Monitorowanie dzienników Azure Firewall (starsza wersja) i metryk

Porada

Aby uzyskać ulepszoną metodę pracy z dziennikami zapory, zobacz Dzienniki usługi Azure Structured Firewall.

Usługę Azure Firewall możesz monitorować przy użyciu dzienników zapory. Ponadto dzienniki aktywności umożliwiają inspekcję operacji wykonywanych względem zasobów usługi Azure Firewall. Za pomocą metryk możesz wyświetlać liczniki wydajności w portalu.

Niektóre z tych dzienników są dostępne za pośrednictwem portalu. Dzienniki mogą być wysyłane do dzienników usługi Azure Monitor, usługi Storage i Event Hubs oraz analizowane za pomocą dzienników usługi Azure Monitor lub innych narzędzi, takich jak program Excel i usługa Power BI.

Uwaga

Ten artykuł został niedawno zaktualizowany, aby użyć terminu Dzienniki usługi Azure Monitor zamiast usługi Log Analytics. Dane dzienników są nadal przechowywane w obszarze roboczym usługi Log Analytics i są nadal zbierane i analizowane przez tę samą usługę Log Analytics. Aktualizujemy terminologię, aby lepiej odzwierciedlać rolę dzienników w usłudze Azure Monitor. Aby uzyskać szczegółowe informacje, zobacz Zmiany terminologii usługi Azure Monitor .

Uwaga

Zalecamy korzystanie z modułu Azure Az programu PowerShell do interakcji z platformą Azure. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Wymagania wstępne

Przed rozpoczęciem należy przeczytać Azure Firewall dzienniki i metryki, aby zapoznać się z omówieniem dzienników diagnostycznych i metryk dostępnych dla Azure Firewall.

Włączanie rejestrowania diagnostycznego za pośrednictwem witryny Azure Portal

Od wykonania tej procedury w celu włączenia rejestrowania diagnostycznego może upłynąć kilka minut, zanim dane pojawią się w dziennikach. Jeśli na początku nic nie widzisz, sprawdź ponownie w ciągu kilku minut.

1. W Azure Portal otwórz grupę zasobów zapory i wybierz zaporę.

2. W obszarze Monitorowanie wybierz pozycję Ustawienia diagnostyczne.

   W przypadku Azure Firewall dostępne są trzy starsze dzienniki specyficzne dla usługi:

   • reguła aplikacji Azure Firewall (starsza wersja Diagnostyka Azure)
   • Azure Firewall reguła sieci (starsza wersja Diagnostyka Azure)
   • serwer proxy dns Azure Firewall (starsza wersja Diagnostyka Azure)

3. Wybierz pozycję Dodaj ustawienia diagnostyczne. Strona Ustawienia diagnostyczne zawiera ustawienia dzienników diagnostycznych.

4. Wpisz nazwę ustawienia diagnostycznego.

5. W obszarze Dzienniki wybierz pozycję reguła aplikacji Azure Firewall (starsza wersja Diagnostyka Azure), reguła sieci Azure Firewall (starsza wersja Diagnostyka Azure) i serwer proxy dns Azure Firewall (starsza wersja) Diagnostyka Azure) w celu zbierania dzienników.

6. Wybierz pozycję Wyślij do usługi Log Analytics, aby skonfigurować obszar roboczy.

7. Wybierz subskrypcję.

8. W tabeli Destination (Miejsce docelowe) wybierz pozycję Diagnostyka platformy Azure.

9. Wybierz pozycję Zapisz.

   

Włączanie rejestrowania diagnostycznego przy użyciu programu PowerShell

Rejestrowanie aktywności jest automatycznie włączone dla wszystkich zasobów usługi Resource Manager. Aby rozpocząć zbieranie danych dostępnych za pośrednictwem tych dzienników, należy włączyć rejestrowanie diagnostyczne.

Aby włączyć rejestrowanie diagnostyczne za pomocą programu PowerShell, wykonaj następujące kroki:

1. Zanotuj identyfikator zasobu obszaru roboczego usługi Log Analytics, w którym są przechowywane dane dziennika. Ta wartość ma postać:

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

   Możesz użyć dowolnego obszaru roboczego w subskrypcji. Te informacje możesz znaleźć w witrynie Azure Portal. Informacje znajdują się na stronie Właściwości zasobu.

2. Zanotuj identyfikator zasobu zapory. Ta wartość ma postać:

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

   Te informacje możesz znaleźć w portalu.

3. Włącz rejestrowanie diagnostyczne dla wszystkich dzienników i metryk przy użyciu następującego polecenia cmdlet programu PowerShell:

      $diagSettings = @{
      Name = 'toLogAnalytics'
      ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
      WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
      }
   New-AzDiagnosticSetting  @diagSettings 
   

Włączanie rejestrowania diagnostycznego przy użyciu interfejsu wiersza polecenia platformy Azure

Rejestrowanie aktywności jest automatycznie włączone dla wszystkich zasobów usługi Resource Manager. Aby rozpocząć zbieranie danych dostępnych za pośrednictwem tych dzienników, należy włączyć rejestrowanie diagnostyczne.

Aby włączyć rejestrowanie diagnostyczne za pomocą interfejsu wiersza polecenia platformy Azure, wykonaj następujące kroki:

1. Zanotuj identyfikator zasobu obszaru roboczego usługi Log Analytics, w którym są przechowywane dane dziennika. Ta wartość ma postać:

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

   Możesz użyć dowolnego obszaru roboczego w subskrypcji. Te informacje możesz znaleźć w witrynie Azure Portal. Informacje znajdują się na stronie Właściwości zasobu.

2. Zanotuj identyfikator zasobu zapory. Ta wartość ma postać:

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

   Te informacje możesz znaleźć w portalu.

3. Włącz rejestrowanie diagnostyczne dla wszystkich dzienników i metryk przy użyciu następującego polecenia interfejsu wiersza polecenia platformy Azure:

      az monitor diagnostic-settings create -n 'toLogAnalytics'
      --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
      --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
      --logs "[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]" 
      --metrics "[{\"category\": \"AllMetrics\",\"enabled\": true}]"
   

Wyświetlanie i analizowanie dziennika aktywności

Dane dziennika aktywności można wyświetlać i analizować przy użyciu dowolnej z następujących metod:

• Narzędzia platformy Azure: pobierz informacje z dziennika aktywności przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure, interfejsu API REST platformy Azure lub witryny Azure Portal. Instrukcje krok po kroku dla każdej metody są szczegółowo opisane w artykule Activity operations with Resource Manager (Operacje działań przy użyciu usługi Resource Manager).

• Usługa Power BI: jeśli nie masz jeszcze konta usługi Power BI, możesz ją wypróbować bezpłatnie. Korzystając z pakietu zawartości dzienników aktywności platformy Azure dla usługi Power BI, możesz analizować dane przy użyciu wstępnie skonfigurowanych pulpitów nawigacyjnych, których możesz używać bez zmian lub po dostosowaniu.

• Microsoft Sentinel: możesz połączyć Azure Firewall dzienniki z usługą Microsoft Sentinel, umożliwiając wyświetlanie danych dzienników w skoroszytach, używanie ich do tworzenia alertów niestandardowych i dołączanie ich do ulepszania badania. Łącznik danych Azure Firewall w usłudze Microsoft Sentinel jest obecnie w publicznej wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Łączenie danych z Azure Firewall.

  Zobacz następujący film wideo Mohit Kumar, aby zapoznać się z omówieniem:

Wyświetlanie i analizowanie dzienników reguł sieci i aplikacji

Azure Firewall Skoroszyt udostępnia elastyczną kanwę do analizy danych Azure Firewall. Można go użyć do tworzenia rozbudowanych raportów wizualnych w ramach Azure Portal. Możesz wykorzystać wiele zapór wdrożonych na platformie Azure i połączyć je w ujednolicone środowiska interaktywne.

Ponadto możesz połączyć się z kontem magazynu i pobrać wpisy dziennika JSON dotyczące dostępu i wydajności. Po pobraniu plików JSON możesz je przekonwertować do formatu CSV i wyświetlać w programie Excel, usłudze Power BI lub innym narzędziu do wizualizacji danych.

Porada

Jeśli znasz program Visual Studio oraz podstawowe pojęcia dotyczące zmiany wartości stałych i zmiennych w języku C#, możesz skorzystać z konwerterów dzienników dostępnych w witrynie GitHub.

Wyświetlanie metryk

Przejdź do Azure Firewall. W obszarze Monitorowanie wybierz pozycję Metryki. Aby wyświetlić dostępne wartości, wybierz listę rozwijaną METRYKA.

Następne kroki

Teraz, gdy skonfigurowano zaporę na potrzeby zbierania dzienników, możesz eksplorować dzienniki usługi Azure Monitor, aby wyświetlać dane.

• Monitorowanie dzienników przy użyciu skoroszytu Azure Firewall
• Rozwiązania do monitorowania sieci w dziennikach usługi Azure Monitor
• Dowiedz się więcej o zabezpieczeniach sieci platformy Azure