Metryki i alerty usługi Azure Firewall
Metryki w usłudze Azure Monitor to wartości liczbowe, które opisują jakiś aspekt systemu w określonym czasie. Metryki są zbierane co minutę i są przydatne do zgłaszania alertów, ponieważ mogą być często próbkowane. Alert można szybko wyzwalać za pomocą stosunkowo prostej logiki.
Metryki zapory
Dla usługi Azure Firewall są dostępne następujące metryki:
Liczba trafień reguł aplikacji — liczba trafień reguły aplikacji.
Jednostka: liczba
Liczba trafień reguł sieciowych — liczba trafień reguły sieciowej.
Jednostka: liczba
Przetworzone dane — suma danych przechodzących przez zaporę w danym przedziale czasu.
Jednostka: bajty
Przepływność — szybkość przechodzenia danych przez zaporę na sekundę.
Jednostka: bity na sekundę
Stan kondycji zapory — wskazuje kondycję zapory na podstawie dostępności portów SNAT.
Jednostka: procent
Ta metryka ma dwa wymiary:
Stan: Możliwe wartości są w dobrej kondycji, obniżone, w złej kondycji.
Przyczyna: wskazuje przyczynę odpowiedniego stanu zapory.
Jeśli porty SNAT są używane > 95%, są uznawane za wyczerpane, a kondycja wynosi 50% ze stanem =Obniżona wydajność i przyczyna =Port SNAT. Zapora nadal przetwarza ruch i istniejące połączenia nie mają wpływu. Jednak sporadycznie mogą wystąpić problemy z ustanawianiem nowych połączeń.
Jeśli porty SNAT są używane < 95%, zapora jest uważana za w dobrej kondycji, a kondycja jest wyświetlana jako 100%.
Jeśli nie zgłoszono żadnego użycia portów SNAT, dla kondycji jest wyświetlana wartość 0%.
Wykorzystanie portów SNAT — procent portów SNAT używanych przez zaporę.
Jednostka: procent
Gdy dodasz więcej publicznych adresów IP do zapory, więcej portów SNAT będzie dostępnych i zmniejszy się ich wykorzystanie. Ponadto, gdy zapora jest z różnych powodów skalowana w poziomie (na przykład ze względu na procesor CPU lub przepływność), zwalniane są dodatkowe porty SNAT. Tak skutecznie dany procent wykorzystania portów SNAT może spaść bez dodawania publicznych adresów IP, tylko dlatego, że usługa została przeskalowana w poziomie. Możesz bezpośrednio kontrolować liczbę dostępnych publicznych adresów IP, aby zwiększyć liczbę dostępnych portów w zaporze. Nie można jednak bezpośrednio kontrolować skalowania zapory.
Jeśli zapora jest uruchomiona w wyczerpaniu portów SNAT, należy dodać co najmniej pięć publicznych adresów IP. Zwiększa to liczbę dostępnych portów SNAT. Aby uzyskać więcej informacji, zobacz Funkcje usługi Azure Firewall.
Sonda opóźnienia AZFW — szacuje średnie opóźnienie usługi Azure Firewall.
Jednostka: ms
Ta metryka mierzy ogólne lub średnie opóźnienie usługi Azure Firewall w milisekundach. Administracja istratory mogą używać tej metryki do następujących celów:
Diagnozowanie, czy usługa Azure Firewall jest przyczyną opóźnienia w sieci
Monitoruj i ostrzegaj, jeśli występują jakiekolwiek problemy z opóźnieniami lub wydajnością, aby zespoły IT mogły aktywnie współpracować.
Mogą wystąpić różne przyczyny, które mogą powodować duże opóźnienia w usłudze Azure Firewall. Na przykład wysokie wykorzystanie procesora CPU, wysoka przepływność lub możliwy problem z siecią.
Ta metryka nie mierzy całkowitego opóźnienia danej ścieżki sieciowej. Innymi słowy, ta sonda kondycji opóźnienia nie mierzy, ile opóźnień dodaje usługa Azure Firewall.
Gdy metryka opóźnienia nie działa zgodnie z oczekiwaniami, na pulpicie nawigacyjnym metryk zostanie wyświetlona wartość 0.
W odniesieniu do średniego oczekiwanego opóźnienia zapory wynosi około 1 ms. Może się to różnić w zależności od rozmiaru wdrożenia i środowiska.
Sonda opóźnienia jest oparta na technologii Ping Mesh firmy Microsoft. Dlatego oczekiwane są sporadyczne skoki metryki opóźnienia. Te skoki są normalne i nie sygnalizują problemu z usługą Azure Firewall. Są one częścią standardowej konfiguracji sieci hosta, która obsługuje system.
W związku z tym, jeśli występują spójne duże opóźnienia, które trwają dłużej niż typowe skoki, rozważ złożenie biletu pomocy technicznej w celu uzyskania pomocy.
Alert dotyczący metryk usługi Azure Firewall
Metryki zapewniają krytyczne sygnały do śledzenia kondycji zasobu. Dlatego ważne jest, aby monitorować metryki zasobu i uważać na wszelkie anomalie. Ale co zrobić, jeśli metryki usługi Azure Firewall przestaną przepływać? Może to wskazywać na potencjalny problem z konfiguracją lub coś bardziej złowieszczego, takiego jak awaria. Brakujące metryki mogą wystąpić z powodu publikowania tras domyślnych, które blokują usłudze Azure Firewall przekazywanie metryk lub liczba wystąpień w dobrej kondycji spada do zera. W tej sekcji dowiesz się, jak skonfigurować metryki w obszarze roboczym usługi Log Analytics i otrzymywać alerty dotyczące brakujących metryk.
Konfigurowanie metryk w obszarze roboczym usługi Log Analytics
Pierwszym krokiem jest skonfigurowanie dostępności metryk w obszarze roboczym usługi Log Analytics przy użyciu ustawień diagnostycznych w zaporze.
Przejdź do strony zasobu usługi Azure Firewall, aby skonfigurować ustawienia diagnostyczne, jak pokazano na poniższym zrzucie ekranu. Spowoduje to wypychanie metryk zapory do skonfigurowanego obszaru roboczego.
Uwaga
Ustawienia diagnostyczne metryk muszą być oddzielną konfiguracją niż dzienniki. Dzienniki zapory można skonfigurować do używania Diagnostyka Azure lub specyficznego dla zasobu. Jednak metryki zapory muszą zawsze używać Diagnostyka Azure.
Tworzenie alertu w celu śledzenia odbierania metryk zapory bez żadnych błędów
Przejdź do obszaru roboczego skonfigurowanego w ustawieniach diagnostyki metryk. Sprawdź, czy metryki są dostępne przy użyciu następującego zapytania:
AzureMetrics
| where MetricName contains "FirewallHealth"
| where ResourceId contains "/SUBSCRIPTIONS/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/RESOURCEGROUPS/PARALLELIPGROUPRG/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/HUBVNET-FIREWALL"
| where TimeGenerated > ago(30m)
Następnie utwórz alert dotyczący brakujących metryk w okresie 60 minut. Przejdź do strony Alert w obszarze roboczym usługi Log Analytics, aby skonfigurować nowe alerty dotyczące brakujących metryk.
