Condividi tramite

Raccogliere i log di Windows Firewall dalla macchina virtuale con Monitoraggio di Azure

Windows Firewall è un'applicazione di Microsoft Windows che filtra le informazioni provenienti nel sistema da Internet e blocca i programmi potenzialmente dannosi. I log di Windows Firewall vengono generati nei sistemi operativi client e server. Questi log forniscono informazioni preziose sul traffico di rete, inclusi pacchetti eliminati e connessioni riuscite. L'analisi dei file di log di Windows Firewall può essere eseguita usando metodi come l'inoltro degli eventi di Windows (WEF) o l'inoltro dei log a un prodotto SIEM come Azure Sentinel.

I dettagli sulla creazione di DCR sono disponibili in Raccogliere dati dal client di macchina virtuale con Monitoraggio di Azure. Questo articolo fornisce dettagli aggiuntivi per il tipo di origine dati di Windows Firewall.

Prerequisiti

Oltre ai prerequisiti in Raccogliere dati dal client di macchine virtuali con Monitoraggio di Azure, è necessario installare la soluzione Sicurezza e controllo per creare la tabella WindowsFirewall nell'area di lavoro Log Analytics.

Nel portale di Azure cercare Sicurezza e controllo e selezionare la soluzione dal Marketplace. Quando richiesto, specificare il gruppo di risorse e l'area di lavoro Log Analytics in cui verranno inviati i dati di log del firewall.

Screenshot che mostra l'installazione della soluzione Sicurezza e controllo.

Configurare l'origine dati dei log del firewall

Crea il DCR usando il processo in Raccogliere dati dal client di macchine virtuali con Azure Monitor. Nella scheda Raccogli e recapita della DCR, selezionare Log del firewall dall'elenco a discesa Tipo di origine dati. Selezionare ognuno dei profili di rete da raccogliere.

Screenshot che mostra la configurazione dell'origine dati dei log del firewall.

Aggiungere destinazioni

I log del firewall possono essere inviati solo a un'area di lavoro Log Analytics in cui è archiviata nella tabella Eventi . Aggiungere una destinazione di tipo Log di Monitoraggio di Azure e selezionare un'area di lavoro Log Analytics. È possibile aggiungere solo una singola area di lavoro a una DCR per un'origine dati di log del firewall. Se si hanno bisogno di più destinazioni, creare più DCR. Tenere presente, tuttavia, che invierà dati duplicati a ognuno di essi, con un costo aggiuntivo.

Screenshot che mostra la configurazione di una destinazione log di Monitoraggio di Azure in una regola di raccolta dati.

Verificare la raccolta dati

Per verificare che i dati vengano raccolti, verificare la presenza di record nella WindowsFirewall tabella. Dalla macchina virtuale o dall'area di lavoro Log Analytics nel portale di Azure selezionare Log e quindi fare clic sul pulsante Tabelle . Nella categoria Sicurezza e controllo fare clic su Esegui accanto a WindowsFirewall. Se questa sezione o la tabella non viene visualizzata nell'elenco, vedere Risolvere i problemi per risolvere il problema.

Screenshot che mostra la query dei log del firewall con i log del firewall raccolti.

Risoluzione dei Problemi

Usare la procedura seguente per risolvere i problemi relativi alla raccolta di log del firewall.

Verificare che Windows Firewall sia abilitato

Seguire questa procedura nel computer Windows:

  1. Selezionare Start, quindi aprire Impostazioni.
  2. In Aggiorna e sicurezza selezionare Sicurezza di Windows e quindi Firewall e protezione di rete.
  3. Selezionare un profilo di rete: dominio, privato o pubblico.
  4. Verificare che l'impostazione di Microsoft Defender Firewall sia attivata.

Verificare che i log del firewall siano in corso di creazione

Per iniziare, controllare i timestamp dei file di log e aprire la versione più recente per verificare che i timestamp più recenti siano presenti nei file di log. Il percorso predefinito per i file di log del firewall è C:\windows\system32\logfiles\firewall\pfirewall.log.

Per verificare e modificare le impostazioni di registrazione, seguire questa procedura nel computer Windows:

  1. Nella pagina Firewall e protezione di rete selezionare Impostazioni avanzate.

  2. Selezionare Monitoraggio e controllare le impostazioni di registrazione per ogni profilo.

    Screenshot che mostra le impostazioni correnti del log del firewall.

  3. Per modificare le impostazioni di registrazione, fare clic con il pulsante destro del mouse su Windows Defender Firewall nel riquadro sinistro e scegliere Proprietà. Selezionare Personalizza accanto a Registrazione e modificare le impostazioni per ogni profilo.

    Screenshot che mostra la modifica delle impostazioni del log del firewall.

È possibile abilitare la registrazione per tutti i profili usando la riga di comando seguente:

netsh advfirewall set allprofiles logging allowedconnections enable​
netsh advfirewall set allprofiles logging droppedconnections enable​

Eseguire lo strumento di risoluzione dei problemi dell'agente di Monitoraggio di Azure

Per testare la configurazione e condividere i log con Microsoft, usare lo strumento di risoluzione dei problemi dell'agente di Monitoraggio di Azure.

Passaggi successivi

Altre informazioni su: