és metrikái

Az Azure Firewall tűzfalnaplókkal monitorozható. Az Azure Firewall-erőforrásokon végzett műveletek tevékenységnaplókkal is naplózhatók.

Ezen naplók egy része a portálról érhető el. A naplók elküldhetők az Azure Monitor-naplókba, a Storage és Event Hubs szolgáltatásba, és elemezhetők az Azure Monitor-naplókban vagy más eszközökben, például az Excelben vagy a Power BI-ban.

A metrikák egyszerűek, és támogatják a közel valós idejű forgatókönyveket, amelyek hasznosak a riasztásokhoz és a problémák gyors észleléséhez.

Megjegyzés

Strukturált tűzfalnaplók (előzetes verzió) érhetők el, amelyek nagyobb vezérlést kínálnak a naplók és a gyorsabb lekérdezések felett. További információ: Azure Firewall előzetes verziójú funkciók.

Diagnosztikai naplók

Az Azure Firewallhoz az alábbi diagnosztikai naplók érhetők el:

• Alkalmazásszabályok naplója

  Az alkalmazásszabály-naplót a rendszer egy tárfiókba menti, streameli az Eseményközpontokba, és/vagy csak akkor küldi el az Azure Monitor-naplókba, ha engedélyezte azt az egyes Azure Firewall. Minden új kapcsolat, amely megegyezik egy konfigurált alkalmazásszabállyal, az elfogadott/letiltott kapcsolatra vonatkozó naplóbejegyzést eredményez. Az adatok JSON formátumban vannak naplózva, ahogy az alábbi példákban látható:

  Category: application rule logs.
  Time: log timestamp.
  Properties: currently contains the full message.
  note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
  

  {
    "category": "AzureFirewallApplicationRule",
    "time": "2018-04-16T23:45:04.8295030Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallApplicationRuleLog",
    "properties": {
        "msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
    }
  }
  

  {
     "category": "AzureFirewallApplicationRule",
     "time": "2018-04-16T23:45:04.8295030Z",
     "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
     "operationName": "AzureFirewallApplicationRuleLog",
     "properties": {
         "msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals"
     }
  }
  

• Hálózati szabályok naplója

  A hálózati szabálynaplót a rendszer egy tárfiókba menti, streameli az Eseményközpontokba, és/vagy csak akkor küldi el az Azure Monitor-naplókba, ha engedélyezte azt az egyes Azure Firewall. Minden új kapcsolat, amely megegyezik egy konfigurált hálózati szabállyal, az elfogadott/letiltott kapcsolatra vonatkozó naplót eredményez. Az adatokat a rendszer JSON formátumban naplózza, az alábbi példához látható módon:

  Category: network rule logs.
  Time: log timestamp.
  Properties: currently contains the full message.
  note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
  

  {
    "category": "AzureFirewallNetworkRule",
    "time": "2018-06-14T23:44:11.0590400Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallNetworkRuleLog",
    "properties": {
        "msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
    }
  }
  
  

• DNS-proxynapló

  A DNS-proxynaplót a rendszer egy tárfiókba menti, streameli az Eseményközpontokba, és/vagy csak akkor küldi el az Azure Monitor-naplókba, ha engedélyezte az egyes Azure Firewall. Ez a napló egy DNS-proxyval konfigurált DNS-kiszolgálóra követi nyomon a DNS-üzeneteket. Az adatok JSON formátumban vannak naplózva, ahogy az alábbi példákban látható:

  Category: DNS proxy logs.
  Time: log timestamp.
  Properties: currently contains the full message.
  note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
  

  Siker:

  {
     "category": "AzureFirewallDnsProxy",
     "time": "2020-09-02T19:12:33.751Z",
     "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
     "operationName": "AzureFirewallDnsProxyLog",
     "properties": {
         "msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
     }
  }
  

  Nem sikerült:

  {
     "category": "AzureFirewallDnsProxy",
     "time": "2020-09-02T19:12:33.751Z",
     "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
     "operationName": "AzureFirewallDnsProxyLog",
     "properties": {
         "msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
     }
  }
  

  msg formátum:

  [client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]

A naplók tárolásához három lehetőség közül választhat:

• Storage-fiók: A Storage-fiókok akkor a legmegfelelőbbek a naplók tárolására, ha a naplókat hosszabb ideig tárolják, és szükség esetén áttekintik őket.
• Event Hubs-eseményközpont: Az eseményközpontok ideális megoldások egyéb biztonsági információkkal és eseménykezelési (SEIM) eszközökkel való integrációhoz, amelyekkel az erőforrásokra vonatkozó riasztásokat kaphat.
• Azure Monitor-naplók: Az Azure Monitor-naplók a legjobban az alkalmazás általános valós idejű monitorozásához vagy trendek megtekintéséhez használhatók.

Tevékenységnaplók

A tevékenységnaplók bejegyzéseit alapértelmezés szerint gyűjti a rendszer, ezeket az Azure Portalon tekintheti meg.

Az Azure-tevékenységnaplók (korábbi nevén műveleti naplók és auditnaplók) használatával megtekintheti az Azure-előfizetésbe küldött összes műveletet.

Mérőszámok

Az Azure Monitor metrikái olyan numerikus értékek, amelyek a rendszer bizonyos aspektusait írják le egy adott időpontban. A metrikákat percenként gyűjti a rendszer, és hasznos riasztásokhoz, mert gyakran lehet mintát venni. A riasztások viszonylag egyszerű logikával gyorsan aktiválhatók.

A Azure Firewall a következő metrikák érhetők el:

• Alkalmazásszabályok találatainak száma – Az alkalmazásszabályok találatainak száma.

  Egység: darabszám

• Hálózati szabályok találatainak száma – A hálózati szabály találatainak száma.

  Egység: darabszám

• Feldolgozott adatok – A tűzfalon áthaladó adatok összege egy adott időablakban.

  Egység: bájt

• Átviteli sebesség – A tűzfalon másodpercenként áthaladó adatok sebessége.

  Egység: bit/másodperc

• Tűzfal állapota – A tűzfal állapotát jelzi az SNAT-port rendelkezésre állása alapján.

  Egység: százalék

  Ez a metrika két dimenzióval rendelkezik:

  • Állapot: Lehetséges értékek : Kifogástalan, Csökkentett teljesítményű, Nem kifogástalan.

  • Ok: A tűzfal megfelelő állapotának okát jelzi.

    Ha az SNAT-portokat 95%-ban használják > , a rendszer kimerültnek tekinti őket, és az állapotuk 50%, állapota pedig állapot=Csökkentett és reason=SNAT port. A tűzfal továbbra is feldolgozza a forgalmat, és a meglévő kapcsolatokat ez nem érinti. Előfordulhat azonban, hogy időnként nem jönnek létre új kapcsolatok.

    Ha az SNAT-portok használata < 95%, akkor a tűzfal kifogástalannak minősül, és az állapot 100%-ként jelenik meg.

    Ha a rendszer nem kap jelentést az SNAT-portok használatáról, az állapot 0%-osként jelenik meg.

• SNAT-port kihasználtsága – A tűzfal által használt SNAT-portok százalékos aránya.

  Egység: százalék

  Ha több nyilvános IP-címet ad hozzá a tűzfalhoz, további SNAT-portok érhetők el, ami csökkenti az SNAT-portok kihasználtságát. Emellett, ha a tűzfal a különböző okokból (például CPU vagy átviteli sebesség miatt) felskálázást végez, további SNAT-portok is elérhetővé válnak. Így hatékonyan előfordulhat, hogy az SNAT-portok kihasználtságának adott százaléka csökken anélkül, hogy nyilvános IP-címeket adna hozzá, csak azért, mert a szolgáltatás felskálázott. Közvetlenül szabályozhatja a nyilvános IP-címek számát a tűzfalon elérhető portok számának növeléséhez. A tűzfal skálázását azonban nem lehet közvetlenül szabályozni.

  Ha a tűzfal SNAT-portfogyásba ütközik, legalább öt nyilvános IP-címet kell hozzáadnia. Ez növeli a rendelkezésre álló SNAT-portok számát. További információ: Azure Firewall funkciók.

Következő lépések

• A Azure Firewall naplók és metrikák monitorozásáról az Oktatóanyag: Azure Firewall naplók monitorozása című témakörben olvashat.

• A metrikákkal kapcsolatos további információkért lásd: Metrikák az Azure Monitorban.