Log dan metrik Azure Firewall

Anda dapat memantau Azure Firewall menggunakan log firewall. Anda juga dapat menggunakan log aktivitas untuk mengaudit operasi pada sumber daya Azure Firewall.

Anda dapat mengakses beberapa log ini melalui portal. Log dapat dikirim ke log Azure Monitor, Storage, dan Event Hub serta dianalisis dalam log Azure Monitor atau dengan alat lain seperti Excel dan Power BI.

Metrik ringan dan dapat mendukung skenario mendekati real-time, sehingga berguna untuk pemberitahuan dan deteksi masalah dengan cepat.

Log Diagnostik

Log diagnostik berikut ini tersedia untuk Azure Firewall:

  • Log aturan aplikasi

    Log aturan aplikasi disimpan ke akun penyimpanan, di-streaming ke Event hubs, dan/atau dikirim ke log Azure Monitor hanya jika Anda telah mengaktifkannya untuk setiap Azure Firewall. Setiap koneksi baru yang cocok dengan salah satu aturan aplikasi Anda yang dikonfigurasi akan menghasilkan log untuk koneksi yang diterima/ditolak. Data dicatat dalam format JSON, seperti yang ditunjukkan pada contoh berikut:

    Category: application rule logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    
    {
      "category": "AzureFirewallApplicationRule",
      "time": "2018-04-16T23:45:04.8295030Z",
      "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
      "operationName": "AzureFirewallApplicationRuleLog",
      "properties": {
          "msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
      }
    }
    
    {
       "category": "AzureFirewallApplicationRule",
       "time": "2018-04-16T23:45:04.8295030Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallApplicationRuleLog",
       "properties": {
           "msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals"
       }
    }
    
  • Log aturan jaringan

    Log aturan jaringan disimpan ke akun penyimpanan, di-streaming ke Event hubs, dan/atau dikirim ke log Azure Monitor hanya jika Anda telah mengaktifkannya untuk setiap Azure Firewall. Setiap koneksi baru yang cocok dengan salah satu aturan jaringan Anda yang dikonfigurasi akan menghasilkan log untuk koneksi yang diterima/ditolak. Data dicatat dalam format JSON, seperti yang ditunjukkan pada contoh berikut:

    Category: network rule logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    
    {
      "category": "AzureFirewallNetworkRule",
      "time": "2018-06-14T23:44:11.0590400Z",
      "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
      "operationName": "AzureFirewallNetworkRuleLog",
      "properties": {
          "msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
      }
    }
    
    
  • Log proksi DNS

    Log Proksi DNS disimpan ke akun penyimpanan, di-streaming ke Event hubs, dan/atau dikirim ke log Azure Monitor hanya jika Anda telah mengaktifkannya untuk setiap Azure Firewall. Log ini melacak pesan DNS ke server DNS yang dikonfigurasi menggunakan proksi DNS. Data dicatat dalam format JSON, seperti yang ditunjukkan pada contoh berikut:

    Category: DNS proxy logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    

    Berhasil:

    {
       "category": "AzureFirewallDnsProxy",
       "time": "2020-09-02T19:12:33.751Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallDnsProxyLog",
       "properties": {
           "msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
       }
    }
    

    Gagal:

    {
       "category": "AzureFirewallDnsProxy",
       "time": "2020-09-02T19:12:33.751Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallDnsProxyLog",
       "properties": {
           "msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
       }
    }
    

    format pesan:

    [client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]

Anda memiliki tiga opsi untuk menyimpan log:

  • Akun penyimpanan: Akun penyimpanan paling baik digunakan untuk log yang disimpan untuk durasi yang lebih lama dan ditinjau saat diperlukan.
  • Event hubs: Hub acara adalah opsi yang bagus untuk pengintegrasian dengan alat informasi keamanan dan manajemen peristiwa (SIEM) lainnya untuk mendapatkan peringatan tentang sumber daya Anda.
  • Log Azure Monitor: Log Azure Monitor paling baik digunakan untuk pemantauan aplikasi secara real-time atau melihat tren.

Log aktivitas

Entri log aktivitas dikumpulkan secara default, dan Anda dapat melihatnya di portal Microsoft Azure.

Anda dapat menggunakan log aktivitas Azure (sebelumnya dikenal dengan log operasional dan log audit) untuk melihat semua operasi yang dikirimkan ke langganan Azure Anda.

Metrik

Metrik di Azure Monitor berupa nilai numerik yang mendeskripsikan beberapa aspek sistem pada waktu tertentu. Metrik dikumpulkan setiap menit, dan berguna untuk pemberitahuan karena dapat sering diambil sampelnya. Pemberitahuan dapat diaktifkan dengan cepat dengan logika yang relatif sederhana.

Metrik berikut ini tersedia untuk Azure Firewall:

  • Jumlah klik aturan aplikasi - Frekuensi aturan aplikasi diklik.

    Unit: jumlah

  • Jumlah klik aturan jaringan - Frekuensi aturan jaringan diklik.

    Unit: jumlah

  • Data yang diproses - Jumlah data yang melintasi firewall dalam jendela waktu tertentu.

    Unit: byte

  • Throughput - Laju data yang melintasi firewall per detik.

    Unit: bit per detik

  • Status kesehatan firewall - Menunjukkan kesehatan firewall berdasarkan ketersediaan port SNAT.

    Unit: persen

    Metrik ini memiliki dua dimensi:

    • Status: Kemungkinan nilainya adalah Sehat, Terdegradasi, Tidak Sehat.

    • Alasan: Menunjukkan alasan status firewall yang sesuai.

      Jika port SNAT yang digunakan > 95%, port tersebut dianggap habis dan kesehatannya 50% dengan status=Menurun dan reason=port SNAT. Firewall terus memproses lalu lintas dan koneksi yang ada tidak terpengaruh. Namun, koneksi baru mungkin tidak dibuat sewaktu-waktu.

      Jika port SNAT yang digunakan < 95%, maka firewall dianggap sehat dan kesehatan ditampilkan sebagai 100%.

      Jika tidak ada penggunaan port SNAT yang dilaporkan, kesehatan ditampilkan sebagai 0%.

  • Penggunaan port SNAT - Persentase port SNAT yang telah digunakan oleh firewall.

    Unit: persen

    Ketika lebih banyak alamat IP publik ditambahkan ke firewall Anda, maka makin banyak port SNAT yang tersedia, mengurangi penggunaan port SNAT. Selain itu, ketika firewall diskalakan karena alasan lain (misalnya, CPU atau throughput), port SNAT tambahan juga menjadi tersedia. Jadi secara efektif, persentase tertentu dari penggunaan port SNAT mungkin tidak berfungsi meskipun Anda tidak menambahkan alamat IP publik, karena skala layanannya diperluas. Anda dapat langsung mengontrol jumlah alamat IP publik yang tersedia untuk meningkatkan port yang tersedia di firewall. Namun, Anda tidak dapat mengontrol penskalaan firewall secara langsung.

    Jika firewall kehabisan port SNAT, Anda harus menambahkan setidaknya lima alamat IP publik. Tindakan ini akan meningkatkan jumlah port SNAT yang tersedia. Untuk informasi selengkapnya, lihat Fitur Azure Firewall.

Langkah berikutnya