Mengaktifkan alur teratas dan Log pelacakan alur di Azure Firewall
Azure Firewall memiliki dua log diagnostik baru yang dapat Anda gunakan untuk membantu memantau firewall Anda:
- Alur teratas
- Pelacakan alur
Alur teratas
Log Alur teratas (dikenal di industri sebagai Aliran Lemak), menunjukkan koneksi teratas yang berkontribusi pada throughput tertinggi melalui firewall.
Tip
Aktifkan log Alur teratas hanya saat memecahkan masalah tertentu untuk menghindari penggunaan CPU Azure Firewall yang berlebihan.
Laju aliran didefinisikan sebagai tingkat transmisi data (dalam unit Megabit per detik). Dengan kata lain, ini adalah ukuran jumlah data digital yang dapat ditransmisikan melalui jaringan dalam jangka waktu tertentu melalui firewall. Protokol Alur Teratas berjalan secara berkala setiap tiga menit. Ambang minimum yang akan dianggap sebagai Alur Teratas adalah 1 Mbps.
Prasyarat
- Mengaktifkan log terstruktur
- Gunakan format Tabel Khusus Sumber Daya Azure dalam Pengaturan Diagnostik.
Aktifkan log
Aktifkan log menggunakan perintah Azure PowerShell berikut ini:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall
Menonaktifkan log
Untuk menonaktifkan log, gunakan perintah Azure PowerShell sebelumnya yang sama dan atur nilainya ke False.
Contohnya:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall
Verifikasi pembaruan
Ada beberapa cara untuk memverifikasi bahwa pembaruan berhasil, tetapi Anda dapat menavigasi ke Gambaran Umum firewall dan memilih tampilan JSON di sudut kanan atas. Berikut adalah contohnya:
Membuat pengaturan diagnostik dan mengaktifkan Tabel Spesifik Sumber Daya
- Di tab Pengaturan diagnostik, pilih Tambahkan pengaturan diagnostik.
- Ketik Nama pengaturan diagnostik .
- Pilih Log Aliran Lemak Azure Firewall di bawah Kategori dan log lain yang ingin Didukung di firewall.
- Di Detail tujuan, pilih Kirim ke ruang kerja Analitik Log.
- Pilih Langganan yang Anda inginkan dan ruang kerja Analitik Log yang telah dikonfigurasi sebelumnya.
- Aktifkan Sumber Daya khusus.
Menampilkan dan menganalisis log Azure Firewall
Pada sumber daya firewall, navigasikan ke Log di bawah tab Pemantauan .
Pilih Kueri, lalu muat Log Alur Atas Azure Firewall dengan mengarahkan kursor ke opsi dan memilih Muat ke editor.
Saat kueri dimuat, pilih Jalankan.
Pelacakan alur
Saat ini, log firewall menunjukkan lalu lintas melalui firewall dalam upaya pertama koneksi TCP, yang dikenal sebagai paket SYN . Namun, ini tidak menunjukkan perjalanan penuh paket dalam jabat tangan TCP. Akibatnya, sulit untuk memecahkan masalah jika paket dihilangkan, atau perutean asimetris terjadi.
Tip
Untuk menghindari penggunaan disk yang berlebihan yang disebabkan oleh log jejak Alur di Azure Firewall dengan banyak koneksi berumur pendek, aktifkan log hanya saat memecahkan masalah tertentu untuk tujuan diagnostik.
Properti tambahan berikut dapat ditambahkan:
SYN-ACK
Bendera ACK yang menunjukkan pengakuan paket SYN.
FIN
Bendera selesai dari alur paket asli. Tidak ada lagi data yang dikirimkan dalam alur TCP.
FIN-ACK
Bendera ACK yang menunjukkan pengakuan paket FIN.
RST
Reset bendera menunjukkan pengirim asli tidak menerima lebih banyak data.
INVALID (alur)
Menunjukkan paket tidak dapat diidentifikasi atau tidak memiliki status apa pun.
Contohnya:
- Paket TCP mendarat pada instans Virtual Machine Scale Sets, yang tidak memiliki riwayat sebelumnya untuk paket ini
- Paket CheckSum buruk
- entri tabel pelacakan Koneksi ion penuh dan koneksi baru tidak dapat diterima
- Paket ACK yang terlalu tertunda
Log Flow Trace, seperti SYN-ACK dan ACK, secara eksklusif dicatat untuk lalu lintas jaringan. Selain itu, paket SYN tidak dicatat secara default. Namun, Anda dapat mengakses paket SYN awal dalam log aturan jaringan.
Prasyarat
- Aktifkan log terstruktur.
- Gunakan format Tabel Khusus Sumber Daya Azure dalam Pengaturan Diagnostik.
Aktifkan log
Aktifkan log menggunakan perintah Azure PowerShell berikut atau navigasikan di portal dan cari Aktifkan Pengelogan Koneksi ion TCP:
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
Dibutuhkan beberapa menit agar ini berlaku. Setelah fitur terdaftar, pertimbangkan untuk melakukan pembaruan di Azure Firewall agar perubahan segera berlaku.
Untuk memeriksa status pendaftaran AzResourceProvider, Anda dapat menjalankan perintah Azure PowerShell:
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
Menonaktifkan log
Untuk menonaktifkan log, Anda dapat membatalkan pendaftarannya menggunakan perintah berikut atau memilih batalkan pendaftaran dalam contoh portal sebelumnya.
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
Membuat pengaturan diagnostik dan mengaktifkan Tabel Spesifik Sumber Daya
- Di tab Pengaturan diagnostik, pilih Tambahkan pengaturan diagnostik.
- Ketik Nama pengaturan diagnostik .
- Pilih Log Pelacakan Alur Azure Firewall di bawah Kategori dan log lain yang ingin Didukung di firewall.
- Di Detail tujuan, pilih Kirim ke ruang kerja Analitik Log.
- Pilih Langganan yang Anda inginkan dan ruang kerja Analitik Log yang telah dikonfigurasi sebelumnya.
- Aktifkan Sumber Daya khusus.
Menampilkan dan menganalisis log pelacakan Alur Azure Firewall
Pada sumber daya firewall, navigasikan ke Log di bawah tab Pemantauan .
Pilih Kueri, lalu muat log jejak alur Azure Firewall dengan mengarahkan kursor ke opsi dan memilih Muat ke editor.
Saat kueri dimuat, pilih Jalankan.
