Az Azure Firewall monitorozása
Ez a cikk a következőket ismerteti:
- A szolgáltatáshoz gyűjthető monitorozási adatok típusai.
- Az adatok elemzésének módjai.
Feljegyzés
Ha már ismeri ezt a szolgáltatást és/vagy az Azure Monitort, és csak tudni szeretné, hogyan elemezheti a figyelési adatokat, tekintse meg a cikk végén található Elemzés szakaszt.
Ha olyan kritikus alkalmazásokkal és üzleti folyamatokkal rendelkezik, amelyek Az Azure-erőforrásokra támaszkodnak, figyelnie kell és riasztásokat kell kapnia a rendszeréről. Az Azure Monitor szolgáltatás a rendszer minden összetevőjéből gyűjti és összesíti a metrikákat és naplókat. Az Azure Monitor áttekintést nyújt a rendelkezésre állásról, a teljesítményről és a rugalmasságról, és értesíti Önt a problémákról. A monitorozási adatok beállításához és megtekintéséhez használhatja az Azure Portalt, a PowerShellt, az Azure CLI-t, a REST API-t vagy az ügyfélkódtárakat.
- Az Azure Monitorral kapcsolatos további információkért tekintse meg az Azure Monitor áttekintését.
- Az Azure-erőforrások általános monitorozásával kapcsolatos további információkért lásd : Azure-erőforrások monitorozása az Azure Monitorral.
Az Azure Firewall naplói és metrikái segítségével figyelheti a tűzfalon belüli forgalmat és műveleteket. Ezek a naplók és metrikák számos alapvető célt szolgálnak, például:
Forgalomelemzés: Naplókkal vizsgálja meg és elemezze a tűzfalon áthaladó forgalmat. Ez az elemzés magában foglalja az engedélyezett és megtagadott forgalom vizsgálatát, a forrás- és cél IP-címek, URL-címek, portszámok, protokollok stb. vizsgálatát. Ezek az elemzések nélkülözhetetlenek a forgalmi minták megértéséhez, a potenciális biztonsági fenyegetések azonosításához és a csatlakozási problémák elhárításához.
Teljesítmény- és állapotmetrikák: Az Azure Firewall-metrikák teljesítmény- és állapotmetrikákat biztosítanak, például a feldolgozott adatokat, az átviteli sebességet, a szabályütemek számát és a késést. Ezeket a metrikákat figyelve felmérheti a tűzfal általános állapotát, azonosíthatja a teljesítmény szűk keresztmetszeteit, és észlelheti az esetleges rendellenességeket.
Naplózási naplók: A tevékenységnaplók lehetővé teszik a tűzfalerőforrásokhoz kapcsolódó műveletek naplózását, valamint olyan műveletek rögzítését, mint a tűzfalszabályok és szabályzatok létrehozása, frissítése vagy törlése. A tevékenységnaplók áttekintése segít a konfigurációváltozások előzményeinek nyilvántartásában, és biztosítja a biztonsági és naplózási követelményeknek való megfelelést.
Erőforrástípusok
Az Azure az erőforrástípusok és azonosítók fogalmát használja az előfizetések minden elemének azonosítására. Az erőforrástípusok az Azure-ban futó összes erőforrás erőforrásazonosítóinak is részét képezik. A virtuális gépek egyik erőforrástípusa például az Microsoft.Compute/virtualMachines
. A szolgáltatások és a hozzájuk kapcsolódó erőforrástípusok listáját az Erőforrás-szolgáltatók című témakörben találja.
Az Azure Monitor hasonlóan rendszerezi az alapvető monitorozási adatokat metrikákba és naplókba az erőforrástípusok, más néven névterek alapján. Különböző metrikák és naplók érhetők el a különböző erőforrástípusokhoz. Előfordulhat, hogy a szolgáltatás több erőforrástípushoz is társítva van.
Az Azure Firewall erőforrástípusairól további információt az Azure Firewall monitorozási adathivatkozásában talál.
Adattárolás
Azure Monitor esetén:
- A metrikák adatait az Azure Monitor metrikák adatbázisa tárolja.
- A naplóadatok tárolása az Azure Monitor naplók tárolójában történik. A Log Analytics egy eszköz az Azure Portalon, amely le tudja kérdezni ezt az áruházat.
- Az Azure-tevékenységnapló egy külön tároló, amelynek saját felülete van az Azure Portalon.
A metrikák és a tevékenységnaplók adatait igény szerint átirányíthatja az Azure Monitor-naplók tárolójába. Ezután a Log Analytics használatával lekérdezheti az adatokat, és összehasonlíthatja azokat más naplóadatokkal.
Számos szolgáltatás diagnosztikai beállításokkal küldhet metrikákat és naplóadatokat az Azure Monitoron kívüli más tárolóhelyekre. Ilyenek például az Azure Storage, a üzemeltetett partnerrendszerek és a nem Azure-beli partnerrendszerek az Event Hubs használatával.
Az Azure Monitor adatainak tárolásáról az Azure Monitor adatplatformja nyújt részletes tájékoztatást.
Az Azure Monitor platformmetrikái
Az Azure Monitor platformmetrikát biztosít a legtöbb szolgáltatáshoz. Ezek a metrikák a következők:
- Egyedileg definiálva minden névtérhez.
- Az Azure Monitor idősoros metrikák adatbázisában tárolva.
- Könnyű és képes közel valós idejű riasztások támogatására.
- Egy erőforrás teljesítményének nyomon követésére szolgál az idő függvényében.
Gyűjtemény: Az Azure Monitor automatikusan gyűjti a platformmetrikákat. Nem igényel konfigurálást.
Útválasztás: A platformmetrikákat általában az Azure Monitor-naplókhoz/Log Analyticshez is átirányíthatja, így más naplóadatokkal is lekérdezheti őket. További információt a Metrikák diagnosztikai beállításában talál. A szolgáltatás diagnosztikai beállításainak konfigurálásához lásd : Diagnosztikai beállítások létrehozása az Azure Monitorban.
Az Azure Monitor összes erőforrásához gyűjthető metrikák listájáért tekintse meg az Azure Monitor támogatott metrikáit.
Az Azure Firewallhoz elérhető metrikák listájáért tekintse meg az Azure Firewall monitorozási adatreferenciáját.
Azure Monitor-erőforrásnaplók
Az erőforrásnaplók betekintést nyújtanak az Azure-erőforrások által végrehajtott műveletekbe. A naplók automatikusan jönnek létre, de a mentésükhöz vagy lekérdezésükhöz az Azure Monitor naplóihoz kell irányítani őket. A naplók kategóriákba vannak rendezve. Egy adott névtér több erőforrásnapló-kategóriával is rendelkezhet.
Gyűjtemény: Az erőforrásnaplók csak akkor lesznek összegyűjtve és tárolva, ha diagnosztikai beállítást hoz létre, és a naplókat egy vagy több helyre irányítja. Diagnosztikai beállítás létrehozásakor meg kell adnia, hogy milyen kategóriájú naplókat kíván gyűjteni. A diagnosztikai beállításokat többféleképpen is létrehozhatja és karbantarthatja, beleértve az Azure Portalt is, programozott módon, és bár az Azure Policyt.
Útválasztás: A javasolt alapértelmezett beállítás az erőforrásnaplók Azure Monitor-naplókba való átirányítása, hogy más naplóadatokkal is lekérdezhesse őket. Más helyek is elérhetők, például az Azure Storage, az Azure Event Hubs és bizonyos Microsoft monitorozási partnerek. További információ: Azure-erőforrásnaplók és erőforrásnapló-célhelyek.
Az erőforrásnaplók gyűjtésével, tárolásával és útválasztásával kapcsolatos részletes információkért tekintse meg az Azure Monitor diagnosztikai beállításait.
Az Azure Monitor összes elérhető erőforrásnapló-kategóriájának listáját lásd: Támogatott erőforrásnaplók az Azure Monitorban.
Az Azure Monitor összes erőforrásnaplója ugyanazokkal a fejlécmezőkkel rendelkezik, amelyeket a szolgáltatásspecifikus mezők követnek. A közös sémát az Azure Monitor erőforrásnapló-sémája ismerteti.
Az elérhető erőforrásnapló-kategóriákról, a hozzájuk tartozó Log Analytics-táblákról és az Azure Firewall naplós sémáiról lásd az Azure Firewall monitorozási adatainak referenciaanyagát.
Az Azure Firewall-munkafüzet rugalmas vászont biztosít az Azure Firewall adatelemzéséhez. Segítségével gazdag vizualizációs jelentéseket hozhat létre az Azure Portalon. Az Azure-ban üzembe helyezett több tűzfalra is koppinthat, és egyesítheti őket egységes interaktív felületekké.
A Storage-fiókjához is csatlakozhat, és lekérheti a hozzáférés- és teljesítménynaplók JSON-naplóbejegyzéseit. A letöltött JSON-fájlokat átalakíthatja CSV-fájlokká, és ezeket megtekintheti az Excelben, Power BI-ban vagy bármely más adatvizualizációs eszközben.
Tipp.
Ha ismeri a Visual Studiót, illetve C#-állandók és -változók módosításának alapfogalmait, használja a GitHubról elérhető naplókonvertáló eszközöket.
Azure-tevékenységnapló
A tevékenységnapló előfizetésszintű eseményeket tartalmaz, amelyek nyomon követik az egyes Azure-erőforrások műveleteit az adott erőforráson kívülről látható módon; például új erőforrás létrehozása vagy virtuális gép indítása.
Gyűjtemény: A tevékenységnapló-események automatikusan létrejönnek, és egy külön tárolóban lesznek összegyűjtve az Azure Portalon való megtekintéshez.
Útválasztás: Tevékenységnapló-adatokat küldhet az Azure Monitor-naplókba, hogy más naplóadatokkal együtt elemezhesse azokat. Más helyek is elérhetők, például az Azure Storage, az Azure Event Hubs és bizonyos Microsoft monitorozási partnerek. A tevékenységnapló irányításával kapcsolatos további információkért tekintse meg az Azure-tevékenységnapló áttekintését.
Strukturált Azure Firewall-naplók
A strukturált naplók olyan típusú naplóadatok, amelyek egy adott formátumban vannak rendszerezve. Előre definiált sémát használnak a naplóadatok oly módon történő strukturálásához, amely megkönnyíti a keresést, a szűrést és az elemzést. A strukturálatlan, szabad formátumú szövegből álló naplókkal ellentétben a strukturált naplók egységes formátummal rendelkeznek, amelyet a gépek elemezhetnek és elemezhetnek.
Az Azure Firewall strukturált naplói részletesebb képet nyújtanak a tűzfaleseményekről. Ezek olyan információkat tartalmaznak, mint a forrás- és cél IP-címek, protokollok, portszámok és a tűzfal által végrehajtott műveletek. További metaadatokat is tartalmaznak, például az esemény időpontját és az Azure Firewall-példány nevét.
Jelenleg a következő diagnosztikai naplókategóriák érhetők el az Azure Firewallhoz:
- Alkalmazásszabályok naplója
- Hálózati szabályok naplója
- DNS-proxynapló
Ezek a naplókategóriák Azure diagnosztikai módot használnak. Ebben a módban a rendszer minden diagnosztikai beállítás adatait összegyűjti az AzureDiagnostics táblában.
Strukturált naplók esetén a meglévő AzureDiagnostics-tábla helyett erőforrás-specifikus táblákat is használhat. Ha mindkét naplókészletre szükség van, tűzfalonként legalább két diagnosztikai beállítást kell létrehozni.
Erőforrás-specifikus mód
Erőforrás-specifikus módban a rendszer a diagnosztikai beállításban kiválasztott kategóriákhoz külön táblákat hoz létre a kijelölt munkaterületen. Ez a módszer ajánlott, mivel:
- akár 80%-kal is csökkentheti az általános naplózási költségeket.
- megkönnyíti az adatok naplózási lekérdezésekben való kezelését.
- megkönnyíti a sémák és azok szerkezetének felderítését.
- javítja a teljesítményt mind a betöltési késés, mind a lekérdezési idő tekintetében.
- lehetővé teszi, hogy azure RBAC-jogokat biztosítson egy adott táblához.
A diagnosztikai beállításban új erőforrásspecifikus táblák érhetők el, amelyek lehetővé teszik a következő kategóriák használatát:
- Hálózati szabálynapló – Az összes hálózati szabály naplóadatait tartalmazza. Az adatsík és a hálózati szabály közötti minden egyezés létrehoz egy naplóbejegyzést az adatsík csomagjával és az egyező szabály attribútumaival.
- NAT-szabálynapló – A DNAT (Célhálózati címfordítás) eseménynaplójának összes adatát tartalmazza. Az adatsík és a DNST-szabály közötti minden egyezés létrehoz egy naplóbejegyzést az adatsík-csomaggal és a megfeleltetett szabály attribútumaival.
- Alkalmazásszabály-napló – Az alkalmazásszabály-napló összes adatát tartalmazza. Az adatsík és az alkalmazásszabály közötti egyezések létrehoznak egy naplóbejegyzést az adatsík csomagjával és az egyeztetett szabály attribútumaival.
- Fenyegetésfelderítési napló – Az összes fenyegetésintelligencia-eseményt tartalmazza.
- IDPS-napló – Az egy vagy több IDPS-aláírással egyező adatsík-csomagokat tartalmazza.
- DNS-proxynapló – Az összes DNS-proxyesemény naplóadatait tartalmazza.
- Belső teljes tartománynév hibaelhárítási hibanaplója – Tartalmazza az összes belső tűzfal teljes tartománynév-feloldási kérését, amely hibát eredményezett.
- Alkalmazásszabály-összesítési napló – A Policy Analytics összesített alkalmazásszabály-naplóadatait tartalmazza.
- Hálózati szabály összesítési naplója – A Policy Analytics összesített hálózatiszabály-naplóadatait tartalmazza.
- NAT-szabályok összesítési naplója – A Policy Analytics összesített NAT-szabálynapló-adatait tartalmazza.
- Top flow log – A felső folyamatok (Fat Flow) naplója megjeleníti azokat a legfelső kapcsolatokat, amelyek a tűzfalon keresztül járulnak hozzá a legmagasabb átviteli sebességhez.
- Folyamatkövetés – Folyamatinformációkat, jelzőket és a folyamatok rögzítésének időtartamát tartalmazza. A teljes folyamat információi láthatók, például SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (folyamatok).
Strukturált naplók engedélyezése
Az Azure Firewall strukturált naplóinak engedélyezéséhez először konfigurálnia kell egy Log Analytics-munkaterületet az Azure-előfizetésében. Ez a munkaterület az Azure Firewall által létrehozott strukturált naplók tárolására szolgál.
Miután konfigurálta a Log Analytics-munkaterületet, engedélyezheti a strukturált naplókat az Azure Firewallban az Azure Portal Tűzfal diagnosztikai beállításai lapjára lépve. Ezután ki kell választania az erőforrás-specifikus céltáblát, és ki kell választania a naplózni kívánt események típusát.
Feljegyzés
Nincs szükség a funkció funkciójelzővel vagy Azure PowerShell-parancsokkal való engedélyezésére.
Strukturált napló lekérdezések
Az előre definiált lekérdezések listája az Azure Portalon érhető el. Ez a lista minden kategóriához előre definiált KQL (Kusto lekérdezésnyelv) naplólekérdezéseket tartalmaz, és a csatlakoztatott lekérdezések egyetlen nézetben jelenítik meg a teljes Azure-tűzfalnaplózási eseményt.
Azure Firewall-munkafüzet
Az Azure Firewall-munkafüzet rugalmas vászont biztosít az Azure Firewall adatelemzéséhez. Segítségével gazdag vizualizációs jelentéseket hozhat létre az Azure Portalon. Az Azure-ban üzembe helyezett több tűzfalra is koppinthat, és egyesítheti őket egységes interaktív élményben.
Az Azure Firewall strukturált naplóit használó új munkafüzet üzembe helyezéséhez tekintse meg az Azure Firewallhoz készült Azure Monitor-munkafüzetet.
Örökölt Azure Diagnostics-naplók
Az örökölt Azure Diagnostic-naplók az eredeti Azure Firewall-napló lekérdezések, amelyek strukturálatlan vagy szabad formátumú szöveges formátumban adnak ki naplóadatokat. Az Azure Firewall örökölt naplókategóriái Azure diagnosztikai módot használnak, és teljes adatokat gyűjtenek az AzureDiagnostics táblában. Ha strukturált és diagnosztikai naplókra is szükség van, tűzfalonként legalább két diagnosztikai beállítást kell létrehozni.
A diagnosztikai naplók a következő naplókat támogatják:
- Azure Firewall-alkalmazásszabály
- Azure Firewall hálózati szabály
- Azure Firewall DNS-proxy
A diagnosztikai naplózás Azure Portalon történő engedélyezéséről a strukturált naplók engedélyezése című témakörben olvashat.
Alkalmazásszabályok naplója
Az alkalmazásszabály-naplót a rendszer egy tárfiókba menti, streameli az Event Hubsba, és/vagy csak akkor küldi el az Azure Monitor-naplókba, ha engedélyezi azt az egyes Azure Firewall-tűzfalakhoz. Minden új kapcsolat, amely megegyezik egy konfigurált alkalmazásszabállyal, az elfogadott/letiltott kapcsolatra vonatkozó naplóbejegyzést eredményez. Az adatok JSON formátumban vannak naplózva, ahogy az alábbi példákban is látható:
Category: application rule logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
{
"category": "AzureFirewallApplicationRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallApplicationRuleLog",
"properties": {
"msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
}
}
{
"category": "AzureFirewallApplicationRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallApplicationRuleLog",
"properties": {
"msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals"
}
}
Hálózati szabályok naplója
A hálózati szabálynaplót a rendszer egy tárfiókba menti, streameli az Eseményközpontokba, és/vagy csak akkor küldi el az Azure Monitor-naplókba, ha engedélyezi azt az egyes Azure Firewall-tűzfalakhoz. Minden új kapcsolat, amely megegyezik egy konfigurált hálózati szabállyal, az elfogadott/letiltott kapcsolatra vonatkozó naplót eredményez. Az adatokat a rendszer JSON formátumban naplózza, az alábbi példához látható módon:
Category: network rule logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
{
"category": "AzureFirewallNetworkRule",
"time": "2018-06-14T23:44:11.0590400Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallNetworkRuleLog",
"properties": {
"msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
}
}
DNS-proxynapló
A DNS-proxynaplót a rendszer egy tárfiókba menti, streameli az Event Hubsba, és/vagy csak akkor küldi el az Azure Monitor naplóinak, ha engedélyezi azt az egyes Azure Firewall-tűzfalakhoz. Ez a napló egy DNS-proxyval konfigurált DNS-kiszolgálóra követi nyomon a DNS-üzeneteket. Az adatok JSON formátumban vannak naplózva, ahogy az alábbi példákban is látható:
Category: DNS proxy logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
Success:
{
"category": "AzureFirewallDnsProxy",
"time": "2020-09-02T19:12:33.751Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallDnsProxyLog",
"properties": {
"msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
}
}
Sikertelen:
{
"category": "AzureFirewallDnsProxy",
"time": "2020-09-02T19:12:33.751Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallDnsProxyLog",
"properties": {
"msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
}
}
Üzenetformátum:
[client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]
Monitorozási adatok elemzése
A monitorozási adatok elemzésére számos eszköz áll rendelkezésre.
Azure Monitor-eszközök
Az Azure Monitor a következő alapvető eszközöket támogatja:
A Metrics Explorer egy eszköz az Azure Portalon, amely lehetővé teszi az Azure-erőforrások mérőszámainak megtekintését és elemzését. További információ: Metrikák elemzése az Azure Monitor metrikakezelőjével.
A Log Analytics egy eszköz az Azure Portalon, amely lehetővé teszi a naplóadatok lekérdezését és elemzését a Kusto lekérdezési nyelv (KQL) használatával. További információ: A napló lekérdezéseinek első lépései az Azure Monitorban.
A tevékenységnapló, amely egy felhasználói felülettel rendelkezik az Azure Portalon a megtekintéshez és az alapszintű keresésekhez. A részletesebb elemzéshez át kell irányítania az adatokat az Azure Monitor-naplókba, és összetettebb lekérdezéseket kell futtatnia a Log Analyticsben.
Az összetettebb vizualizációt lehetővé tevő eszközök a következők:
- Irányítópultok , amelyek lehetővé teszik, hogy különböző típusú adatokat egyesítsen egyetlen panelen az Azure Portalon.
- Az Azure Portalon létrehozható munkafüzetek, testreszabható jelentések. A munkafüzetek tartalmazhatnak szöveget, metrikákat és napló lekérdezéseket.
- Grafana, egy nyíltplatformos eszköz, amely kiválóan működik az irányítópultokon. A Grafana használatával olyan irányítópultokat hozhat létre, amelyek az Azure Monitoron kívül több forrásból származó adatokat is tartalmaznak.
- A Power BI egy üzleti elemzési szolgáltatás, amely interaktív vizualizációkat biztosít különböző adatforrásokban. A Power BI-t úgy konfigurálhatja, hogy automatikusan importálja a naplóadatokat az Azure Monitorból a vizualizációk előnyeinek kihasználásához.
Az Azure Monitor exportálási eszközei
Az Azure Monitorból más eszközökre is lekérheti az adatokat az alábbi módszerekkel:
Metrikák: Metrikákhoz használja a REST API-t metrikaadatok kinyeréséhez az Azure Monitor metrika-adatbázisából. Az API támogatja a szűrőkifejezéseket a lekért adatok finomításához. További információ: Azure Monitor REST API-referencia.
Naplók: Használja a REST API-t vagy a kapcsolódó ügyfélkódtárakat.
Egy másik lehetőség a munkaterület adatexportálása.
Az Azure MonitorHOZ készült REST API használatának megkezdéséhez tekintse meg az Azure monitoring REST API-útmutatót.
Kusto-lekérdezések
A monitorozási adatokat az Azure Monitor Naplók/ Log Analytics-tárolóban a Kusto lekérdezési nyelv (KQL) használatával elemezheti.
Fontos
Amikor a portálon a szolgáltatás menüjében a Naplók lehetőséget választja, megnyílik a Log Analytics, és a lekérdezés hatóköre az aktuális szolgáltatásra van állítva. Ez a hatókör azt jelenti, hogy a napló lekérdezései csak az adott típusú erőforrásból származó adatokat tartalmazzák. Ha más Azure-szolgáltatásokból származó adatokat tartalmazó lekérdezést szeretne futtatni, válassza a Naplók lehetőséget az Azure Monitor menüjében. A részletekért tekintse meg az Azure Monitor Log Analytics napló lekérdezési hatókörét és időtartományát.
A szolgáltatások gyakori lekérdezéseinek listáját a Log Analytics lekérdezési felületén találja.
Riasztások
Az Azure Monitor-riasztások proaktív módon értesítik, ha adott feltételek találhatók a monitorozási adatokban. A riasztások lehetővé teszik a rendszer problémáinak azonosítását és kezelését, mielőtt az ügyfelek észrevennénk őket. További információ: Azure Monitor-riasztások.
Az Azure-erőforrásokra vonatkozó gyakori riasztások számos forrásból állnak. Az Azure-erőforrásokra vonatkozó gyakori riasztások példáiért lásd a naplóriasztási lekérdezéseket. Az Azure Monitor Alapszintű riasztások (AMBA) webhelye félautomata módszert biztosít a fontos platformmetrika-riasztások, irányítópultok és irányelvek implementálására. A webhely az Azure-szolgáltatások folyamatosan bővülő részhalmazára vonatkozik, beleértve az Azure Landing Zone (ALZ) részét képező összes szolgáltatást is.
A gyakori riasztási séma szabványosítja az Azure Monitor riasztási értesítéseinek használatát. További információ: Gyakori riasztási séma.
Riasztások típusai
Az Azure Monitor adatplatformon bármilyen metrika- vagy naplóadatforrásról riasztást készíthet. A figyelt szolgáltatásoktól és a gyűjtött monitorozási adatoktól függően számos különböző típusú riasztás létezik. A különböző típusú riasztások különböző előnyökkel és hátrányokkal rendelkeznek. További információ: A megfelelő figyelési riasztástípus kiválasztása.
Az alábbi lista a létrehozható Azure Monitor-riasztások típusait ismerteti:
- A metrikariasztások rendszeres időközönként értékelik ki az erőforrásmetrikákat. A metrikák lehetnek platformmetrikák, egyéni metrikák, az Azure Monitorból metrikákká konvertált naplók vagy Application Insights-metrikák. A metrikariasztások több feltételt és dinamikus küszöbértéket is alkalmazhatnak.
- A naplóriasztások lehetővé teszik, hogy a felhasználók Log Analytics-lekérdezéssel kiértékeljék az erőforrásnaplókat egy előre meghatározott gyakorisággal.
- A tevékenységnapló-riasztások akkor aktiválnak, ha egy új tevékenységnapló-esemény következik be, amely megfelel a megadott feltételeknek. A Resource Health-riasztások és a Service Health-riasztások olyan tevékenységnapló-riasztások, amelyek jelentést jelentenek a szolgáltatásról és az erőforrás állapotáról.
Egyes Azure-szolgáltatások intelligens észlelési riasztásokat, Prometheus-riasztásokat vagy ajánlott riasztási szabályokat is támogatnak.
Egyes szolgáltatások esetében nagy léptékben monitorozhat, ha ugyanazt a metrikariasztási szabályt több, azonos típusú erőforrásra alkalmazza, amelyek ugyanabban az Azure-régióban léteznek. Minden figyelt erőforráshoz külön értesítéseket küld a rendszer. A támogatott Azure-szolgáltatásokról és felhőkről lásd : Több erőforrás monitorozása egyetlen riasztási szabmánnyal.
Riasztás az Azure Firewall metrikáiról
A metrikák kritikus jeleket biztosítanak az erőforrás állapotának nyomon követéséhez. Ezért fontos figyelnie az erőforrás metrikáit, és figyelnie kell az esetleges rendellenességeket. De mi a teendő, ha az Azure Firewall metrikái leállnak? Lehetséges konfigurációs problémát jelezhet, vagy valami baljósabbat, mint egy kimaradás. Hiányzó metrikák azért fordulhatnak elő, mert olyan alapértelmezett útvonalakat tesznek közzé, amelyek megakadályozzák az Azure Firewall számára a metrikák feltöltését, vagy az kifogástalan állapotú példányok száma nullára csökken. Ebben a szakaszban megtudhatja, hogyan konfigurálhatja a metrikákat egy log analytics-munkaterületre, és hogyan riasztást kaphat a hiányzó metrikákról.
Metrikák konfigurálása log analytics-munkaterületre
Az első lépés a metrikák rendelkezésre állásának konfigurálása a log analytics-munkaterületen a tűzfal diagnosztikai beállításaival.
A diagnosztikai beállítások az alábbi képernyőképen látható módon történő konfigurálásához keresse meg az Azure Firewall erőforrásoldalát. Ez leküldi a tűzfalmetrikákat a konfigurált munkaterületre.
Feljegyzés
A metrikák diagnosztikai beállításainak a naplóktól eltérő konfigurációnak kell lenniük. A tűzfalnaplók konfigurálhatók az Azure Diagnostics vagy az Erőforrás-specifikus használatára. A tűzfalmetrikáknak azonban mindig az Azure Diagnosticst kell használniuk.
Riasztás létrehozása a tűzfalmetrikák sikertelen fogadásának nyomon követéséhez
Keresse meg a metrikák diagnosztikai beállításaiban konfigurált munkaterületet. Ellenőrizze, hogy elérhetők-e metrikák a következő lekérdezéssel:
AzureMetrics
| where MetricName contains "FirewallHealth"
| where ResourceId contains "/SUBSCRIPTIONS/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/RESOURCEGROUPS/PARALLELIPGROUPRG/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/HUBVNET-FIREWALL"
| where TimeGenerated > ago(30m)
Ezután hozzon létre egy riasztást a hiányzó metrikákról 60 perc alatt. Ha új riasztásokat szeretne beállítani a hiányzó metrikákhoz, keresse meg a Riasztás lapot a Log Analytics-munkaterületen.
Az Azure Firewall riasztási szabályai
Riasztásokat állíthat be az Azure Firewall monitorozási adatreferenciájában felsorolt metrikákhoz, naplóbejegyzésekhez vagy tevékenységnapló-bejegyzésekhez.
Az Advisor javaslatai
Egyes szolgáltatások esetében, ha az erőforrás-műveletek során kritikus feltételek vagy közelgő változások lépnek fel, riasztás jelenik meg a portál szolgáltatásáttekintő lapján. A riasztással kapcsolatos további információkat és javasolt javításokat a bal oldali menü Figyelés területén található Advisor-javaslatok között találja. Normál műveletek során nem jelennek meg tanácsadói javaslatok.
Az Azure Advisorról további információt az Azure Advisor áttekintésében talál.
Kapcsolódó tartalom
- Az Azure Firewallhoz létrehozott metrikákra, naplókra és egyéb fontos értékekre vonatkozó hivatkozásért tekintse meg az Azure Firewall monitorozási adatreferenciáját .
- Az Azure-erőforrások monitorozásával kapcsolatos általános részletekért tekintse meg az Azure-erőforrások Monitorozása az Azure Monitorral című témakört.