Monitorowanie dzienników (starszych) i metryk usługi Azure Firewall

Napiwek

Aby uzyskać ulepszoną metodę pracy z dziennikami zapory, zobacz Dzienniki usługi Azure Structured Firewall.

Usługę Azure Firewall możesz monitorować przy użyciu dzienników zapory. Ponadto dzienniki aktywności umożliwiają inspekcję operacji wykonywanych względem zasobów usługi Azure Firewall. Za pomocą metryk możesz wyświetlać liczniki wydajności w portalu.

Niektóre z tych dzienników są dostępne za pośrednictwem portalu. Dzienniki mogą być wysyłane do dzienników usługi Azure Monitor, usługi Storage i Event Hubs oraz analizowane za pomocą dzienników usługi Azure Monitor lub innych narzędzi, takich jak program Excel i usługa Power BI.

Uwaga

Ten artykuł został niedawno zaktualizowany, aby użyć terminu Dzienniki usługi Azure Monitor zamiast usługi Log Analytics. Dane dziennika są nadal przechowywane w obszarze roboczym usługi Log Analytics i są nadal zbierane i analizowane przez tę samą usługę Log Analytics. Aktualizujemy terminologię, aby lepiej odzwierciedlać rolę dzienników w usłudze Azure Monitor. Aby uzyskać szczegółowe informacje, zobacz Zmiany terminologii usługi Azure Monitor.

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Aby rozpocząć, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Wymagania wstępne

Przed rozpoczęciem należy przeczytać dzienniki i metryki usługi Azure Firewall, aby zapoznać się z omówieniem dzienników diagnostycznych i metryk dostępnych dla usługi Azure Firewall.

Włączanie rejestrowania diagnostycznego za pośrednictwem witryny Azure Portal

Od wykonania tej procedury w celu włączenia rejestrowania diagnostycznego może upłynąć kilka minut, zanim dane pojawią się w dziennikach. Jeśli na początku nie widzisz żadnych danych, sprawdź ponownie za kilka minut.

1. W witrynie Azure Portal otwórz grupę zasobów zapory i wybierz zaporę.

2. W obszarze Monitorowanie wybierz pozycję Ustawienia diagnostyczne.

   W przypadku usługi Azure Firewall dostępne są trzy starsze dzienniki specyficzne dla usługi:

   • Reguła aplikacji usługi Azure Firewall (starsza wersja Diagnostyka Azure)
   • Reguła sieci usługi Azure Firewall (starsza wersja Diagnostyka Azure)
   • Serwer proxy dns usługi Azure Firewall (starsza wersja Diagnostyka Azure)

3. Wybierz pozycję Dodaj ustawienia diagnostyczne. Strona Ustawienia diagnostyczne zawiera ustawienia dzienników diagnostycznych.

4. Wpisz nazwę ustawienia diagnostycznego.

5. W obszarze Dzienniki wybierz pozycję Reguła aplikacji usługi Azure Firewall (starsza wersja Diagnostyka Azure), reguła sieci usługi Azure Firewall (starsza wersja Diagnostyka Azure) i serwer proxy dns usługi Azure Firewall (starsza wersja Diagnostyka Azure), aby zebrać dzienniki.

6. Wybierz pozycję Wyślij do usługi Log Analytics , aby skonfigurować obszar roboczy.

7. Wybierz subskrypcję.

8. W tabeli Destination (Miejsce docelowe) wybierz pozycję Diagnostyka platformy Azure.

9. Wybierz pozycję Zapisz.

   

Włączanie rejestrowania diagnostycznego przy użyciu programu PowerShell

Rejestrowanie aktywności jest automatycznie włączone dla wszystkich zasobów usługi Resource Manager. Aby rozpocząć zbieranie danych dostępnych za pośrednictwem tych dzienników, należy włączyć rejestrowanie diagnostyczne.

Aby włączyć rejestrowanie diagnostyczne za pomocą programu PowerShell, wykonaj następujące kroki:

1. Zanotuj identyfikator zasobu obszaru roboczego usługi Log Analytics, w którym są przechowywane dane dziennika. Ta wartość ma postać:

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

   W ramach subskrypcji możesz użyć dowolnego obszaru roboczego. Te informacje możesz znaleźć w witrynie Azure Portal. Informacje znajdują się na stronie Właściwości zasobu.

2. Zanotuj identyfikator zasobu zapory. Ta wartość ma postać:

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

   Te informacje możesz znaleźć w portalu.

3. Włącz rejestrowanie diagnostyczne dla wszystkich dzienników i metryk przy użyciu następującego polecenia cmdlet programu PowerShell:

      $diagSettings = @{
      Name = 'toLogAnalytics'
      ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
      WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
      }
   New-AzDiagnosticSetting  @diagSettings 
   

Włączanie rejestrowania diagnostycznego przy użyciu interfejsu wiersza polecenia platformy Azure

Rejestrowanie aktywności jest automatycznie włączone dla wszystkich zasobów usługi Resource Manager. Aby rozpocząć zbieranie danych dostępnych za pośrednictwem tych dzienników, należy włączyć rejestrowanie diagnostyczne.

Aby włączyć rejestrowanie diagnostyczne za pomocą interfejsu wiersza polecenia platformy Azure, wykonaj następujące kroki:

1. Zanotuj identyfikator zasobu obszaru roboczego usługi Log Analytics, w którym są przechowywane dane dziennika. Ta wartość ma postać:

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

   W ramach subskrypcji możesz użyć dowolnego obszaru roboczego. Te informacje możesz znaleźć w witrynie Azure Portal. Informacje znajdują się na stronie Właściwości zasobu.

2. Zanotuj identyfikator zasobu zapory. Ta wartość ma postać:

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

   Te informacje możesz znaleźć w portalu.

3. Włącz rejestrowanie diagnostyczne dla wszystkich dzienników i metryk przy użyciu następującego polecenia interfejsu wiersza polecenia platformy Azure:

      az monitor diagnostic-settings create -n 'toLogAnalytics'
      --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
      --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
      --logs "[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]" 
      --metrics "[{\"category\": \"AllMetrics\",\"enabled\": true}]"
   

Wyświetlanie i analizowanie dziennika aktywności

Dane dziennika aktywności można wyświetlać i analizować przy użyciu dowolnej z następujących metod:

• Narzędzia platformy Azure: pobierz informacje z dziennika aktywności przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure, interfejsu API REST platformy Azure lub witryny Azure Portal. Instrukcje krok po kroku dla każdej metody są szczegółowo opisane w artykule Activity operations with Resource Manager (Operacje działań przy użyciu usługi Resource Manager).

• Usługa Power BI: jeśli nie masz jeszcze konta usługi Power BI, możesz ją wypróbować bezpłatnie. Korzystając z pakietu zawartości dzienników aktywności platformy Azure dla usługi Power BI, możesz analizować dane przy użyciu wstępnie skonfigurowanych pulpitów nawigacyjnych, których możesz używać bez zmian lub po dostosowaniu.

• Microsoft Sentinel: dzienniki usługi Azure Firewall można połączyć z usługą Microsoft Sentinel, umożliwiając wyświetlanie danych dziennika w skoroszytach, używanie ich do tworzenia alertów niestandardowych i dołączanie ich w celu usprawnienia badania. Łącznik danych usługi Azure Firewall w usłudze Microsoft Sentinel jest obecnie w publicznej wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Łączenie danych z usługi Azure Firewall.

  Aby zapoznać się z omówieniem, zobacz następujące wideo autorstwa Mohita Kumara:

Wyświetlanie i analizowanie dzienników reguł sieci i aplikacji

Skoroszyt usługi Azure Firewall udostępnia elastyczną kanwę do analizy danych usługi Azure Firewall. Służy do tworzenia rozbudowanych raportów wizualnych w witrynie Azure Portal. Możesz wykorzystać wiele zapór wdrożonych na platformie Azure i połączyć je w ujednolicone interaktywne środowiska.

Ponadto możesz połączyć się z kontem magazynu i pobrać wpisy dziennika JSON dotyczące dostępu i wydajności. Po pobraniu plików JSON możesz je przekonwertować do formatu CSV i wyświetlać w programie Excel, usłudze Power BI lub innym narzędziu do wizualizacji danych.

Napiwek

Jeśli znasz program Visual Studio oraz podstawowe pojęcia dotyczące zmiany wartości stałych i zmiennych w języku C#, możesz skorzystać z konwerterów dzienników dostępnych w witrynie GitHub.

Wyświetlanie metryk

Przejdź do usługi Azure Firewall. W obszarze Monitorowanie wybierz pozycję Metryki. Aby wyświetlić dostępne wartości, wybierz listę rozwijaną METRYKA.

Następne kroki

Teraz, gdy skonfigurowano zaporę na potrzeby zbierania dzienników, możesz eksplorować dzienniki usługi Azure Monitor, aby wyświetlać dane.

• Monitorowanie dzienników przy użyciu skoroszytu usługi Azure Firewall
• Rozwiązania do monitorowania sieci w dziennikach usługi Azure Monitor
• Dowiedz się więcej o zabezpieczeniach sieci platformy Azure