Felső folyamatok és folyamatok nyomkövetési naplóinak engedélyezése az Azure Firewallban
Az Azure Firewall két új diagnosztikai naplóval rendelkezik, amelyekkel figyelheti a tűzfalat:
- Felső folyamatok
- Folyamatkövetés
Felső folyamatok
A Top flow-napló (az iparágban Fat Flow-ként ismert) a tűzfalon keresztül a legmagasabb átviteli sebességhez hozzájáruló legfelső kapcsolatokat jeleníti meg.
Tipp.
A legfelső szintű folyamatok naplóinak aktiválása csak egy adott probléma elhárításakor, az Azure Firewall túlzott processzorhasználatának elkerülése érdekében.
A folyamat sebessége az adatátviteli sebesség (megabit/másodperc egységben). Más szóval ez annak a digitális adatmennyiségnek a mértéke, amely egy hálózaton keresztül a tűzfalon keresztül egy adott időszakban továbbítható. A Top Flow protokoll három percenként rendszeres időközönként fut. A Top Flow minimális küszöbértéke 1 Mbps.
Előfeltételek
- Strukturált naplók engedélyezése
- Használja az Azure Resource Specific Table formátumot diagnosztikai Gépház.
A napló engedélyezése
Engedélyezze a naplót az alábbi Azure PowerShell-parancsokkal:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall
A napló letiltása
A naplók letiltásához használja ugyanazt az Előző Azure PowerShell-parancsot, és állítsa az értéket Hamis értékre.
Példa:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall
A frissítés ellenőrzése
A frissítés sikerességét többféleképpen is ellenőrizheti, de a jobb felső sarokban navigálhat a tűzfal áttekintésére , és kiválaszthatja a JSON nézetet . Például:
Diagnosztikai beállítás létrehozása és erőforrás-specifikus tábla engedélyezése
- A Diagnosztikai beállítások lapon válassza a Diagnosztikai beállítás hozzáadása lehetőséget.
- Adjon meg egy diagnosztikai beállításnevet.
- Válassza az Azure Firewall Fat Flow-naplója lehetőséget a Kategóriák és a tűzfalon támogatni kívánt egyéb naplók területen.
- A Céladatok területen válassza a Küldés a Log Analytics-munkaterületre lehetőséget.
- Válassza ki a kívánt előfizetést és előre konfigurált Log Analytics-munkaterületet.
- Erőforrás-specifikus engedélyezése.
Azure Firewall-naplók megtekintése és elemzése
Egy tűzfalerőforráson keresse meg a Naplók lapot a Figyelés lapon.
Válassza a Lekérdezések lehetőséget, majd töltse be az Azure Firewall top flow-naplóit úgy, hogy rámutat a beállításra, és válassza a Betöltés a szerkesztőbe lehetőséget.
Amikor a lekérdezés betöltődik, válassza a Futtatás lehetőséget.
Folyamatkövetés
A tűzfalnaplók jelenleg a TCP-kapcsolat első kísérletében, úgynevezett SYN-csomagban jelenítik meg a tűzfalon keresztüli forgalmat. Ez azonban nem jeleníti meg a csomag teljes útját a TCP-kézfogásban. Emiatt nehéz hibaelhárítást végezni, ha egy csomag el van dobva, vagy aszimmetrikus útválasztás történt.
Tipp.
A sok rövid élettartamú kapcsolattal rendelkező Azure Firewall flow nyomkövetési naplói által okozott túlzott lemezhasználat elkerülése érdekében csak akkor aktiválja a naplókat, ha diagnosztikai okokból elhárít egy adott problémát.
A következő további tulajdonságok vehetők fel:
SYN-ACK
ACK-jelző, amely a SYN-csomag nyugtázását jelzi.
FIN
Az eredeti csomagfolyamat befejeződött jelzője. A TCP-folyamat nem továbbít több adatot.
FIN-ACK
ACK-jelző, amely a FIN-csomag nyugtázását jelzi.
RST
Az Alaphelyzetbe állítás jelző azt jelzi, hogy az eredeti feladó nem kap több adatot.
ÉRVÉNYTELEN (folyamatok)
Azt jelzi, hogy a csomag nem azonosítható vagy nincs állapotban.
Példa:
- A TCP-csomagok egy virtuálisgép-méretezési csoportok példányára szállnak, amely nem rendelkezik a csomag előzményeivel
- Hibás CheckSum-csomagok
- Csatlakozás ion Tracking table entry is full and new connections can accepted
- Túl késleltetett ACK-csomagok
A folyamatkövetési naplókat, például a SYN-ACK-et és az ACK-et kizárólag a hálózati forgalom naplózza. Emellett a SYN-csomagokat alapértelmezés szerint nem naplózza a rendszer. A kezdeti SYN-csomagokat azonban a hálózati szabálynaplókban érheti el.
Előfeltételek
- Strukturált naplók engedélyezése.
- Használja az Azure Resource Specific Table formátumot diagnosztikai Gépház.
A napló engedélyezése
Engedélyezze a naplót az alábbi Azure PowerShell-parancsokkal, vagy navigáljon a portálon, és keresse meg a TCP Csatlakozás ion naplózásának engedélyezését:
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
A hatás érvénybe lépése több percet is igénybe vehet. A szolgáltatás regisztrálása után fontolja meg egy frissítés végrehajtását az Azure Firewallon, hogy a módosítás azonnal érvénybe lépjen.
Az AzResourceProvider-regisztráció állapotának ellenőrzéséhez futtassa az Azure PowerShell-parancsot:
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
A napló letiltása
A napló letiltásához törölje a regisztrációt az alábbi paranccsal, vagy válassza a regisztráció törlését az előző portál példájában.
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
Diagnosztikai beállítás létrehozása és erőforrás-specifikus tábla engedélyezése
- A Diagnosztikai beállítások lapon válassza a Diagnosztikai beállítás hozzáadása lehetőséget.
- Adjon meg egy diagnosztikai beállításnevet.
- Válassza az Azure Firewall Flow nyomkövetési naplója lehetőséget a Kategóriák és a tűzfalon támogatni kívánt egyéb naplók területen.
- A Céladatok területen válassza a Küldés a Log Analytics-munkaterületre lehetőséget.
- Válassza ki a kívánt előfizetést és előre konfigurált Log Analytics-munkaterületet.
- Erőforrás-specifikus engedélyezése.
Az Azure Firewall Flow nyomkövetési naplóinak megtekintése és elemzése
Egy tűzfalerőforráson keresse meg a Naplók lapot a Figyelés lapon.
Válassza a Lekérdezések lehetőséget, majd töltse be az Azure Firewall folyamatkövetési naplóit úgy, hogy rámutat a beállításra, és válassza a Betöltés a szerkesztőbe lehetőséget.
Amikor a lekérdezés betöltődik, válassza a Futtatás lehetőséget.