Visão geral de logs e métricas do Firewall do Azure

  • Artigo

Você pode usar logs e métricas do Firewall do Azure para monitorar seu tráfego e operações dentro do firewall. Esses logs e métricas servem a várias finalidades essenciais, incluindo:

  • Análise de tráfego: use logs para examinar e analisar o tráfego que passa pelo firewall. Isso inclui examinar o tráfego permitido e negado, inspecionar endereços IP de origem e destino, URLs, números de porta, protocolos e muito mais. Esses insights são essenciais para entender os padrões de tráfego, identificar possíveis ameaças à segurança e solucionar problemas de conectividade.

  • Métricas de desempenho e integridade: as métricas do Firewall do Azure fornecem métricas de desempenho e integridade, como dados processados, taxa de transferência, contagem de visitas de regras e latência. Monitore essas métricas para avaliar a integridade geral do firewall, identificar gargalos de desempenho e detectar anomalias.

  • Trilha de auditoria: os logs de atividades permitem a auditoria de operações relacionadas a recursos de firewall, capturando ações como criar, atualizar ou excluir regras e políticas de firewall. A revisão dos logs de atividades ajuda a manter um registro histórico das alterações de configuração e garante a conformidade com os requisitos de segurança e auditoria.

Visualização e armazenamento

Os logs e as métricas podem ser acessados por meio do portal do Azure, com várias opções de armazenamento e análise:

  • Espaço de Trabalho do Log Analytics (desenvolvido pelo Azure Monitor): centralize seus logs e métricas do Firewall do Azure em um espaço de trabalho do Log Analytics para análise avançada, criação de painel personalizado e configuração de alertas com base em limites de métricas específicos.

  • Conta de armazenamento: armazene logs em uma conta de Armazenamento do Azure para retenção de longo prazo e integração com ferramentas de análise de log externas.

  • Hub de Eventos: transmita logs do Firewall do Azure para o Hub de Eventos do Azure para processamento, análise ou integração em tempo real com soluções SIEM de terceiros.

  • Soluções de parceiros: envie logs do Firewall do Azure para soluções de parceiros de terceiros para análise e correlação adicionais com outros dados de segurança.

As definições de configuração de log e métrica para o Firewall do Azure geralmente são feitas por meio do portal do Azure. Isso permite especificar o destino dos logs e das métricas e configurar configurações de retenção e alerta adaptadas aos requisitos de monitoramento e segurança da sua organização.

Logs estruturados

Monitore o Firewall do Azure usando Logs Estruturados, que usam um esquema predefinido para estruturar dados de log para facilitar a pesquisa, a filtragem e a análise. Esses logs incluem informações como endereços IP de origem e destino, protocolos, números de porta e ações de firewall. Priorize a configuração de Logs Estruturados como seu tipo de log principal usando Tabelas Específicas de Recursos em vez da tabela existente do AzureDiagnostics. Para habilitar esses logs e explorar categorias de log, consulte Logs do Firewall Estruturado do Azure.

Logs herdados do Diagnóstico do Azure

Os logs de Diagnóstico do Azure herdados são as consultas de log originais do Firewall do Azure que geram dados de log em um formato de texto não estruturado ou de forma livre. As categorias de log herdadas do Firewall do Azure usam o modo de diagnóstico do Azure, coletando dados inteiros na tabela AzureDiagnostics. Caso os logs Estruturados e de Diagnóstico sejam necessários, pelo menos duas configurações de diagnóstico precisam ser criadas por firewall. Para habilitar esses logs e explorar categorias de log, consulte Logs de diagnóstico do Firewall do Azure.

Métrica

As métricas no Azure Monitor são valores numéricos que descrevem aspectos de um sistema em um determinado momento. Coletadas a cada minuto, as métricas são úteis para alertar devido à sua amostragem frequente. Configure alertas rapidamente com lógica relativamente simples. Para obter métricas disponíveis e configurar alertas para o Firewall do Azure, consulte Métricas e alertas do Firewall do Azure.

Logs de atividades

As entradas do Log de atividades são coletadas por padrão e podem ser exibidas no portal do Azure. Use os logs de atividade do Azure (anteriormente conhecidos como logs operacionais e logs de auditoria) para exibir todas as operações enviadas à sua assinatura do Azure.

Próximas etapas