Felső folyamatok és folyamatok nyomkövetési naplóinak engedélyezése az Azure Firewallban

Az Azure Firewall két új diagnosztikai naplóval rendelkezik, amelyekkel figyelheti a tűzfalat:

• Felső folyamatok
• Folyamatkövetés

Felső folyamatok

A Top flow-napló (az iparágban Fat Flow-ként ismert) a tűzfalon keresztül a legmagasabb átviteli sebességhez hozzájáruló legfelső kapcsolatokat jeleníti meg.

Tipp.

A legfelső szintű folyamatok naplóinak aktiválása csak egy adott probléma elhárításakor, az Azure Firewall túlzott processzorhasználatának elkerülése érdekében.

A folyamat sebessége az adatátviteli sebesség (megabit/másodperc egységben). Más szóval ez annak a digitális adatmennyiségnek a mértéke, amely egy hálózaton keresztül a tűzfalon keresztül egy adott időszakban továbbítható. A Top Flow protokoll három percenként rendszeres időközönként fut. A Top Flow minimális küszöbértéke 1 Mbps.

Előfeltételek

• Strukturált naplók engedélyezése
• Használja az Azure Resource Specific Table formátumot diagnosztikai Gépház.

A napló engedélyezése

Engedélyezze a naplót az alábbi Azure PowerShell-parancsokkal:

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall

A napló letiltása

A naplók letiltásához használja ugyanazt az Előző Azure PowerShell-parancsot, és állítsa az értéket Hamis értékre.

Példa:

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall

A frissítés ellenőrzése

A frissítés sikerességét többféleképpen is ellenőrizheti, de a jobb felső sarokban navigálhat a tűzfal áttekintésére , és kiválaszthatja a JSON nézetet . Például:

Diagnosztikai beállítás létrehozása és erőforrás-specifikus tábla engedélyezése

1. A Diagnosztikai beállítások lapon válassza a Diagnosztikai beállítás hozzáadása lehetőséget.
2. Adjon meg egy diagnosztikai beállításnevet.
3. Válassza az Azure Firewall Fat Flow-naplója lehetőséget a Kategóriák és a tűzfalon támogatni kívánt egyéb naplók területen.
4. A Céladatok területen válassza a Küldés a Log Analytics-munkaterületre lehetőséget.
   1. Válassza ki a kívánt előfizetést és előre konfigurált Log Analytics-munkaterületet.
   2. Erőforrás-specifikus engedélyezése.

Azure Firewall-naplók megtekintése és elemzése

1. Egy tűzfalerőforráson keresse meg a Naplók lapot a Figyelés lapon.

2. Válassza a Lekérdezések lehetőséget, majd töltse be az Azure Firewall top flow-naplóit úgy, hogy rámutat a beállításra, és válassza a Betöltés a szerkesztőbe lehetőséget.

3. Amikor a lekérdezés betöltődik, válassza a Futtatás lehetőséget.

   

Folyamatkövetés

A tűzfalnaplók jelenleg a TCP-kapcsolat első kísérletében, úgynevezett SYN-csomagban jelenítik meg a tűzfalon keresztüli forgalmat. Ez azonban nem jeleníti meg a csomag teljes útját a TCP-kézfogásban. Emiatt nehéz hibaelhárítást végezni, ha egy csomag el van dobva, vagy aszimmetrikus útválasztás történt.

Tipp.

A sok rövid élettartamú kapcsolattal rendelkező Azure Firewall flow nyomkövetési naplói által okozott túlzott lemezhasználat elkerülése érdekében csak akkor aktiválja a naplókat, ha diagnosztikai okokból elhárít egy adott problémát.

A következő további tulajdonságok vehetők fel:

• SYN-ACK

  ACK-jelző, amely a SYN-csomag nyugtázását jelzi.

• FIN

  Az eredeti csomagfolyamat befejeződött jelzője. A TCP-folyamat nem továbbít több adatot.

• FIN-ACK

  ACK-jelző, amely a FIN-csomag nyugtázását jelzi.

• RST

  Az Alaphelyzetbe állítás jelző azt jelzi, hogy az eredeti feladó nem kap több adatot.

• ÉRVÉNYTELEN (folyamatok)

  Azt jelzi, hogy a csomag nem azonosítható vagy nincs állapotban.

  Példa:

  • A TCP-csomagok egy virtuálisgép-méretezési csoportok példányára szállnak, amely nem rendelkezik a csomag előzményeivel
  • Hibás CheckSum-csomagok
  • Csatlakozás ion Tracking table entry is full and new connections can accepted
  • Túl késleltetett ACK-csomagok

A folyamatkövetési naplókat, például a SYN-ACK-et és az ACK-et kizárólag a hálózati forgalom naplózza. Emellett a SYN-csomagokat alapértelmezés szerint nem naplózza a rendszer. A kezdeti SYN-csomagokat azonban a hálózati szabálynaplókban érheti el.

Előfeltételek

• Strukturált naplók engedélyezése.
• Használja az Azure Resource Specific Table formátumot diagnosztikai Gépház.

A napló engedélyezése

Engedélyezze a naplót az alábbi Azure PowerShell-parancsokkal, vagy navigáljon a portálon, és keresse meg a TCP Csatlakozás ion naplózásának engedélyezését:

Connect-AzAccount 
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

A hatás érvénybe lépése több percet is igénybe vehet. A szolgáltatás regisztrálása után fontolja meg egy frissítés végrehajtását az Azure Firewallon, hogy a módosítás azonnal érvénybe lépjen.

Az AzResourceProvider-regisztráció állapotának ellenőrzéséhez futtassa az Azure PowerShell-parancsot:

Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"

A napló letiltása

A napló letiltásához törölje a regisztrációt az alábbi paranccsal, vagy válassza a regisztráció törlését az előző portál példájában.

Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"

Diagnosztikai beállítás létrehozása és erőforrás-specifikus tábla engedélyezése

1. A Diagnosztikai beállítások lapon válassza a Diagnosztikai beállítás hozzáadása lehetőséget.
2. Adjon meg egy diagnosztikai beállításnevet.
3. Válassza az Azure Firewall Flow nyomkövetési naplója lehetőséget a Kategóriák és a tűzfalon támogatni kívánt egyéb naplók területen.
4. A Céladatok területen válassza a Küldés a Log Analytics-munkaterületre lehetőséget.
   1. Válassza ki a kívánt előfizetést és előre konfigurált Log Analytics-munkaterületet.
   2. Erőforrás-specifikus engedélyezése.

Az Azure Firewall Flow nyomkövetési naplóinak megtekintése és elemzése

1. Egy tűzfalerőforráson keresse meg a Naplók lapot a Figyelés lapon.

2. Válassza a Lekérdezések lehetőséget, majd töltse be az Azure Firewall folyamatkövetési naplóit úgy, hogy rámutat a beállításra, és válassza a Betöltés a szerkesztőbe lehetőséget.

3. Amikor a lekérdezés betöltődik, válassza a Futtatás lehetőséget.

   

Következő lépések

• Azure strukturált tűzfalnaplók