Logs de Firewall Estruturados do Azure

  • Artigo

Os logs estruturados são um tipo de dados de log organizados em um formato específico. Eles usam um esquema predefinido para estruturar dados de log de uma maneira que facilita a pesquisa, o filtro e a análise. Ao contrário dos logs não estruturados, que consistem em texto de forma livre, os logs estruturados têm um formato consistente que os computadores podem analisar.

Os logs estruturados do Firewall do Azure fornecem uma exibição mais detalhada dos eventos de firewall. Eles incluem informações como endereços IP de origem e destino, protocolos, números de porta e ações executadas pelo firewall. Eles também incluem mais metadados, como a hora do evento e o nome da instância do Firewall do Azure.

Atualmente, os seguintes logs de diagnóstico estão disponíveis para o Firewall do Azure:

  • Log de regra de aplicativo
  • Log de regra de rede
  • Log do proxy DNS

Essas categorias de log usam o modo de diagnóstico do Azure. Nesse modo, todos os dados de qualquer configuração de diagnóstico são coletados na tabela AzureDiagnostics.

Com os logs estruturados, você poderá optar por usar Tabelas Específicas de Recursos em vez de uma tabela AzureDiagnostics existente. Caso ambos os conjuntos de logs sejam necessários, pelo menos duas configurações de diagnóstico precisam ser criadas por firewall.

Modo específico do recurso

No modo específico Recurso, as tabelas individuais no workspace selecionado são criadas para cada categoria selecionada na configuração de diagnóstico. Esse método é recomendado, pois:

  • Pode reduzir os custos gerais de registro em log em até 80%.
  • torna muito mais fácil trabalhar com os dados em consultas de log
  • facilita a descoberta de esquemas e sua estrutura
  • melhora o desempenho entre a latência de ingestão e os tempos de consulta
  • permite que você conceda direitos de RBAC do Azure em uma tabela específica

Novas tabelas específicas de recursos agora estão disponíveis na configuração de diagnóstico que permite que você utilize as seguintes categorias:

  • Log de regras de rede – contém todos os dados de log de Regra de Rede. Cada correspondência entre o plano de dados e a regra de rede cria uma entrada de log com o pacote do plano de dados e os atributos da regra correspondente.
  • Log de regras NAT – contém todos os dados de log de eventos DNAT (Tradução de Endereço de Rede de Destino). Cada correspondência entre o plano de dados e a regra DNAT cria uma entrada de log com o pacote do plano de dados e os atributos da regra correspondente.
  • Log de regras do aplicativo – contém todos os dados de log de regras do aplicativo. Cada correspondência entre o plano de dados e a regra do Aplicativo cria uma entrada de log com o pacote do plano de dados e os atributos da regra correspondente.
  • Log de Inteligência contra Ameaças – contém todos os eventos da Inteligência contra Ameaças.
  • Log IDPS – contém todos os pacotes de plano de dados que foram combinados com uma ou mais assinaturas IDPS.
  • Log de proxy DNS – contém todos os dados de log de eventos do Proxy DNS.
  • FQDN interno resolve o log de falhas – contém todas as solicitações internas de resolução FQDN do Firewall que resultaram em falha.
  • Log de agregação de regra de aplicativo – contém dados agregados do log de regras do aplicativo para a Análise de Políticas.
  • Log de agregação de regra de rede – contém dados de log de regras de rede agregados para Análise de Política.
  • Log de agregação de regra NAT – contém dados de log de regras NAT agregados para Análise de Política.
  • Log dos 10 principais fluxos (versão prévia): o log dos 10 principais fluxos (Fluxos Gordos), mostra as principais conexões que estão contribuindo para uma taxa de transferência mais alta passando pelo firewall.
  • Rastreamento de fluxo (versão prévia): contém informações de fluxo, sinalizadores e o período de tempo em que os fluxos foram registrados. Você pode ver informações de fluxo completo, como SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (fluxos).

Habilitar logs estruturados

Para habilitar os logs estruturados do Firewall do Azure, primeiro você deve configurar um workspace do Log Analytics em sua assinatura do Azure. Esse workspace é usado para armazenar os logs estruturados gerados pelo Firewall do Azure.

Depois de configurar o workspace do Log Analytics, você poderá habilitar logs estruturados no Firewall do Azure navegando até a página Configurações de diagnóstico do Firewall no portal do Azure. Nela, você deve selecionar a tabela de destino específica do recurso e selecionar o tipo de eventos que deseja registrar.

Observação

Não há nenhum requisito para habilitar esse recurso com um sinalizador de recurso ou comandos do Azure PowerShell.

Captura de tela da opção Configurações de diagnóstico.

Consultas de log estruturados

Uma lista de consultas predefinidas está disponível no portal do Azure. Essa lista tem uma consulta de log KQL (Linguagem de Consulta Kusto) predefinida para cada categoria e uma consulta unida mostrando todos os eventos de log do firewall do Azure em exibição única.

Captura de tela mostrando consultas do Firewall do Azure.

Pasta de trabalho do Firewall do Azure

A Pasta de Trabalho do Firewall do Azure oferece uma tela flexível para análise de dados do Firewall do Azure. Você pode usá-la para criar relatórios visuais avançados dentro do portal do Azure. Você pode explorar vários firewalls implantados no Azure e combiná-los em experiências interativas unificadas.

Para implantar a nova pasta de trabalho que usa os logs estruturados do Firewall do Azure, consulte a Pasta de Trabalho do Azure Monitor para Firewall do Azure.

Próximas etapas