Share via

Azure 구조적 방화벽 로그

  • 아티클

구조화된 로그는 특정 형식으로 구성된 로그 데이터 형식입니다. 미리 정의된 스키마를 사용하여 쉽게 검색, 필터링 및 분석할 수 있는 방식으로 로그 데이터를 구조화합니다. 자유 형식 텍스트로 구성된 비구조적 로그와 달리 구조적 로그는 컴퓨터가 구문 분석하고 분석할 수 있는 일관된 형식을 갖습니다.

Azure Firewall의 구조화된 로그는 방화벽 이벤트에 대한 더 자세한 보기를 제공합니다. 여기에는 원본 및 대상 IP 주소, 프로토콜, 포트 번호, 방화벽에서 수행되는 작업과 같은 정보가 포함됩니다. 또한 이벤트 시간, Azure Firewall 인스턴스 이름 등 더 많은 메타데이터도 포함됩니다.

현재, 다음 진단 로그 범주를 Azure Firewall에 사용할 수 있습니다.

  • 애플리케이션 규칙 로그
  • 네트워크 규칙 로그
  • DNS 프록시 로그

이러한 로그 범주는 Azure 진단 모드를 사용합니다. 이 모드에서는 모든 진단 설정의 모든 데이터가 AzureDiagnostics 테이블에 수집됩니다.

구조화된 로그를 사용하면 기존 AzureDiagnostics 테이블 대신 리소스별 테이블을 사용하도록 선택할 수 있습니다. 두 로그 집합이 모두 필요한 경우 방화벽당 적어도 두 개의 진단 설정을 만들어야 합니다.

리소스별 모드

리소스별 모드에서는 진단 설정에서 선택한 각 범주에 대해 선택한 작업 영역의 개별 테이블이 생성됩니다. 이 방법은 다음 이유로 권장됩니다.

  • 전체 로딩 비용을 최대 80%까지 줄일 수 있습니다.
  • 로그 쿼리의 데이터 작업을 훨씬 쉽게 만듭니다.
  • 스키마 및 해당 구조를 더 쉽게 검색할 수 있습니다.
  • 수집 대기 시간과 쿼리 시간 모두에서 성능이 향상됩니다.
  • 특정 테이블에 대한 Azure RBAC 권한을 부여할 수 있습니다.

이제 다음 범주를 활용할 수 있는 진단 설정에서 새로운 리소스별 테이블을 사용할 수 있습니다.

  • 네트워크 규칙 로그 - 모든 네트워크 규칙 로그 데이터를 포함합니다. 데이터 평면과 네트워크 규칙이 일치할 때마다 데이터 평면 패킷과 일치하는 규칙의 특성을 사용하여 로그 항목을 만듭니다.
  • NAT 규칙 로그 - 모든 DNAT(Destination Network Address Translation) 이벤트 로그 데이터를 포함합니다. 데이터 평면과 DNAT 규칙이 일치할 때마다 데이터 평면 패킷과 일치하는 규칙의 특성을 사용하여 로그 항목을 만듭니다.
  • 애플리케이션 규칙 로그 - 모든 애플리케이션 규칙 로그 데이터를 포함합니다. 데이터 평면과 애플리케이션 규칙이 일치할 때마다 데이터 평면 패킷과 일치하는 규칙의 특성을 사용하여 로그 항목을 만듭니다.
  • 위협 인텔리전스 로그 - 모든 위협 인텔리전스 이벤트를 포함합니다.
  • IDPS 로그 - 하나 이상의 IDPS 서명과 일치하는 모든 데이터 평면 패킷을 포함합니다.
  • DNS 프록시 로그 - 모든 DNS 프록시 이벤트 로그 데이터를 포함합니다.
  • 내부 FQDN 확인 실패 로그 - 오류를 초래한 모든 내부 방화벽 FQDN 확인 요청을 포함합니다.
  • 애플리케이션 규칙 집계 로그 - 정책 분석에 대한 집계된 애플리케이션 규칙 로그 데이터를 포함합니다.
  • 네트워크 규칙 집계 로그 - 정책 분석에 대한 집계된 네트워크 규칙 로그 데이터를 포함합니다.
  • NAT 규칙 집계 로그 - 정책 분석에 대한 집계된 NAT 규칙 로그 데이터를 포함합니다.
  • 상위 흐름 로그(미리 보기) - 상위 흐름(Fat Flows) 로그는 방화벽을 통해 가장 높은 처리량에 기여하는 상위 연결을 표시합니다.
  • 흐름 추적(미리 보기) - 흐름 정보, 플래그 및 흐름이 기록된 기간이 포함됩니다. SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID(흐름) 등 전체 흐름 정보를 확인할 수 있습니다.

구조화된 로그 사용

Azure Firewall 구조적 로그를 사용하려면 먼저 Azure 구독에서 Log Analytics 작업 영역을 구성해야 합니다. 이 작업 영역은 Azure Firewall에서 생성된 구조적 로그를 저장하는 데 사용됩니다.

Log Analytics 작업 영역을 구성한 후에는 Azure Portal에서 방화벽의 진단 설정 페이지로 이동하여 Azure Firewall에서 구조화된 로그를 사용하도록 설정할 수 있습니다. 여기에서 리소스별 대상 테이블을 선택하고 기록할 이벤트 형식을 선택해야 합니다.

참고 항목

기능 플래그 또는 Azure PowerShell 명령을 사용하여 이 기능을 사용하도록 설정할 필요가 없습니다.

Screenshot of Diagnostics settings page.

구조화된 로그 쿼리

미리 정의된 쿼리 목록은 Azure Portal에서 사용할 수 있습니다. 이 목록에는 각 범주에 대해 미리 정의된 KQL(Kusto 쿼리 언어) 로그 쿼리와 전체 Azure Firewall 로깅 이벤트를 단일 보기에 표시하는 조인된 쿼리가 있습니다.

Screenshot showing Azure Firewall queries.

Azure Firewall 통합 문서

Azure Firewall 통합 문서는 Azure Firewall 데이터를 분석할 수 있도록 유연한 캔버스를 제공합니다. 이를 사용하여 Azure Portal 내에서 풍부한 시각적 보고서를 만들 수 있습니다. Azure에 걸쳐 배포된 여러 방화벽을 탭하여 통합된 대화형 환경으로 결합할 수 있습니다.

Azure Firewall 구조적 로그를 사용하는 새 통합 문서를 배포하려면 Azure Firewall용 Azure Monitor 통합 문서를 참조하세요.

다음 단계