Omówienie dzienników i metryk usługi Azure Firewall

  • Artykuł

Dzienniki i metryki usługi Azure Firewall umożliwiają monitorowanie ruchu i operacji w zaporze. Te dzienniki i metryki służą kilku istotnym celom, w tym:

  • Analiza ruchu: użyj dzienników, aby zbadać i przeanalizować ruch przechodzący przez zaporę. Obejmuje to badanie dozwolonego i odrzuconego ruchu, inspekcję źródłowych i docelowych adresów IP, adresów URL, numerów portów, protokołów i nie tylko. Te szczegółowe informacje są niezbędne do zrozumienia wzorców ruchu, identyfikowania potencjalnych zagrożeń bezpieczeństwa i rozwiązywania problemów z łącznością.

  • Metryki wydajności i kondycji: metryki usługi Azure Firewall zapewniają metryki wydajności i kondycji, takie jak przetworzone dane, przepływność, liczba trafień reguł i opóźnienie. Monitoruj te metryki, aby ocenić ogólną kondycję zapory, zidentyfikować wąskie gardła wydajności i wykryć wszelkie anomalie.

  • Dziennik inspekcji: dzienniki aktywności umożliwiają inspekcję operacji związanych z zasobami zapory, przechwytywanie akcji, takich jak tworzenie, aktualizowanie lub usuwanie reguł zapory i zasad. Przeglądanie dzienników aktywności pomaga zachować historyczny rekord zmian konfiguracji i zapewnia zgodność z wymaganiami dotyczącymi zabezpieczeń i inspekcji.

Wyświetlanie i przechowywanie

Dostęp do dzienników i metryk można uzyskać za pośrednictwem witryny Azure Portal z wieloma opcjami magazynu i analizy:

  • Obszar roboczy usługi Log Analytics (obsługiwany przez usługę Azure Monitor): scentralizowanie dzienników i metryk usługi Azure Firewall w obszarze roboczym usługi Log Analytics na potrzeby zaawansowanej analizy, tworzenia dostosowanego pulpitu nawigacyjnego i konfigurowania alertów na podstawie określonych progów metryk.

  • Konto magazynu: przechowywanie dzienników na koncie usługi Azure Storage na potrzeby długoterminowego przechowywania i integracji z zewnętrznymi narzędziami do analizy dzienników.

  • Centrum zdarzeń: przesyłanie strumieniowe dzienników usługi Azure Firewall do usługi Azure Event Hub w celu przetwarzania, analizy lub integracji z rozwiązaniami SIEM innych firm.

  • Rozwiązania partnerskie: wysyłanie dzienników usługi Azure Firewall do rozwiązań partnerskich innych firm w celu dalszej analizy i korelacji z innymi danymi zabezpieczeń.

Ustawienia konfiguracji dzienników i metryk dla usługi Azure Firewall są zwykle wykonywane za pośrednictwem witryny Azure Portal. Dzięki temu można określić miejsce docelowe dzienników i metryk oraz skonfigurować konfiguracje przechowywania i zgłaszania alertów dostosowane do wymagań organizacji dotyczących monitorowania i zabezpieczeń.

Dzienniki ustrukturyzowane

Monitorowanie usługi Azure Firewall przy użyciu dzienników strukturalnych, które używają wstępnie zdefiniowanego schematu do tworzenia struktury danych dziennika w celu łatwego wyszukiwania, filtrowania i analizy. Te dzienniki obejmują informacje, takie jak źródłowe i docelowe adresy IP, protokoły, numery portów i akcje zapory. Określanie priorytetów konfigurowania dzienników strukturalnych jako głównego typu dziennika przy użyciu tabel specyficznych dla zasobów zamiast istniejącej tabeli AzureDiagnostics. Aby włączyć te dzienniki i eksplorować kategorie dzienników, zobacz Dzienniki usługi Azure Structured Firewall.

Starsze dzienniki Diagnostyka Azure

Starsze dzienniki diagnostyczne platformy Azure to oryginalne zapytania dziennika usługi Azure Firewall, które wyświetlają dane dziennika w formacie tekstowym bez struktury lub bez struktury. Starsze kategorie dzienników usługi Azure Firewall używają trybu diagnostyki platformy Azure, zbierając całe dane w tabeli AzureDiagnostics. Jeśli wymagane są zarówno dzienniki ustrukturyzowane, jak i diagnostyczne, należy utworzyć co najmniej dwa ustawienia diagnostyczne na zaporę. Aby włączyć te dzienniki i eksplorować kategorie dzienników, zobacz Dzienniki diagnostyczne usługi Azure Firewall.

Metryki

Metryki w usłudze Azure Monitor to wartości liczbowe opisujące aspekty systemu w określonym czasie. Zbierane co minutę metryki są przydatne do zgłaszania alertów ze względu na częste próbkowanie. Szybkie konfigurowanie alertów przy użyciu stosunkowo prostej logiki. Aby uzyskać dostępne metryki i konfigurować alerty dla usługi Azure Firewall, zobacz Metryki i alerty usługi Azure Firewall.

Dzienniki aktywności

Wpisy dziennika aktywności są zbierane domyślnie i można je wyświetlić w witrynie Azure Portal. Użyj dzienników aktywności platformy Azure (wcześniej znanych jako dzienniki operacyjne i dzienniki inspekcji), aby wyświetlić wszystkie operacje przesłane do subskrypcji platformy Azure.

Następne kroki