Log di Firewall strutturato di Azure

  • Articolo

I log strutturati sono un tipo di dati di log organizzati in un formato specifico. Usano uno schema predefinito per strutturare i dati di log in modo da semplificare la ricerca, il filtro e l'analisi. A differenza dei log non strutturati, costituiti da testo in formato libero, i log strutturati hanno un formato coerente che i computer possono analizzare e analizzare.

i log strutturati di Firewall di Azure offrono una visualizzazione più dettagliata degli eventi del firewall. Includono informazioni quali indirizzi IP di origine e destinazione, protocolli, numeri di porta e azioni eseguite dal firewall. Includono anche più metadati, ad esempio l'ora dell'evento e il nome dell'istanza di Firewall di Azure.

Attualmente sono disponibili le categorie di log di diagnostica seguenti per Firewall di Azure:

  • Log delle regole di applicazione
  • Log delle regole di rete
  • Log proxy DNS

Queste categorie di log usano la modalità diagnostica di Azure. In questa modalità tutti i dati di qualsiasi impostazione di diagnostica vengono raccolti nella tabella AzureDiagnostics .

Con i log strutturati, è possibile scegliere di usare tabelle specifiche delle risorse anziché la tabella AzureDiagnostics esistente. Nel caso in cui siano necessari entrambi i set di log, è necessario creare almeno due impostazioni di diagnostica per ogni firewall.

Modalità specifica della risorsa

In Modalità specifica risorsa vengono create singole tabelle nell'area di lavoro selezionata per ogni categoria selezionata nell'impostazione di diagnostica. Questo metodo è consigliato perché:

  • Può ridurre i costi di registrazione complessivi fino all'80%.
  • semplifica notevolmente l'uso dei dati nelle query di log
  • semplifica l'individuazione degli schemi e della relativa struttura
  • migliora le prestazioni sia nella latenza di inserimento che nei tempi di query
  • consente di concedere diritti di controllo degli accessi in base al ruolo di Azure per una tabella specifica

Le nuove tabelle specifiche delle risorse sono ora disponibili nell'impostazione diagnostica che consente di utilizzare le categorie seguenti:

  • Log delle regole di rete : contiene tutti i dati del log delle regole di rete. Ogni corrispondenza tra il piano dati e la regola di rete crea una voce di log con il pacchetto del piano dati e gli attributi della regola corrispondente.
  • Log delle regole NAT : contiene tutti i dati di log degli eventi DNAT (Destination Network Address Translation). Ogni corrispondenza tra il piano dati e la regola DNAT crea una voce di log con il pacchetto del piano dati e gli attributi della regola corrispondente.
  • Log delle regole dell'applicazione : contiene tutti i dati del log delle regole dell'applicazione. Ogni corrispondenza tra il piano dati e la regola dell'applicazione crea una voce di log con il pacchetto del piano dati e gli attributi della regola corrispondente.
  • Log di Intelligence per le minacce: contiene tutti gli eventi di Intelligence per le minacce.
  • Log IDPS : contiene tutti i pacchetti del piano dati corrispondenti a una o più firme IDPS.
  • Log proxy DNS : contiene tutti i dati del log degli eventi proxy DNS.
  • Log degli errori di risoluzione FQDN interno : contiene tutte le richieste di risoluzione FQDN del firewall interno che hanno generato un errore.
  • Log di aggregazione delle regole dell'applicazione : contiene i dati aggregati del log delle regole dell'applicazione per Analisi criteri.
  • Log aggregazione regole di rete : contiene i dati aggregati del log delle regole di rete per Analisi criteri.
  • Log aggregazione regole NAT : contiene i dati aggregati del log delle regole NAT per Analisi criteri.
  • Log dei flussi principali (anteprima): il log Dei flussi principali (flussi fati) mostra le principali connessioni che contribuiscono alla velocità effettiva più elevata tramite il firewall.
  • Traccia del flusso (anteprima): contiene informazioni sul flusso, flag e periodo di tempo in cui sono stati registrati i flussi. È possibile visualizzare informazioni complete sul flusso, ad esempio SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (flussi).

Abilitare i log strutturati

Per abilitare Firewall di Azure log strutturati, è prima necessario configurare un'area di lavoro Log Analytics nella sottoscrizione di Azure. Questa area di lavoro viene usata per archiviare i log strutturati generati da Firewall di Azure.

Dopo aver configurato l'area di lavoro Log Analytics, è possibile abilitare i log strutturati in Firewall di Azure passando alla pagina Impostazioni di diagnostica del firewall nella portale di Azure. Da qui è necessario selezionare la tabella Di destinazione specifica della risorsa e selezionare il tipo di eventi da registrare.

Nota

Non è necessario abilitare questa funzionalità con un flag di funzionalità o comandi Azure PowerShell.

Screenshot della pagina Impostazioni di diagnostica.

Query di log strutturate

Nell'portale di Azure è disponibile un elenco di query predefinite. Questo elenco include una query di log KQL (Linguaggio di query Kusto) predefinita per ogni categoria e query unita che mostra l'intero evento di registrazione del firewall di Azure in una singola visualizzazione.

Screenshot che mostra Firewall di Azure query.

Cartella di lavoro di Firewall di Azure

Firewall di Azure Cartella di lavoro offre un'area di disegno flessibile per l'analisi dei dati di Firewall di Azure. È possibile usarlo per creare report visivi avanzati all'interno del portale di Azure. È possibile sfruttare più firewall distribuiti in Azure e combinarli in esperienze interattive unificate.

Per distribuire la nuova cartella di lavoro che usa Firewall di Azure log strutturati, vedere Cartella di lavoro di Monitoraggio di Azure per Firewall di Azure.

Passaggi successivi