Az Azure Firewall monitorozása

Ez a cikk a következőket ismerteti:

• A szolgáltatáshoz gyűjthető monitorozási adatok típusai.
• Az adatok elemzésének módjai.

Feljegyzés

Ha már ismeri ezt a szolgáltatást és/vagy az Azure Monitort, és csak tudni szeretné, hogyan elemezheti a figyelési adatokat, tekintse meg a cikk végén található Elemzés szakaszt.

Ha olyan kritikus alkalmazásokkal és üzleti folyamatokkal rendelkezik, amelyek Az Azure-erőforrásokra támaszkodnak, figyelnie kell és riasztásokat kell kapnia a rendszeréről. Az Azure Monitor szolgáltatás a rendszer minden összetevőjéből gyűjti és összesíti a metrikákat és naplókat. Az Azure Monitor áttekintést nyújt a rendelkezésre állásról, a teljesítményről és a rugalmasságról, és értesíti Önt a problémákról. A monitorozási adatok beállításához és megtekintéséhez használhatja az Azure Portalt, a PowerShellt, az Azure CLI-t, a REST API-t vagy az ügyfélkódtárakat.

• Az Azure Monitorral kapcsolatos további információkért tekintse meg az Azure Monitor áttekintését.
• Az Azure-erőforrások általános monitorozásával kapcsolatos további információkért lásd : Azure-erőforrások monitorozása az Azure Monitorral.

Az Azure Firewall naplói és metrikái segítségével monitorozza a tűzfalon belüli forgalmat és műveleteket. Ezek a naplók és metrikák számos alapvető célt szolgálnak, például:

• Forgalomelemzés: Naplókkal vizsgálja meg és elemezze a tűzfalon áthaladó forgalmat. Ez az elemzés magában foglalja az engedélyezett és megtagadott forgalom vizsgálatát, a forrás- és cél IP-címek, URL-címek, portszámok, protokollok stb. vizsgálatát. Ezek az elemzések nélkülözhetetlenek a forgalmi minták megértéséhez, a potenciális biztonsági fenyegetések azonosításához és a csatlakozási problémák elhárításához.

• Teljesítmény- és állapotmetrikák: Az Azure Firewall-metrikák teljesítmény- és állapotmetrikákat biztosítanak, például a feldolgozott adatokat, az átviteli sebességet, a szabályütemek számát és a késést. Ezeket a metrikákat figyelve felmérheti a tűzfal általános állapotát, azonosíthatja a teljesítmény szűk keresztmetszeteit, és észlelheti az esetleges rendellenességeket.

• Naplózási naplók: A tevékenységnaplók lehetővé teszik a tűzfalerőforrásokhoz kapcsolódó műveletek naplózását, valamint olyan műveletek rögzítését, mint a tűzfalszabályok és szabályzatok létrehozása, frissítése vagy törlése. A tevékenységnaplók áttekintése segít a konfigurációváltozások előzményeinek nyilvántartásában, és biztosítja a biztonsági és naplózási követelményeknek való megfelelést.

Erőforrástípusok

Az Azure az erőforrástípusok és azonosítók fogalmát használja az előfizetések minden elemének azonosítására. Az erőforrástípusok az Azure-ban futó összes erőforrás erőforrásazonosítóinak is részét képezik. A virtuális gépek egyik erőforrástípusa például az Microsoft.Compute/virtualMachines. A szolgáltatások és a hozzájuk kapcsolódó erőforrástípusok listáját az Erőforrás-szolgáltatók című témakörben találja.

Az Azure Monitor hasonlóan rendszerezi az alapvető monitorozási adatokat metrikákba és naplókba az erőforrástípusok, más néven névterek alapján. Különböző metrikák és naplók érhetők el a különböző erőforrástípusokhoz. Előfordulhat, hogy a szolgáltatás több erőforrástípushoz is társítva van.

Az Azure Firewall erőforrástípusairól további információt az Azure Firewall monitorozási adathivatkozásában talál.

Adattárolás

Azure Monitor esetén:

• A metrikák adatait az Azure Monitor metrikák adatbázisa tárolja.
• A naplóadatok tárolása az Azure Monitor naplók tárolójában történik. A Log Analytics egy eszköz az Azure Portalon, amely le tudja kérdezni ezt az áruházat.
• Az Azure-tevékenységnapló egy külön tároló, amelynek saját felülete van az Azure Portalon.

A metrikák és a tevékenységnaplók adatait igény szerint átirányíthatja az Azure Monitor-naplók tárolójába. Ezután a Log Analytics használatával lekérdezheti az adatokat, és összehasonlíthatja azokat más naplóadatokkal.

Számos szolgáltatás diagnosztikai beállításokkal küldhet metrikákat és naplóadatokat az Azure Monitoron kívüli más tárolóhelyekre. Ilyenek például az Azure Storage, a üzemeltetett partnerrendszerek és a nem Azure-beli partnerrendszerek az Event Hubs használatával.

Az Azure Monitor adatainak tárolásáról az Azure Monitor adatplatformja nyújt részletes tájékoztatást.

Az Azure Monitor platformmetrikái

Az Azure Monitor platformmetrikát biztosít a legtöbb szolgáltatáshoz. Ezek a metrikák a következők:

• Egyedileg definiálva minden névtérhez.
• Az Azure Monitor idősoros metrikák adatbázisában tárolva.
• Könnyű és képes közel valós idejű riasztások támogatására.
• Egy erőforrás teljesítményének nyomon követésére szolgál az idő függvényében.

Gyűjtemény: Az Azure Monitor automatikusan gyűjti a platformmetrikákat. Nem igényel konfigurálást.

Útválasztás: Egyes platformmetrikákat az Azure Monitor-naplókba/ Log Analyticsbe is átirányíthat, hogy más naplóadatokkal is lekérdezhesse őket. Ellenőrizze az egyes metrikák DS-exportálási beállításait, és ellenőrizze, hogy használhat-e diagnosztikai beállítást a metrika Azure Monitor-naplókhoz/ Log Analyticshez való átirányításához.

• További információt a Metrikák diagnosztikai beállításában talál.
• A szolgáltatás diagnosztikai beállításainak konfigurálásához lásd: Diagnosztikai beállítások létrehozása az Azure Monitorban.

Az Azure Monitor összes erőforrásához gyűjthető metrikák listájáért tekintse meg az Azure Monitor támogatott metrikáit.

Az Azure Firewallhoz elérhető metrikák listájáért tekintse meg az Azure Firewall monitorozási adatreferenciáját.

Azure Monitor-erőforrásnaplók

Az erőforrásnaplók betekintést nyújtanak az Azure-erőforrások által végrehajtott műveletekbe. A naplók automatikusan jönnek létre, de a mentésükhöz vagy lekérdezésükhöz az Azure Monitor naplóihoz kell irányítani őket. A naplók kategóriákba vannak rendezve. Egy adott névtér több erőforrásnapló-kategóriával is rendelkezhet.

Gyűjtemény: Az erőforrásnaplók csak akkor lesznek összegyűjtve és tárolva, ha diagnosztikai beállítást hoz létre, és a naplókat egy vagy több helyre irányítja. Diagnosztikai beállítás létrehozásakor meg kell adnia, hogy milyen kategóriájú naplókat kíván gyűjteni. A diagnosztikai beállításokat többféleképpen is létrehozhatja és karbantarthatja, beleértve az Azure Portalt, programozás révén és az Azure Policy segítségével.

Útválasztás: A javasolt alapértelmezett beállítás az erőforrásnaplók Azure Monitor-naplókba való átirányítása, hogy más naplóadatokkal is lekérdezhesse őket. Más helyek is elérhetők, például az Azure Storage, az Azure Event Hubs és bizonyos Microsoft monitorozási partnerek. További információ: Azure-erőforrásnaplók és erőforrásnapló-célhelyek.

Az erőforrásnaplók gyűjtésével, tárolásával és útválasztásával kapcsolatos részletes információkért tekintse meg az Azure Monitor diagnosztikai beállításait.

Az Azure Monitor összes elérhető erőforrásnapló-kategóriájának listáját lásd: Támogatott erőforrásnaplók az Azure Monitorban.

Az Azure Monitor összes erőforrásnaplója ugyanazokkal a fejlécmezőkkel rendelkezik, amelyeket a szolgáltatásspecifikus mezők követnek. A közös sémát az Azure Monitor erőforrásnapló-sémája ismerteti.

Az elérhető erőforrásnapló-kategóriákról, a hozzájuk tartozó Log Analytics-táblákról és az Azure Firewall naplós sémáiról lásd az Azure Firewall monitorozási adatainak referenciaanyagát.

Az Azure Firewall-munkafüzet rugalmas vászont biztosít az Azure Firewall adatelemzéséhez. Segítségével gazdag vizualizációs jelentéseket hozhat létre az Azure Portalon. Az Azure-ban üzembe helyezett több tűzfalra is koppinthat, és egyesítheti őket egységes interaktív élményben.

A Storage-fiókjához is csatlakozhat, és lekérheti a hozzáférés- és teljesítménynaplók JSON-naplóbejegyzéseit. A letöltött JSON-fájlokat átalakíthatja CSV-fájlokká, és ezeket megtekintheti az Excelben, Power BI-ban vagy bármely más adatvizualizációs eszközben.

Tipp.

Ha ismeri a Visual Studiót és az állandók és változók értékeinek C#-ban történő módosításának alapfogalmait, használhatja a GitHubon elérhető naplókonverter-eszközöket .

Azure-tevékenységnapló

A tevékenységnapló előfizetésszintű eseményeket tartalmaz, amelyek nyomon követik az egyes Azure-erőforrások műveleteit az adott erőforráson kívülről látható módon; például új erőforrás létrehozása vagy virtuális gép indítása.

Gyűjtemény: A tevékenységnapló-események automatikusan létrejönnek, és egy külön tárolóban lesznek összegyűjtve az Azure Portalon való megtekintéshez.

Útválasztás: Tevékenységnapló-adatokat küldhet az Azure Monitor-naplókba, hogy más naplóadatokkal együtt elemezhesse azokat. Más helyek is elérhetők, például az Azure Storage, az Azure Event Hubs és bizonyos Microsoft monitorozási partnerek. A tevékenységnapló irányításával kapcsolatos további információkért tekintse meg az Azure-tevékenységnapló áttekintését.

Változáskövetés (előzetes verzió)

Az Azure Resource Graph (ARG) egy Azure-szolgáltatás, amely hatékony és hatékony erőforrás-feltárást biztosít nagy méretekben. Az Azure Resource Graph (ARG) változáselemzési adatokat biztosít a különböző felügyeleti és hibaelhárítási forgatókönyvekhez. Megtalálhatja, hogy mikor észleltek módosításokat egy Azure Resource Manager(ARM) tulajdonságban, megtekintheti a tulajdonságok változásának részleteit, és nagy léptékben kérdezheti le a módosításokat az előfizetésben, a felügyeleti csoportban vagy a bérlőben. 

Az ARG-változáselemzés támogatja a RuleCollectionGroupst. Az Azure Portal ResourceGraphExplorer oldaláról származó Azure Resource Graph-lekérdezéssel az Alábbihoz hasonló lekérdezéssel követheti nyomon az Azure Firewall szabálygyűjteményi csoportjainak módosításait:

Az alábbi képen egy minta változáskimenet látható.

Ez a funkció segít nyomon követni a tűzfalszabályok módosításait, ami segít biztosítani a bizalmas erőforrások, például a tűzfal elszámoltathatóságát.

A szabálykészlet változásainak részletes lekérdezésekkel és példákkal történő átfogó nyomon követéséhez tekintse meg a szabálykészlet változásainak nyomon követését ismertető témakört.

Strukturált Azure Firewall-naplók

A strukturált naplók olyan típusú naplóadatok, amelyek egy adott formátumban vannak rendszerezve. Előre definiált sémát használnak a naplóadatok oly módon történő strukturálásához, amely megkönnyíti a keresést, a szűrést és az elemzést. A strukturálatlan, szabad formátumú szövegből álló naplókkal ellentétben a strukturált naplók egységes formátummal rendelkeznek, amelyet a gépek elemezhetnek és elemezhetnek.

Az Azure Firewall strukturált naplói részletesebb képet nyújtanak a tűzfaleseményekről. Ezek olyan információkat tartalmaznak, mint a forrás- és cél IP-címek, protokollok, portszámok és a tűzfal által végrehajtott műveletek. További metaadatokat is tartalmaznak, például az esemény időpontját és az Azure Firewall-példány nevét.

Jelenleg a következő diagnosztikai naplókategóriák érhetők el az Azure Firewallhoz:

• Alkalmazásszabályok naplója
• Hálózati szabályok naplója
• DNS-proxynapló

Ezek a naplókategóriák Azure diagnosztikai módot használnak. Ebben a módban a rendszer minden diagnosztikai beállítás adatait összegyűjti az AzureDiagnostics táblában.

Strukturált naplók használatával dönthet úgy, hogy erőforrás-specifikus táblákat használ a meglévő AzureDiagnostics-tábla helyett. Ha mindkét naplókészletre szüksége van, tűzfalonként legalább két diagnosztikai beállítást kell létrehoznia.

Erőforrás-specifikus mód

Erőforrás-specifikus módban a rendszer a diagnosztikai beállításban kiválasztott kategóriákhoz külön táblákat hoz létre a kijelölt munkaterületen. Ez a módszer ajánlott, mivel: kezdje nagybetűvel:

• Akár 80%-kal is csökkentheti a teljes naplózási költségeket. Nagybetű:
• Sokkal egyszerűbbé teszi az adatok naplózási lekérdezésekben való kezelését. Nagybetű:
• Megkönnyíti a sémák és szerkezetük felfedezését. Nagybetűsítés
• Javítja a teljesítményt mind az adatbefogadási késés, mind a lekérdezési idők terén. Nagybetű:
• Lehetővé teszi, hogy az Azure RBAC "jogosultságokat biztosítson egy adott táblához.

A diagnosztikai beállításban új erőforrásspecifikus táblák érhetők el, amelyek a következő kategóriák használatát teszik lehetővé:

• Hálózati szabálynapló – Az összes hálózati szabály naplóadatait tartalmazza. Az adatsík és a hálózati szabály közötti minden egyezés létrehoz egy naplóbejegyzést az adatsík csomagjával és az egyező szabály attribútumaival.
• NAT-szabálynapló – A DNAT (Célhálózati címfordítás) eseménynaplójának összes adatát tartalmazza. Az adatsík és a DNST-szabály közötti minden egyezés létrehoz egy naplóbejegyzést az adatsík-csomaggal és a megfeleltetett szabály attribútumaival. Megjegyzésként az AZFWNATRule tábla csak akkor naplóz, ha egy DNST-szabály egyezik. Ha nincs egyezés, a rendszer nem hoz létre naplót.
• Alkalmazásszabály-napló – Az alkalmazásszabály-napló összes adatát tartalmazza. Az adatsík és az alkalmazásszabály közötti egyezések létrehoznak egy naplóbejegyzést az adatsík csomagjával és az egyeztetett szabály attribútumaival.
• Fenyegetésfelderítési napló – Az összes fenyegetésintelligencia-eseményt tartalmazza.
• IDPS-napló – Az egy vagy több IDPS-aláírással egyező adatsík-csomagokat tartalmazza.
• DNS-proxynapló – Az összes DNS-proxyesemény naplóadatait tartalmazza.
• Belső FQDN feloldási hibanaplója – Tartalmazza az összes belső tűzfal által kezelt teljes tartománynév-feloldási kérést, amely hibával végződött.
• Alkalmazásszabály-összesítési napló – A Policy Analytics összesített alkalmazásszabály-naplóadatait tartalmazza.
• Hálózati szabály összesítési naplója – A Policy Analytics összesített hálózatiszabály-naplóadatait tartalmazza.
• NAT-szabályok összesítési naplója – A Policy Analytics összesített NAT-szabálynapló-adatait tartalmazza.
• Top flow log – A felső folyamatok (Fat Flow) naplója megjeleníti azokat a legfelső kapcsolatokat, amelyek a tűzfalon keresztül járulnak hozzá a legmagasabb átviteli sebességhez. További információ: Top flow log.
• Folyamatkövetés – Folyamatinformációkat, jelzőket és a folyamatok rögzítésének időtartamát tartalmazza. Látható a teljes adatfolyam-információk, például SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (adatfolyamok).

Az összes erőforrás-specifikus tábla támogatja az Alapszintű táblacsomagot, amely akár 80%is csökkentheti a naplózási költségeket. Az új naplózási terv korlátairól és különbségeiről az Azure Monitor-naplókban talál további információt. Az új lekérdezési felület megismeréséhez tekintse meg az adatok lekérdezése alapszintű és segédtáblában című témakört.

Feljegyzés

• A Policy Analytics és a Security Copilot integrációi nem kompatibilisek az Alapszintű táblacsomaggal. A funkciók engedélyezéséhez győződjön meg arról, hogy a szükséges naplótáblák az Analytics-táblacsomaggal vannak konfigurálva.
• A táblaterv csak 7 naponta egyszer frissíthető.

Strukturált naplók engedélyezése

Az Azure Firewall strukturált naplóinak engedélyezéséhez először konfiguráljon egy Log Analytics-munkaterületet az Azure-előfizetésében. Ez a munkaterület az Azure Firewall által létrehozott strukturált naplókat tárolja.

A Log Analytics-munkaterület konfigurálása után engedélyezze a strukturált naplókat az Azure Firewallban az Azure Portal Tűzfal diagnosztikai beállítások lapján. Innen válassza ki az Erőforrás-specifikus céltáblát, és válassza ki a naplózni kívánt események típusait.

Feljegyzés

• Az Azure Firewall Fat Flow napló (Top flow napló) engedélyezéséhez konfigurálnia kell azt Azure PowerShell segítségével. További információ: Top flow log.
• Az Azure Firewall strukturált naplóinak engedélyezése után akár 30 percet is igénybe vehet a naplók feltöltése. Ha az örökölt Azure Diagnostics-naplókról a strukturált formátumra migrál, az új beállítás mellett tartsa helyben az eredeti diagnosztikai konfigurációt. Ez a módszer segít megerősíteni, hogy az új konfiguráció alatt a naplófájlok sikeresen kézbesítve lettek, mielőtt eltávolítaná a régi beállítást.

Strukturált napló lekérdezések

Az Azure Portal az előre definiált lekérdezések listáját tartalmazza. Ez a lista egy előre definiált KQL (Kusto Query Language) naplólekérdezéssel rendelkezik az egyes kategóriákhoz, valamint egy csatlakoztatott lekérdezéssel, amely egyetlen nézetben jeleníti meg az Azure-tűzfal teljes naplózási eseményeit.

Azure Firewall-munkafüzet

Az Azure Firewall-munkafüzet rugalmas vászont biztosít az Azure Firewall adatelemzéséhez. Segítségével gazdag vizualizációs jelentéseket hozhat létre az Azure Portalon. Az Azure-ban üzembe helyezett több tűzfalra is koppinthat, és egyesítheti őket egységes interaktív élményben.

Az Azure Firewall strukturált naplóit használó új munkafüzet üzembe helyezéséhez tekintse meg az Azure Firewallhoz készült Azure Monitor-munkafüzetet.

Örökölt Azure Diagnostics naplók

Az örökölt Azure Diagnostic-naplók az eredeti Azure Firewall-napló lekérdezések, amelyek strukturálatlan vagy szabad formátumú szöveges formátumban adnak ki naplóadatokat. Az Azure Firewall örökölt naplókategóriái az Azure Diagnosztikai módot használják az AzureDiagnostics tábla összes adatának gyűjtésére. Ha strukturált és diagnosztikai naplókra is szüksége van, minden tűzfalhoz legalább két diagnosztikai beállítást kell létrehoznia.

A diagnosztikai naplók a következő naplókategóriákat támogatják.

• Azure Firewall-alkalmazásszabály
• Azure Firewall hálózati szabály
• Azure Firewall DNS-proxy

Ha tudni szeretné, hogyan engedélyezheti a diagnosztikai naplózást az Azure Portal használatával, olvassa el a strukturált naplók engedélyezését ismertető témakört.

Alkalmazásszabályok naplója

Az alkalmazásszabály-naplót mentheti egy tárfiókba, streamelheti az Event Hubsba, és elküldheti az Azure Monitor-naplókba. Minden új kapcsolat, amely megfelel a konfigurált alkalmazásszabályok egyikének, naplót hoz létre az elfogadott vagy elutasított kapcsolathoz. Az adatok JSON formátumban vannak naplózva, ahogy az alábbi példákban is látható:

Category: application rule logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.

{
 "category": "AzureFirewallApplicationRule",
 "time": "2018-04-16T23:45:04.8295030Z",
 "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
 "operationName": "AzureFirewallApplicationRuleLog",
 "properties": {
     "msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
 }
}

{
  "category": "AzureFirewallApplicationRule",
  "time": "2018-04-16T23:45:04.8295030Z",
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
  "operationName": "AzureFirewallApplicationRuleLog",
  "properties": {
      "msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals"
  }
}

Hálózati szabályok naplója

A hálózati szabálynaplót mentheti egy tárfiókba, streamelheti az Event Hubsba, és elküldheti az Azure Monitor-naplókba. Minden új kapcsolat, amely megfelel az egyik konfigurált hálózati szabálynak, naplót ad az elfogadott vagy elutasított kapcsolathoz. Az adatokat a rendszer JSON formátumban naplózza, az alábbi példához látható módon:

Category: network rule logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.

{
 "category": "AzureFirewallNetworkRule",
 "time": "2018-06-14T23:44:11.0590400Z",
 "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
 "operationName": "AzureFirewallNetworkRuleLog",
 "properties": {
     "msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
 }
}

DNS-proxynapló

A DNS-proxynaplót egy tárfiókba mentheti, streamelheti az Event Hubsba, és csak akkor küldheti el az Azure Monitor-naplókba, ha minden Azure Firewall esetében engedélyezi. Ez a napló egy DNS-proxyval konfigurált DNS-kiszolgálóra követi nyomon a DNS-üzeneteket. Az adatok JSON formátumban vannak naplózva, ahogy az alábbi példákban is látható:

Category: DNS proxy logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.

Siker:

{
  "category": "AzureFirewallDnsProxy",
  "time": "2020-09-02T19:12:33.751Z",
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
  "operationName": "AzureFirewallDnsProxyLog",
  "properties": {
      "msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
  }
}

Sikertelen:

{
  "category": "AzureFirewallDnsProxy",
  "time": "2020-09-02T19:12:33.751Z",
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
  "operationName": "AzureFirewallDnsProxyLog",
  "properties": {
      "msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
  }
}

Üzenetformátum:

[client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]

Monitorozási adatok elemzése

A monitorozási adatok elemzésére számos eszköz áll rendelkezésre.

Azure Monitor-eszközök

Az Azure Monitor a következő alapvető eszközöket támogatja:

• A Metrics Explorer egy eszköz az Azure Portalon, amely lehetővé teszi az Azure-erőforrások mérőszámainak megtekintését és elemzését. További információ: Metrikák elemzése az Azure Monitor metrikakezelőjével.

• A Log Analytics egy eszköz az Azure Portalon, amely lehetővé teszi a naplóadatok lekérdezését és elemzését a Kusto lekérdezési nyelv (KQL) használatával. További információ: A napló lekérdezéseinek első lépései az Azure Monitorban.

• A tevékenységnapló, amely egy felhasználói felülettel rendelkezik az Azure Portalon a megtekintéshez és az alapszintű keresésekhez. A részletesebb elemzéshez át kell irányítania az adatokat az Azure Monitor-naplókba, és összetettebb lekérdezéseket kell futtatnia a Log Analyticsben.

Az összetettebb vizualizációt lehetővé tevő eszközök a következők:

• Irányítópultok , amelyek lehetővé teszik, hogy különböző típusú adatokat egyesítsen egyetlen panelen az Azure Portalon.
• Az Azure Portalon létrehozható munkafüzetek, testreszabható jelentések. A munkafüzetek tartalmazhatnak szöveget, metrikákat és napló lekérdezéseket.
• Grafana, egy nyíltplatformos eszköz, amely kiválóan működik az irányítópultokon. A Grafana használatával olyan irányítópultokat hozhat létre, amelyek az Azure Monitoron kívül több forrásból származó adatokat is tartalmaznak.
• A Power BI egy üzleti elemzési szolgáltatás, amely interaktív vizualizációkat biztosít különböző adatforrásokban. A Power BI-t úgy konfigurálhatja, hogy automatikusan importálja a naplóadatokat az Azure Monitorból a vizualizációk előnyeinek kihasználásához.

Az Azure Monitor exportálási eszközei

Az Azure Monitorból más eszközökre is lekérheti az adatokat az alábbi módszerekkel:

• Metrikák: Metrikákhoz használja a REST API-t metrikaadatok kinyeréséhez az Azure Monitor metrika-adatbázisából. Az API támogatja a szűrőkifejezéseket a lekért adatok finomításához. További információ: Azure Monitor REST API-referencia.

• Naplók: Használja a REST API-t vagy a kapcsolódó ügyfélkódtárakat.

• Egy másik lehetőség a munkaterület adatexportálása.

Az Azure MonitorHOZ készült REST API használatának megkezdéséhez tekintse meg az Azure monitoring REST API-útmutatót.

Kusto lekérdezések

A monitorozási adatokat az Azure Monitor Naplók/ Log Analytics-tárolóban a Kusto lekérdezési nyelv (KQL) használatával elemezheti.

Fontos

Amikor a portálon a szolgáltatás menüjében a Naplók lehetőséget választja, megnyílik a Log Analytics, és a lekérdezés hatóköre az aktuális szolgáltatásra van állítva. Ez a hatókör azt jelenti, hogy a napló lekérdezései csak az adott típusú erőforrásból származó adatokat tartalmazzák. Ha más Azure-szolgáltatásokból származó adatokat tartalmazó lekérdezést szeretne futtatni, válassza a Naplók lehetőséget az Azure Monitor menüjében. A részletekért tekintse meg az Azure Monitor Log Analytics napló lekérdezési hatókörét és időtartományát.

A szolgáltatások gyakori lekérdezéseinek listáját a Log Analytics lekérdezési felületén találja.

Riasztások

Az Azure Monitor-riasztások proaktív módon értesítik, ha adott feltételek találhatók a monitorozási adatokban. A riasztások lehetővé teszik a rendszer problémáinak azonosítását és kezelését, mielőtt az ügyfelek észrevennénk őket. További információ: Azure Monitor-riasztások.

Az Azure-erőforrásokra vonatkozó gyakori riasztások számos forrásból állnak. Az Azure-erőforrásokra vonatkozó gyakori riasztások példáiért lásd a naplóriasztási lekérdezéseket. Az Azure Monitor Alapszintű riasztások (AMBA) webhelye félautomata módszert biztosít a fontos platformmetrika-riasztások, irányítópultok és irányelvek implementálására. A webhely az Azure-szolgáltatások folyamatosan bővülő részhalmazára vonatkozik, beleértve az Azure Landing Zone (ALZ) részét képező összes szolgáltatást is.

Az általános riasztási séma szabványosítja az Azure Monitor riasztási értesítéseinek használatát. További információ: Gyakori riasztási séma.

Riasztások típusai

Az Azure Monitor adatplatformon bármilyen metrika- vagy naplóadatforrásról riasztást készíthet. A figyelt szolgáltatásoktól és a gyűjtött monitorozási adatoktól függően számos különböző típusú riasztás létezik. A különböző típusú riasztások különböző előnyökkel és hátrányokkal rendelkeznek. További információ: A megfelelő figyelési riasztástípus kiválasztása.

Az alábbi lista a létrehozható Azure Monitor-riasztások típusait ismerteti:

• A metrikariasztások rendszeres időközönként értékelik ki az erőforrásmetrikákat. A metrikák lehetnek platformmetrikák, egyéni metrikák, az Azure Monitorból metrikákká konvertált naplók vagy Application Insights-metrikák. A metrikariasztások több feltételt és dinamikus küszöbértéket is alkalmazhatnak.
• A naplóriasztások lehetővé teszik, hogy a felhasználók Log Analytics-lekérdezéssel kiértékeljék az erőforrásnaplókat egy előre meghatározott gyakorisággal.
• A tevékenységnapló-riasztások akkor aktiválnak, ha egy új tevékenységnapló-esemény következik be, amely megfelel a megadott feltételeknek. A Resource Health-riasztások és a Service Health-riasztások olyan tevékenységnapló-riasztások, amelyek jelentést jelentenek a szolgáltatásról és az erőforrás állapotáról.

Egyes Azure-szolgáltatások intelligens észlelési riasztásokat, Prometheus-riasztásokat vagy ajánlott riasztási szabályokat is támogatnak.

Egyes szolgáltatások esetében nagy léptékben monitorozhat, ha ugyanazt a metrikariasztási szabályt több, azonos típusú erőforrásra alkalmazza, amelyek ugyanabban az Azure-régióban léteznek. Minden figyelt erőforráshoz külön értesítéseket küld a rendszer. A támogatott Azure-szolgáltatásokról és felhőkről lásd : Több erőforrás monitorozása egyetlen riasztási szabmánnyal.

Riasztás az Azure Firewall metrikáiról

A metrikák kritikus jeleket biztosítanak az erőforrás állapotának nyomon követéséhez. Ezért fontos az erőforrás metrikáinak figyelése, és az esetleges rendellenességek észlelése. De mi a teendő, ha az Azure Firewall metrikái leállnak? Lehetséges konfigurációs problémát jelezhet, vagy valami baljósabbat, mint egy kimaradás. Hiányzó metrikák azért fordulhatnak elő, mert olyan alapértelmezett útvonalakat tesznek közzé, amelyek megakadályozzák az Azure Firewall számára a metrikák feltöltését, vagy az kifogástalan állapotú példányok száma nullára csökken. Ebben a szakaszban megtudhatja, hogyan konfigurálhat metrikákat Egy Log Analytics-munkaterületre, és hogyan riasztást kaphat a hiányzó metrikákról.

Metrikák konfigurálása Log Analytics-munkaterületre

Először konfigurálja a metrikák rendelkezésre állását a Log Analytics-munkaterületen a tűzfal diagnosztikai beállításainak használatával.

A diagnosztikai beállítások az alábbi képernyőképen látható módon történő konfigurálásához keresse meg az Azure Firewall erőforrásoldalát. Ez a művelet leküldi a tűzfalmetrikákat a konfigurált munkaterületre.

Feljegyzés

A metrikák diagnosztikai beállításait a naplóktól elkülönítve kell konfigurálnia. A tűzfalnaplókat úgy konfigurálhatja, hogy az Azure Diagnosticst vagy az erőforrás-specifikusat használják. A tűzfalmetrikáknak azonban mindig az Azure Diagnosticst kell használniuk.

Riasztás létrehozása a tűzfalmetrikák hibamentes fogadásának nyomon követésére

Keresse meg a metrikák diagnosztikai beállításai között konfigurált munkaterületet. Ellenőrizze, hogy elérhetők-e metrikák a következő lekérdezéssel:

AzureMetrics
| where MetricName contains "FirewallHealth"
| where ResourceId contains "/SUBSCRIPTIONS/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/RESOURCEGROUPS/PARALLELIPGROUPRG/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/HUBVNET-FIREWALL"
| where TimeGenerated > ago(30m)

Ezután hozzon létre egy riasztást a hiányzó metrikákról 60 perc alatt. Ha új riasztásokat szeretne beállítani a hiányzó metrikákhoz, keresse meg a Riasztás lapot a Log Analytics-munkaterületen.

Az Azure Firewall riasztási szabályai

Riasztásokat állíthat be az Azure Firewall monitorozási adatreferenciájában felsorolt metrikákhoz, naplóbejegyzésekhez vagy tevékenységnapló-bejegyzésekhez.

Az Advisor javaslatai

Egyes szolgáltatások esetében, ha az erőforrás-műveletek során kritikus feltételek vagy közelgő változások lépnek fel, riasztás jelenik meg a portál szolgáltatásáttekintő lapján. A riasztással kapcsolatos további információkat és javasolt javításokat a bal oldali menü Figyelés területén található Advisor-javaslatok között találja. Normál műveletek során nem jelennek meg tanácsadói javaslatok.

Az Azure Advisorról további információt az Azure Advisor áttekintésében talál.

Kapcsolódó tartalom

• Az Azure Firewallhoz létrehozott metrikákról, naplókról és egyéb fontos értékekről az Azure Firewall monitorozási adatreferenciájában olvashat.
• Az Azure-erőforrások monitorozásával kapcsolatos általános részletekért lásd: Azure-erőforrások monitorozása az Azure Monitorral.