Metrik dan pemberitahuan Azure Firewall
Metrik di Azure Monitor berupa nilai numerik yang mendeskripsikan beberapa aspek sistem pada waktu tertentu. Metrik dikumpulkan setiap menit, dan berguna untuk pemberitahuan karena dapat sering diambil sampelnya. Pemberitahuan dapat diaktifkan dengan cepat dengan logika yang relatif sederhana.
Metrik firewall
Metrik berikut ini tersedia untuk Azure Firewall:
Jumlah klik aturan aplikasi - Frekuensi aturan aplikasi diklik.
Unit: jumlah
Jumlah klik aturan jaringan - Frekuensi aturan jaringan diklik.
Unit: jumlah
Data yang diproses - Jumlah data yang melintasi firewall dalam jendela waktu tertentu.
Unit: byte
Throughput - Laju data yang melintasi firewall per detik.
Unit: bit per detik
Status kesehatan firewall - Menunjukkan kesehatan firewall berdasarkan ketersediaan port SNAT.
Unit: persen
Metrik ini memiliki dua dimensi:
Status: Kemungkinan nilainya adalah Sehat, Terdegradasi, Tidak Sehat.
Alasan: Menunjukkan alasan status firewall yang sesuai.
Jika port SNAT digunakan > 95%, port tersebut dianggap kelelahan dan kesehatannya 50% dengan status=Terdegradasi dan alasan=port SNAT. Firewall terus memproses lalu lintas dan koneksi yang ada tidak terpengaruh. Namun, koneksi baru mungkin tidak dibuat sewaktu-waktu.
Jika port SNAT yang digunakan < 95%, maka firewall dianggap sehat dan kesehatan ditampilkan sebagai 100%.
Jika tidak ada penggunaan port SNAT yang dilaporkan, kesehatan ditampilkan sebagai 0%.
Penggunaan port SNAT - Persentase port SNAT yang telah digunakan oleh firewall.
Unit: persen
Ketika Anda menambahkan lebih banyak alamat IP publik ke firewall Anda, maka makin banyak port SNAT yang tersedia, mengurangi penggunaan port SNAT. Selain itu, ketika firewall diskalakan karena alasan yang berbeda (misalnya, CPU atau hasil), port SNAT tambahan juga tersedia. Jadi secara efektif, persentase tertentu dari penggunaan port SNAT mungkin tidak berfungsi meskipun Anda tidak menambahkan alamat IP publik, karena skala layanannya diperluas. Anda dapat langsung mengontrol jumlah alamat IP publik yang tersedia untuk meningkatkan port yang tersedia di firewall. Namun, Anda tidak dapat mengontrol penskalaan firewall secara langsung.
Jika firewall kehabisan port SNAT, Anda harus menambahkan setidaknya lima alamat IP publik. Tindakan ini akan meningkatkan jumlah port SNAT yang tersedia. Untuk informasi selengkapnya, lihat Fitur Azure Firewall.
Pemeriksaan Latensi AZFW - Memperkirakan latensi rata-rata Azure Firewall.
Unit: ms
Metrik ini mengukur latensi keseluruhan atau rata-rata Azure Firewall dalam milidetik. Administrator dapat menggunakan metrik ini untuk tujuan berikut:
Mendiagnosis apakah Azure Firewall adalah penyebab latensi dalam jaringan
Pantau dan waspada jika ada masalah latensi atau performa, sehingga tim TI dapat terlibat secara proaktif.
Mungkin ada berbagai alasan yang dapat menyebabkan latensi tinggi di Azure Firewall. Misalnya, pemanfaatan CPU yang tinggi, throughput tinggi, atau kemungkinan masalah jaringan.
Metrik ini tidak mengukur latensi end-to-end dari jalur jaringan tertentu. Dengan kata lain, pemeriksaan kesehatan latensi ini tidak mengukur berapa banyak latensi yang ditambahkan Azure Firewall.
Saat metrik latensi tidak berfungsi seperti yang diharapkan, nilai 0 muncul di dasbor metrik.
Sebagai referensi, latensi rata-rata yang diharapkan untuk firewall adalah sekitar 1 mdtk. Ini dapat bervariasi tergantung pada ukuran dan lingkungan penyebaran.
Pemeriksaan latensi didasarkan pada teknologi Ping Mesh Microsoft. Jadi, lonjakan terputus-terputus dalam metrik latensi diharapkan. Lonjakan ini normal dan tidak menandakan masalah dengan Azure Firewall. Mereka adalah bagian dari penyiapan jaringan host standar yang mendukung sistem.
Akibatnya, jika Anda mengalami latensi tinggi yang konsisten yang berlangsung lebih lama dari lonjakan umum, pertimbangkan untuk mengajukan tiket Dukungan untuk mendapatkan bantuan.
Pemberitahuan tentang metrik Azure Firewall
Metrik menyediakan sinyal penting untuk melacak kesehatan sumber daya Anda. Jadi, penting untuk memantau metrik untuk sumber daya Anda dan berhati-hatilah terhadap anomali apa pun. Tetapi bagaimana jika metrik Azure Firewall berhenti mengalir? Ini dapat menunjukkan potensi masalah konfigurasi atau sesuatu yang lebih tidak menyenangkan seperti pemadaman. Metrik yang hilang dapat terjadi karena menerbitkan rute default yang memblokir Azure Firewall mengunggah metrik, atau jumlah instans sehat turun ke nol. Di bagian ini, Anda akan mempelajari cara mengonfigurasi metrik ke ruang kerja analitik log dan untuk memperingatkan metrik yang hilang.
Mengonfigurasi metrik ke ruang kerja analitik log
Langkah pertama adalah mengonfigurasi ketersediaan metrik ke ruang kerja analitik log menggunakan pengaturan diagnostik di firewall.
Telusuri ke halaman sumber daya Azure Firewall untuk mengonfigurasi pengaturan diagnostik seperti yang ditunjukkan pada cuplikan layar berikut. Ini mendorong metrik firewall ke ruang kerja yang dikonfigurasi.
Catatan
Pengaturan diagnostik untuk metrik harus merupakan konfigurasi terpisah daripada log. Log firewall dapat dikonfigurasi untuk menggunakan Azure Diagnostics atau Resource Specific. Namun, metrik Firewall harus selalu menggunakan Azure Diagnostics.
Buat pemberitahuan untuk melacak penerimaan metrik firewall tanpa kegagalan apa pun
Telusuri ke ruang kerja yang dikonfigurasi dalam pengaturan diagnostik metrik. Periksa apakah metrik tersedia menggunakan kueri berikut:
AzureMetrics
| where MetricName contains "FirewallHealth"
| where ResourceId contains "/SUBSCRIPTIONS/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/RESOURCEGROUPS/PARALLELIPGROUPRG/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/HUBVNET-FIREWALL"
| where TimeGenerated > ago(30m)
Selanjutnya, buat pemberitahuan untuk metrik yang hilang selama periode waktu 60 menit. Telusuri ke halaman Pemberitahuan di ruang kerja analitik log untuk menyiapkan pemberitahuan baru pada metrik yang hilang.
