Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk a szolgáltatás figyelési referenciaadatait tartalmazza.
A Monitor Azure Firewall a Azure Firewall gyűjthető adatairól és azok használatáról.
Metrics
Ez a szakasz a szolgáltatáshoz automatikusan gyűjtött platformmetrikákat sorolja fel. Ezek a metrikák a az Azure Monitor által támogatott platformmetrikák globális listájának részét képezik.
A metrikamegőrzésről további információt a Azure Monitor Metrikák áttekintésében talál.
Támogatott metrikák Microsoft. Network/azureFirewalls
Az alábbi táblázat a Microsoft elérhető metrikákat sorolja fel. Network/azureFirewalls erőforrástípus.
- Előfordulhat, hogy nem minden oszlop szerepel minden táblában.
- Előfordulhat, hogy egyes oszlopok a lap megtekintési területén kívül esnek. Válassza a Táblázat kibontása lehetőséget az összes elérhető oszlop megtekintéséhez.
Táblázat címsorai
- Kategória – A metrikák csoportja vagy besorolása.
- Metric – A metrika megjelenítendő neve a Azure portálon.
- Név a REST API-ban – A REST API-banemlített metrikanév.
- Egység – Mértékegység.
- Összesítés – Az alapértelmezett összesítési típus. Érvényes értékek: Átlag (Avg), Minimum (Min), Maximum (Max), Összeg (Összeg), Darabszám.
- Méretek - A metrika számára elérhető méretek.
-
Időszemcsék - Intervallumok amelyeken a metrika mintavétele történik. Például azt jelzi,
PT1Mhogy a metrika mintavétele percenként,PT30M30 percenként,PT1Hóránként és így tovább történik. - DS Export – A metrika exportálható-e Azure Monitor naplókba diagnosztikai beállításokon keresztül. A metrikák exportálásáról további információt a Diagnosztikai beállítások létrehozása Azure Monitor című témakörben talál.
| Metric | Név a REST API-ban | Unit | Aggregation | Dimensions | Időszemcsék | DS-Exportálás |
|---|---|---|---|---|---|---|
|
Alkalmazásszabályok találatszáma Az alkalmazásszabályok találatainak száma |
ApplicationRuleHit |
Count | Teljes összeg (szumma) |
Status, , ReasonProtocol |
PT1M | Yes |
|
Feldolgozott adatok A tűzfal által feldolgozott adatok teljes mennyisége |
DataProcessed |
Bytes | Teljes összeg (szumma) | <egyik sem> | PT1M | Yes |
|
Tűzfal állapota A tűzfal általános állapotát jelzi |
FirewallHealth |
Percent | Average |
Status, Reason |
PT1M | Yes |
|
Késési mintavétel A tűzfal átlagos késésének becslése a késési mintavétel alapján mérve |
FirewallLatencyPng |
Milliseconds | Average | <egyik sem> | PT1M | Yes |
|
Hálózati szabályok találatszáma A hálózati szabályok találatainak száma |
NetworkRuleHit |
Count | Teljes összeg (szumma) |
Status, Reason |
PT1M | Yes |
|
Megfigyelt kapacitásegységek A Azure Firewall jelentett kapacitásegységeinek száma |
ObservedCapacity |
Meghatározatlan | Átlag, Minimumérték, Maximumérték | <egyik sem> | PT1M | Yes |
|
SNAT-port kihasználtsága A jelenleg használatban lévő kimenő SNAT-portok százalékos aránya |
SNATPortUtilization |
Percent | Átlag, Maximális | Protocol |
PT1M | Yes |
|
Throughput A tűzfal által feldolgozott átviteli sebesség |
Throughput |
BitsPerSecond | Average | <egyik sem> | PT1M | No |
Megfigyelt kapacitás
A megfigyelt kapacitásmetrika az elsődleges eszköz annak megértéséhez, hogy a tűzfal hogyan skálázódik a gyakorlatban.
Ajánlott eljárások a megfigyelt kapacitás használatához
- Ellenőrizze az előskálázás beállítását: Győződjön meg arról, hogy a tűzfal következetesen fenntartja a definiált minCapacity-t.
- Valós idejű skálázási viselkedés nyomon követése: Az Avg aggregációval megtekintheti a valós idejű kapacitásegységeket.
- Jövőbeli igények előrejelzése: A korábbi megfigyelt kapacitás és a forgalmi trendek (például havi csúcsok vagy szezonális események) kombinálásával pontosíthatja a kapacitástervezést.
- Set proaktív riasztások: Azure Monitor riasztások konfigurálása a megfigyelt kapacitás küszöbértékeihez (például a skálázási riasztások száma meghaladja a maxCapacity 80%).
- Korrelál a teljesítménymetrikákkal: Párosítsa a megfigyelt kapacitást az átviteli sebességgel, a késési mintavétellel és az SNAT-portkihasználtsággal annak diagnosztizálásához, hogy a skálázás lépést tart-e az igényekkel.
Tűzfal állapota
Az előző táblázatban a Tűzfal állapotmetrika két dimenzióval rendelkezik:
- Állapot: A lehetséges értékek kifogástalanok, csökkentettek, nem megfelelőek.
- Ok: A tűzfal adott állapotának okát adja meg.
Ha az SNAT-portok több mint 95%használnak, akkor kimerültnek minősülnek, és az állapotuk 50% állapot=Csökkentett és reason=SNAT porttal. A tűzfal folyamatosan dolgozza fel a forgalmat, és a meglévő kapcsolatokra nincs hatással. Előfordulhat azonban, hogy az új kapcsolatok nem hozhatók létre időszakosan.
Ha az SNAT-portok használata 95%-nál kevesebb, akkor a tűzfal állapota kifogástalannak minősül, és a rendszer 100%-osként jeleníti meg az állapotot.
Ha a rendszer nem kap jelentést az SNAT-portok használatáról, az állapot 0%-osként jelenik meg.
SNAT-port kihasználtsága
Az SNAT-port kihasználtsági metrikájában, ha több nyilvános IP-címet ad hozzá a tűzfalhoz, több SNAT-port érhető el, csökkentve az SNAT-portok kihasználtságát. Emellett, ha a tűzfal különböző okokból (például processzor vagy átviteli sebesség) felskáláz, több SNAT-port is elérhetővé válik.
Gyakorlatilag előfordulhat, hogy az SNAT-portok kihasználtságának egy bizonyos százaléka le fog csökkenni anélkül, hogy nyilvános IP-címeket adna hozzá, csak azért, mert a szolgáltatás felskálázva van. Közvetlenül szabályozhatja az elérhető nyilvános IP-címek számát a tűzfalon elérhető portok számának növeléséhez. A tűzfal skálázását azonban nem szabályozhatja közvetlenül.
Ha a tűzfal SNAT-portkimerülésbe ütközik, legalább öt nyilvános IP-címet kell hozzáadnia. Ez növeli az elérhető SNAT-portok számát. További információ: Azure Firewall funkciók.
AZFW-késési mintavétel
Az AZFW Latency Probe metrika az Azure Firewall teljes vagy átlagos késését méri ezredmásodpercben. A rendszergazdák a következő célokra használhatják ezt a metrikát:
- Annak diagnosztizálása, hogy Azure Firewall okoz-e késést a hálózaton
- Késéssel vagy teljesítménnyel kapcsolatos problémák monitorozása és riasztása, hogy az informatikai csapatok proaktív módon vegyenek részt
- Különböző tényezők azonosítása, amelyek nagy késést okozhatnak a Azure Firewall, például a magas processzorhasználat, a magas átviteli sebesség vagy a hálózati problémák
Az AZFW-késési mintavétel metrikáinak mértéke
- Measures: A Azure platformon belüli Azure Firewall késése
- Nem mér: A teljes hálózati útvonal teljes késése. A metrika a tűzfalon belüli teljesítményt tükrözi, nem pedig a hálózatba beszűkülő késést Azure Firewall
- Hibajelentés: Ha a késési metrika nem működik megfelelően, a 0 értéket jelenti a metrikák irányítópultján, ami mintavételi hiba vagy megszakítás jelzését jelzi
A késést befolyásoló tényezők
A tűzfal késését számos tényező befolyásolhatja:
- Magas processzorkihasználtság
- Nagy átviteli sebesség vagy forgalmi terhelés
- Hálózatkezelési problémák a Azure platformon
Késési mintavételek: ICMP-ről TCP-ra
A késési mintavétel jelenleg Microsoft Ping Mesh technológiáját használja, amely az ICMP-n (Internet Control Message Protocol) alapul. Az ICMP alkalmas gyors állapot-ellenőrzésekre, például ping-kérelmekre, de lehet, hogy nem pontosan képviseli a valós alkalmazásforgalmat, amely általában TCP-re támaszkodik. Az ICMP-mintavételek azonban eltérően rangsorolnak a Azure platformon, ami a termékváltozatok közötti eltérést eredményezheti. Az eltérések csökkentése érdekében Azure Firewall TCP-alapú mintavételekre való áttérést tervezi.
Fontos szempontok:
- Késési csúcsok: Az ICMP-mintavételek esetén az időszakos csúcsok normálisak, és a gazdahálózat szokásos viselkedésének részét képezik. Ezeket a kiugró értékeket ne értelmezze tévesen tűzfalproblémáként, hacsak nem maradnak meg.
- Average késése: A Azure Firewall késése a tűzfal termékváltozatától és az üzembe helyezés méretétől függően átlagosan 1 ms és 10 ms között mozog.
Ajánlott eljárások a késés monitorozásához
Alapkonfiguráció beállítása: Hozzon létre egy késési alapkonfigurációt könnyű forgalmi körülmények között a normál vagy csúcshasználat pontos összehasonlításához.
Note
Az alapkonfiguráció létrehozásakor a legutóbbi infrastruktúraváltozások miatt időnkénti metrikanövekedésekre számíthat. Ezek az ideiglenes csúcsok normálisak, és a metrikajelentések kiigazításából erednek, nem pedig a tényleges problémákból. Csak akkor küldjön támogatási kérelmet, ha a kiugró csúcsok az idő múlásával megmaradnak.
Minták monitorozása: A normál műveletek részeként időnkénti késési csúcsok várhatók. Ha a nagy késés a normál változatokon túl is fennáll, az alapos vizsgálatot igénylő problémát jelezhet.
Ajánlott késési küszöbérték: Az ajánlott útmutató szerint a késés nem haladhatja meg az alapkonfiguráció 3-szorosát. Ha átlépi ezt a küszöbértéket, további vizsgálat javasolt.
Ellenőrizze a szabálykorlátot: Győződjön meg arról, hogy a hálózati szabályok a 20K-s szabálykorláton belül vannak. A korlát túllépése hatással lehet a teljesítményre.
Új alkalmazás előkészítése: Ellenőrizze az újonnan előkészített alkalmazásokat, amelyek jelentős terhelést okozhatnak, vagy késési problémákat okozhatnak.
Támogatási kérelem: Ha olyan folyamatos késéscsökkenést észlel, amely nem felel meg a várt viselkedésnek, fontolja meg támogatási jegy benyújtását további segítségért.
Metrikadimenziók
A metrikák dimenzióiról további információt a többdimenziós metrikák című témakörben talál.
Ennek a szolgáltatásnak a metrikáihoz a következő dimenziók vannak társítva.
- Protocol
- Reason
- Status
Erőforrásnaplók
Ez a szakasz a szolgáltatáshoz gyűjthető erőforrásnaplók típusait sorolja fel. A szakasz lekéri a a Azure Monitor által támogatott erőforrásnapló-kategóriatípusok listáját.
A Microsoft támogatott erőforrásnaplói. Network/azureFirewalls
| Category | Kategória megjelenítendő neve | napló táblázat | Támogatja az alapszintű naplótervet | Támogatja a betöltési idő átalakítást | Példakérdések | Exportálási költségek |
|---|---|---|---|---|---|---|
AZFWApplicationRule |
Azure Firewall alkalmazásszabály |
AZFWApplicationRule Az alkalmazásszabály-napló összes adatát tartalmazza. Az adatsík és az alkalmazásszabály közötti egyezések létrehoznak egy naplóbejegyzést az adatsík csomagjával és az egyeztetett szabály attribútumaival. |
Yes | Yes | Queries | Yes |
AZFWApplicationRuleAggregation |
Azure Firewall alkalmazásszabály-összesítés (Policy Analytics) |
AZFWApplicationRuleAggregation A Policy Analytics összesített alkalmazásszabály-naplóadatait tartalmazza. |
Yes | Yes | Yes | |
AZFWDnsAdditional |
DNS-folyamat nyomkövetési naplójának Azure Firewall |
AZFWDnsFlowTrace Az ügyfél, a tűzfal és a DNS-kiszolgáló közötti ÖSSZES DNS-proxyadatot tartalmazza. |
Yes | No | Yes | |
AZFWDnsQuery |
DNS-lekérdezés Azure Firewall |
AZFWDnsQuery Az összes DNS-proxyesemény naplóadatait tartalmazza. |
Yes | Yes | Queries | Yes |
AZFWFatFlow |
Azure Firewall Fat Flow-napló |
AZFWFatFlow Ez a lekérdezés a Azure Firewall példányok felső folyamatait adja vissza. A napló tartalmazza a folyamatadatokat, a dátumátviteli sebességet (megabit/másodperc egységben) és a folyamatok rögzítésének időtartamát. Kérjük, kövesse a dokumentációt a "Top flow" naplózás engedélyezéséhez és annak részleteihez, hogyan rögzítik azt. |
Yes | Yes | Queries | Yes |
AZFWFlowTrace |
Azure Firewall folyamatkövetési naplója |
AZFWFlowTrace Folyamatnaplók Azure Firewall példányok között. A napló folyamatinformációkat, jelzőket és a folyamatok rögzítésének időtartamát tartalmazza. Kövesse a dokumentációt a folyamat nyomkövetési naplózásának engedélyezéséhez és a rögzítés módjának részleteihez. |
Yes | Yes | Queries | Yes |
AZFWFqdnResolveFailure |
Azure Firewall teljes tartománynév feloldási hibája | No | No | Yes | ||
AZFWIdpsSignature |
Azure Firewall IDPS-aláírás |
AZFWIdpsSignature Az összes adatsík-csomagot tartalmazza, amelyek egy vagy több IDPS-aláírással egyeztek meg. |
Yes | Yes | Queries | Yes |
AZFWNatRule |
nat-szabály Azure Firewall |
AZFWNatRule A DNAT (Célhálózati címfordítás) eseménynaplójának összes adatát tartalmazza. Az adatsík és a DNST-szabály közötti minden egyezés létrehoz egy naplóbejegyzést az adatsík-csomaggal és a megfeleltetett szabály attribútumaival. |
Yes | Yes | Queries | Yes |
AZFWNatRuleAggregation |
Azure Firewall Nat-szabály összesítése (Policy Analytics) |
AZFWNatRuleAggregation A Policy Analytics összesített NAT-szabálynapló-adatait tartalmazza. |
Yes | Yes | Yes | |
AZFWNetworkRule |
Azure Firewall hálózati szabály |
AZFWNetworkRule Az összes hálózati szabály naplóadatait tartalmazza. Az adatsík és a hálózati szabály közötti minden egyezés létrehoz egy naplóbejegyzést az adatsík csomagjával és az egyező szabály attribútumaival. |
Yes | Yes | Queries | Yes |
AZFWNetworkRuleAggregation |
Azure Firewall hálózati szabály összesítése (Policy Analytics) |
AZFWNetworkRuleAggregation A Policy Analytics összesített hálózatiszabály-naplóadatait tartalmazza. |
Yes | Yes | Yes | |
AZFWThreatIntel |
Azure Firewall fenyegetésintelligencia |
AZFWThreatIntel Az összes fenyegetésfelderítési eseményt tartalmazza. |
Yes | Yes | Queries | Yes |
AzureFirewallApplicationRule |
Azure Firewall alkalmazásszabály (örökölt Azure Diagnostics) |
AzureDiagnostics Több Azure erőforrás naplói. |
No | No | Queries | No |
AzureFirewallDnsProxy |
Azure Firewall DNS-proxy (örökölt Azure Diagnostics) |
AzureDiagnostics Több Azure erőforrás naplói. |
No | No | Queries | No |
AzureFirewallNetworkRule |
Azure Firewall hálózati szabály (örökölt Azure Diagnostics) |
AzureDiagnostics Több Azure erőforrás naplói. |
No | No | Queries | No |
DNS-folyamat nyomkövetési naplói
A DNS-forgalom nyomkövetési naplói mélyebb betekintést nyújtanak a DNS-tevékenységekbe, így segítenek a rendszergazdáknak elhárítani a megoldási problémákat, és ellenőrizni a forgalom viselkedését.
Korábban a DNS-proxy naplózása a következőre korlátozódott:
- AZFWDNSQuery – a kezdeti ügyfél-lekérdezés
- AZFWInternalFqdnResolutionFailure – FQDN-feloldási hibák
A DNS-folyamat nyomkövetési naplóival a rendszergazdák nyomon követhetik a teljes DNS-feloldási folyamatot az ügyfél-lekérdezésből a dns-proxyként Azure Firewall keresztül a külső DNS-kiszolgálóig, majd vissza az ügyfélhez.
DNS-feloldási szakaszok
A naplók a következő fázisokat rögzítik:
- Ügyfél-lekérdezés: Az ügyfél által küldött kezdeti DNS-lekérdezés
- Forwarder-lekérdezés: Azure Firewall a lekérdezés továbbítása külső DNS-kiszolgálóra (ha nem gyorsítótárazott)
- Forwarder-válasz: A DNS-kiszolgáló válasza Azure Firewall
- Küldő válasz: A végleges feloldott válasz Azure Firewall vissza az ügyfélnek
Az alábbi ábra a DNS-lekérdezési folyamat magas szintű vizuális ábrázolását mutatja be:
Ezek a naplók értékes megállapításokat nyújtanak, például:
- Lekérdezett DNS-kiszolgáló
- Megoldott IP-címek
- A Azure Firewall gyorsítótár használata
DNS-folyamat nyomkövetési naplóinak engedélyezése
A DNS-forgalom nyomkövetési naplóinak beállítása előtt engedélyeznie kell a funkciót a Azure PowerShell használatával.
Naplók engedélyezése (előfeltétel)
Futtassa a következő parancsokat Azure PowerShell, és cserélje le a helyőrzőket az értékekre:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableDnstapLogging = $true
Set-AzFirewall -AzureFirewall $firewall
Naplók letiltása (nem kötelező)
A naplók letiltásához használja az előző Azure PowerShell parancsot, és állítsa az értéket False:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableDnstapLogging = $false
Set-AzFirewall -AzureFirewall $firewall
DNS-proxy és DNS-folyamat nyomkövetési naplóinak konfigurálása
A DNS-proxy konfigurálásához és a DNS-folyamat nyomkövetési naplóinak engedélyezéséhez kövesse az alábbi lépéseket:
DNS-proxy engedélyezése:
- Lépjen Azure Firewall DNS-beállításokhoz, és engedélyezze a DNS-proxyt.
- Egyéni DNS-kiszolgáló konfigurálása vagy az alapértelmezett Azure DNS használata.
- Lépjen Virtual Network DNS-beállításokhoz, és állítsa be a tűzfal privát IP-címét elsődleges DNS-kiszolgálóként.
DNS-folyamat nyomkövetési naplóinak engedélyezése:
- Lépjen Azure Firewall a Azure portálon.
- Válassza a Diagnosztikai beállítások lehetőséget a Figyelés csoportban.
- Válasszon egy meglévő diagnosztikai beállítást, vagy hozzon létre egy újat.
- A Napló szakaszban válassza a DNS-folyamat nyomkövetési naplóit.
- Válassza ki a kívánt célhelyet (Log Analytics vagy tárfiókot).
Note
A DNS Flow Trace Logs nem támogatott, ha az Event Hub célállomásként szolgál.
- Mentse a beállításokat.
A konfiguráció tesztelése:
- DNS-lekérdezéseket hozhat létre az ügyfelektől, és ellenőrizheti a naplókat a kiválasztott célhelyen.
A naplók ismertetése
Minden naplóbejegyzés a DNS-feloldási folyamat egy adott szakaszának felel meg. Az alábbi táblázat a naplótípusokat és a kulcsmezőket ismerteti:
| Típus | Description | Kulcsmezők |
|---|---|---|
Client Query |
Az ügyfél által küldött kezdeti DNS-lekérdezés. |
SourceIp: Az ügyfél belső IP-címe, amely a DNS-kérést küldi, QueryMessage: A teljes DNS-lekérdezés hasznos adata, beleértve a kért tartományt is |
Forwarder Query |
Azure Firewall dns-lekérdezés továbbítása külső DNS-kiszolgálóra (ha nem gyorsítótárazott). |
ServerIp: A lekérdezést fogadó külső DNS-kiszolgáló IP-címe: QueryMessageA továbbított DNS-lekérdezés hasznos adata, azonos vagy az ügyfélkérés alapján |
Forwarder Response |
A DNS-kiszolgáló válasza a Azure Firewall. |
ServerMessage: A dns-válasz hasznos adatai a külső kiszolgálóról., AnswerSection: Feloldott IP-címeket, CNAM-okat és a DNSSEC-érvényesítési eredményeket tartalmazza (ha van). |
Client Response |
A végleges feloldott válasz Azure Firewall vissza az ügyfélnek. |
ResolvedIp: A lekérdezett tartomány ResponseTimeIP-címe (vagy címei), : A lekérdezés feloldásához szükséges teljes idő, az ügyfél kérésétől a visszaadott válaszig mérve |
A fenti mezők csak az egyes naplóbejegyzések elérhető mezőinek egy részét képezik.
Főbb megjegyzések:
- Ha a DNS-gyorsítótárat használja, a rendszer csak ügyfél-lekérdezési és ügyfélválasz-bejegyzéseket hoz létre.
- A naplók olyan szabványos metaadatokat tartalmaznak, mint az időbélyegek, a forrás-/cél IP-címek, a protokollok és a DNS-üzenetek tartalma.
- A sok rövid élettartamú lekérdezéssel rendelkező környezetekben a túlzott naplómennyiség elkerülése érdekében csak akkor engedélyezzen további DNS-proxynaplókat, ha mélyebb DNS-hibaelhárításra van szükség.
Felső folyamatok
A felső folyamatok naplója fat folyamatnaplóként ismert és az előző táblázatban Azure Firewall Fat Flow Log néven ismert. A legfelső folyamatok naplója azokat a legfelső kapcsolatokat jeleníti meg, amelyek a tűzfalon keresztül járulnak hozzá a legmagasabb átviteli sebességhez.
Tip
Csak akkor aktiválja a legfelső szintű folyamatnaplókat, ha egy adott problémát elhárít, hogy elkerülje a Azure Firewall túlzott processzorhasználatát.
A folyamat sebessége a másodpercenkénti megabites adatátviteli sebességként van definiálva. Ez annak a digitális adatmennyiségnek a mértéke, amely a hálózaton keresztül a tűzfalon keresztül egy adott időszakban továbbítható. A Top Flow protokoll három percenként rendszeres időközönként fut. A Top Flow minimális küszöbértéke 1 Mbps.
A legfelső szintű folyamatok naplóinak engedélyezése
A topfolyamat-naplók engedélyezéséhez használja az alábbi Azure PowerShell parancsokat:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall
A legfelső folyamatok naplóinak letiltása
A naplók letiltásához használja ugyanazt a Azure PowerShell parancsot, és állítsa az értéket False értékre. Például:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall
A konfiguráció ellenőrzése
A frissítés sikerességét többféleképpen is ellenőrizheti. Lépjen a tűzfal áttekintésére , és válassza a JSON nézetet a jobb felső sarokban. Íme egy példa:
Diagnosztikai beállítás létrehozásához és az erőforrás-specifikus tábla engedélyezéséhez lásd: Diagnosztikai beállítások létrehozása Azure Monitor.
Folyamatkövetés
A tűzfalnaplók a TCP-kapcsolat első kísérletében, azaz a SYN-csomagban jelenítik meg a tűzfalon keresztüli forgalmat. Egy ilyen bejegyzés azonban nem jeleníti meg a csomag teljes útját a TCP-kézfogásban. Emiatt nehéz hibaelhárítást végezni, ha egy csomag el van dobva, vagy aszimmetrikus útválasztás történt. A Azure Firewall folyamat nyomkövetési naplója foglalkozik ezzel a problémával.
Tip
A sok rövid élettartamú kapcsolattal rendelkező Azure Firewall folyamatkövetési naplói által okozott túlzott lemezhasználat elkerülése érdekében csak akkor aktiválja a naplókat, ha diagnosztikai okokból elhárít egy adott problémát.
Note
A folyamatkövetési naplók rögzítik a hálózati szabályok és NAT-szabályok által kiértékelt forgalmat (3/4. réteg). Az alkalmazásszabályok által kiértékelt forgalom (7. réteg) nem szerepel a Flow Trace-naplókban. Az alkalmazásszabály-tevékenység figyeléséhez használja Azure Firewall alkalmazásszabály-naplókat.
Folyamatkövetés tulajdonságai
A következő tulajdonságok vehetők fel:
SYN-ACK: ACK-jelző, amely a SYN-csomag elismerését jelzi.
FIN: Az eredeti csomagfolyamat befejeződött jelzője. A TCP-folyamat nem továbbít több adatot.
FIN-ACK: ACK-jelző, amely a FIN-csomag nyugtázását jelzi.
RST: Az Alaphelyzetbe állítás jelző azt jelzi, hogy az eredeti feladó nem kap több adatot.
ÉRVÉNYTELEN (folyamatok): Azt jelzi, hogy a csomag nem azonosítható vagy nincs állapotban.
Például:
- A TCP-csomagok egy Virtual Machine Scale Sets példányra szállnak, amely nem rendelkezik a csomag előzményeivel
- Hibás CheckSum-csomagok
- A Kapcsolatkövetés tábla bejegyzése megtelt, és az új kapcsolatok nem fogadhatók el
- Túl késleltetett ACK-csomagok
Folyamatkövetési naplók engedélyezése
A flow-nyomkövetési naplók engedélyezéséhez használja az alábbi Azure PowerShell parancsokat. Másik lehetőségként navigáljon a portálon, és keresse meg a TCP-kapcsolat naplózásának engedélyezését:
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
A módosítás érvénybe lépése több percet is igénybe vehet. A szolgáltatás regisztrálása után fontolja meg a módosítás azonnali érvénybe léptetését Azure Firewall frissítésének elvégzését.
Regisztrációs állapot ellenőrzése
Az AzResourceProvider-regisztráció állapotának ellenőrzéséhez futtassa a következő Azure PowerShell parancsot:
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
Folyamatkövetési naplók letiltása
A napló letiltásához használja az alábbi Azure PowerShell parancsokat:
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Unregister-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
Set-AzFirewall -AzureFirewall $firewall
Diagnosztikai beállítás létrehozásához és az erőforrás-specifikus tábla engedélyezéséhez lásd: Diagnosztikai beállítások létrehozása Azure Monitor.
Azure Monitor Naplótáblák
Ez a szakasz a szolgáltatáshoz kapcsolódó Azure Monitor naplótáblákat sorolja fel, amelyek a Kusto-lekérdezések használatával Log Analytics lekérdezésekhez érhetők el. A táblák erőforrásnapló-adatokat tartalmaznak, és valószínűleg többet is, attól függően, hogy mit gyűjtenek és irányítanak hozzájuk.
Azure Firewall Microsoft. Network/azureFirewalls
- AZFWNetworkRule
- AZFWFatFlow
- AZFWFlowTrace
- AZFWApplicationRule
- AZFWThreatIntel
- AZFWNatRule
- AZFWIdpsSignature
- AZFWDnsQuery
- AZFWInternalFqdnResolutionFailure
- AZFWNetworkRuleAggregation
- AZFWApplicationRuleAggregation
- AZFWNatRuleAggregation
- AzureActivity
- AzureMetrics
- AzureDiagnostics
Tevékenységnapló
A csatolt tábla felsorolja a szolgáltatás tevékenységnaplójában rögzíthető műveleteket. Ezek a műveletek a tevékenységnapló összes lehetséges erőforrás-szolgáltatói műveletének egy részét képezik.
A tevékenységnapló-bejegyzések sémájára vonatkozó további információkért lásd : Tevékenységnapló séma.
Kapcsolódó tartalom
- A monitorozási Azure Firewall leírását lásd: Monitor Azure Firewall.
- A Szabálykészlet módosításainak követése részletes Azure Resource Graph lekérdezések a tűzfalszabály-módosítások nyomon követéséhez.
- A Azure erőforrások monitorozásával kapcsolatos részletekért tekintse meg Monitor Azure erőforrásokat Azure Monitor.