Az Azure Firewall naplóinak és metrikáinak áttekintése

  • Cikk

Az Azure Firewall naplói és metrikái segítségével figyelheti a tűzfalon belüli forgalmat és műveleteket. Ezek a naplók és metrikák számos alapvető célt szolgálnak, például:

  • Forgalomelemzés: Naplókkal vizsgálja meg és elemezze a tűzfalon áthaladó forgalmat. Ez magában foglalja az engedélyezett és megtagadott forgalom vizsgálatát, a forrás- és cél IP-címek, URL-címek, portszámok, protokollok stb. vizsgálatát. Ezek az elemzések nélkülözhetetlenek a forgalmi minták megértéséhez, a potenciális biztonsági fenyegetések azonosításához és a csatlakozási problémák elhárításához.

  • Teljesítmény- és állapotmetrikák: Az Azure Firewall-metrikák teljesítmény- és állapotmetrikákat biztosítanak, például a feldolgozott adatokat, az átviteli sebességet, a szabályütemek számát és a késést. Ezeket a metrikákat figyelve felmérheti a tűzfal általános állapotát, azonosíthatja a teljesítmény szűk keresztmetszeteit, és észlelheti az esetleges rendellenességeket.

  • Naplózási naplók: A tevékenységnaplók lehetővé teszik a tűzfalerőforrásokhoz kapcsolódó műveletek naplózását, valamint olyan műveletek rögzítését, mint a tűzfalszabályok és szabályzatok létrehozása, frissítése vagy törlése. A tevékenységnaplók áttekintése segít a konfigurációváltozások előzményeinek nyilvántartásában, és biztosítja a biztonsági és naplózási követelményeknek való megfelelést.

Megtekintés és tárolás

A naplók és metrikák az Azure Portalon érhetők el, több tárolási és elemzési lehetőséggel:

  • Log Analytics-munkaterület (az Azure Monitorral): Az Azure Firewall-naplók és metrikák központosítása egy Log Analytics-munkaterületen a speciális elemzéshez, a testreszabott irányítópult-létrehozáshoz és a riasztások meghatározott metrikaküszöbök alapján történő beállításához.

  • Tárfiók: Naplókat tárol egy Azure Storage-fiókban a hosszú távú megőrzéshez és a külső naplóelemzési eszközökkel való integrációhoz.

  • Event Hub: Azure Firewall-naplók streamelése az Azure Event Hubba a külső SIEM-megoldásokkal való valós idejű feldolgozáshoz, elemzéshez vagy integrációhoz.

  • Partnermegoldások: Azure Firewall-naplók küldése külső partnermegoldásoknak további elemzéshez és más biztonsági adatokkal való korrelációhoz.

Az Azure Firewall naplózási és metrikakonfigurációs beállításai általában az Azure Portalon keresztül végezhetők el. Ez lehetővé teszi a naplók és metrikák célhelyének megadását, valamint a szervezet figyelési és biztonsági követelményeinek megfelelő adatmegőrzési és riasztási konfigurációk beállítását.

Structured logs

Az Azure Firewall monitorozása strukturált naplókkal, amelyek előre definiált sémát használnak a naplóadatok strukturálásához a könnyű keresés, szűrés és elemzés érdekében. Ezek a naplók olyan információkat tartalmaznak, mint a forrás- és cél IP-címek, protokollok, portszámok és tűzfalműveletek. A strukturált naplók fő naplótípusként való beállításának rangsorolása erőforrás-specifikus táblák használatával a meglévő AzureDiagnostics-tábla helyett. A naplók engedélyezéséhez és a naplókategóriák megismeréséhez tekintse meg az Azure Strukturált tűzfalnaplók című témakört.

Örökölt Azure Diagnostics-naplók

Az örökölt Azure Diagnostic-naplók az eredeti Azure Firewall-napló lekérdezések, amelyek strukturálatlan vagy szabad formátumú szöveges formátumban adnak ki naplóadatokat. Az Azure Firewall örökölt naplókategóriái Azure diagnosztikai módot használnak, és teljes adatokat gyűjtenek az AzureDiagnostics táblában. Ha strukturált és diagnosztikai naplókra is szükség van, tűzfalonként legalább két diagnosztikai beállítást kell létrehozni. A naplók engedélyezéséhez és a naplókategóriák megismeréséhez tekintse meg az Azure Firewall diagnosztikai naplóit.

Metrics

Az Azure Monitor metrikái numerikus értékek, amelyek egy adott időpontban a rendszer jellemzőit írják le. A percenként összegyűjtött metrikák a gyakori mintavételezés miatt hasznosak a riasztásokhoz. A riasztásokat viszonylag egyszerű logikával gyorsan konfigurálhatja. Az elérhető metrikákról és az Azure Firewall riasztásainak konfigurálásáról az Azure Firewall metrikái és riasztásai című témakörben olvashat.

Tevékenységnaplók

A tevékenységnapló-bejegyzések alapértelmezés szerint összegyűjthetők, és megtekinthetők az Azure Portalon. Az Azure-tevékenységnaplók (korábbi nevén működési naplók és auditnaplók) használatával megtekintheti az Azure-előfizetéshez küldött összes műveletet.

További lépések