Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve:
- Os tipos de dados de monitoramento que você pode coletar para este serviço.
- Formas de analisar esses dados.
Nota
Se já estiver familiarizado com este serviço e/ou Azure Monitor e quiser apenas saber como analisar dados de monitorização, consulte a secção Analisar perto do final deste artigo.
Quando você tem aplicativos críticos e processos de negócios que dependem de recursos do Azure, você precisa monitorar e receber alertas para seu sistema. O serviço Azure Monitor coleta e agrega métricas e logs de cada componente do seu sistema. O Azure Monitor fornece uma exibição de disponibilidade, desempenho e resiliência e notifica você sobre problemas. Você pode usar o portal do Azure, PowerShell, CLI do Azure, API REST ou bibliotecas de cliente para configurar e exibir dados de monitoramento.
- Para obter mais informações sobre o Azure Monitor, consulte a visão geral do Azure Monitor.
- Para obter mais informações sobre como monitorar os recursos do Azure em geral, consulte Monitorar recursos do Azure com o Azure Monitor.
Você pode usar logs e métricas do Firewall do Azure para monitorar seu tráfego e operações dentro do firewall. Esses logs e métricas servem a vários propósitos essenciais, incluindo:
A análise de tráfego: Utilize registos para examinar e analisar o tráfego que passa pelo firewall. Essa análise inclui examinar o tráfego permitido e negado, inspecionar endereços IP de origem e destino, URLs, números de porta, protocolos e muito mais. Essas informações são essenciais para entender os padrões de tráfego, identificar possíveis ameaças à segurança e solucionar problemas de conectividade.
Métricas de desempenho e integridade: as métricas do Firewall do Azure fornecem métricas de desempenho e integridade, como dados processados, taxa de transferência, contagem de acertos de regras e latência. Monitore essas métricas para avaliar a integridade geral do firewall, identificar gargalos de desempenho e detetar quaisquer anomalias.
Trilha de auditoria: os logs de atividades permitem a auditoria de operações relacionadas a recursos de firewall, capturando ações como criar, atualizar ou excluir regras e políticas de firewall. A revisão dos registros de atividades ajuda a manter um registro histórico das alterações de configuração e garante a conformidade com os requisitos de segurança e auditoria.
Tipos de recursos
O Azure usa o conceito de tipos de recursos e IDs para identificar tudo em uma assinatura. Os tipos de recursos também fazem parte das IDs de recursos para cada recurso em execução no Azure. Por exemplo, um tipo de recurso para uma máquina virtual é Microsoft.Compute/virtualMachines. Para obter uma lista de serviços e seus tipos de recursos associados, consulte Provedores de recursos.
O Azure Monitor organiza igualmente os dados nucleares de monitorização em métricas e logs com base em tipos de recursos, também chamados de namespaces. Diferentes métricas e logs estão disponíveis para diferentes tipos de recursos. Seu serviço pode estar associado a mais de um tipo de recurso.
Para obter mais informações sobre os tipos de recursos para o Firewall do Azure, consulte Referência de dados de monitoramento do Firewall do Azure.
Armazenamento de dados
Para o Azure Monitor:
- Os dados de métricas são armazenados no banco de dados de métricas do Azure Monitor.
- Os dados de log são armazenados no repositório de logs do Azure Monitor. Log Analytics é uma ferramenta no portal Azure que pode consultar este armazenamento.
- O log de atividades do Azure é um repositório separado com sua própria interface no portal do Azure.
Opcionalmente, você pode rotear dados de métricas e logs de atividades para o repositório de logs do Azure Monitor. Em seguida, você pode usar o Log Analytics para consultar os dados e correlacioná-los com outros dados de log.
Muitos serviços podem usar configurações de diagnóstico para enviar dados de métrica e log para outros locais de armazenamento fora do Azure Monitor. Os exemplos incluem o Armazenamento do Azure, sistemas de parceiros hospedados e sistemas de parceiros que não são do Azure, usando Hubs de Eventos.
Para obter informações detalhadas sobre como o Azure Monitor armazena dados, consulte Plataforma de dados do Azure Monitor.
Métricas da plataforma Azure Monitor
O Azure Monitor fornece métricas de plataforma para a maioria dos serviços. Essas métricas são:
- Definido individualmente para cada namespace.
- Armazenado no banco de dados de métricas de séries cronológicas do Azure Monitor.
- Leve e capaz de suportar alertas quase em tempo real.
- Usado para acompanhar o desempenho de um recurso ao longo do tempo.
Coleção: o Azure Monitor coleta métricas da plataforma automaticamente. Não é necessária qualquer configuração.
Roteamento: você também pode rotear algumas métricas da plataforma para o Azure Monitor Logs / Log Analytics para poder consultá-las com outros dados de log. Verifique a configuração de exportação DS para cada métrica para verificar se é possível usar uma configuração de diagnóstico para direcionar a métrica para Azure Monitor Logs / Log Analytics.
- Para obter mais informações, consulte a configuração de diagnóstico de métricas.
- Para definir configurações de diagnóstico para um serviço, consulte Criar configurações de diagnóstico no Azure Monitor.
Para obter uma lista de todas as métricas que é possível reunir para todos os recursos no Azure Monitor, consulte Métricas suportadas no Azure Monitor.
Para obter uma lista de métricas disponíveis para o Firewall do Azure, consulte Referência de dados de monitoramento do Firewall do Azure.
Logs de recursos do Azure Monitor
Os logs de recursos fornecem informações sobre operações que foram feitas por um recurso do Azure. Os logs são gerados automaticamente, mas você deve roteá-los para os logs do Azure Monitor para salvá-los ou consultá-los. Os logs são organizados em categorias. Um determinado namespace pode ter várias categorias de log de recursos.
Coleção: os logs de recursos não são coletados e armazenados até que você crie uma configuração de diagnóstico e roteie os logs para um ou mais locais. Ao criar uma definição de diagnóstico, especifica as categorias de registos que devem ser recolhidas. Há várias maneiras de criar e manter configurações de diagnóstico, incluindo o portal do Azure, programaticamente e por meio da Política do Azure.
Roteamento: o padrão sugerido é rotear logs de recursos para Logs do Azure Monitor para que você possa consultá-los com outros dados de log. Outros locais, como o Armazenamento do Azure, Hubs de Eventos do Azure e determinados parceiros de monitoramento da Microsoft também estão disponíveis. Para obter mais informações, consulte Registos de recursos do Azure e Destinos de registo de recursos.
Para obter informações detalhadas sobre como coletar, armazenar e rotear logs de recursos, consulte Configurações de diagnóstico no Azure Monitor.
Para obter uma lista de todas as categorias de log de recursos disponíveis no Azure Monitor, consulte Logs de recursos com suporte no Azure Monitor.
Todos os logs de recursos no Azure Monitor têm os mesmos campos de cabeçalho, seguidos por campos específicos do serviço. O esquema comum está delineado no esquema do log de recursos do Azure Monitor.
Para ver as categorias de registo de recursos disponíveis, as suas tabelas associadas do Log Analytics e os esquemas de registo do Firewall do Azure, consulte a Referência de dados de monitoramento do Firewall do Azure.
Livro de Trabalho do Azure Firewall fornece uma tela flexível para análise de dados do Azure Firewall. Você pode usá-lo para criar relatórios visuais avançados no portal do Azure. Você pode aproveitar vários Firewalls implantados no Azure e combiná-los em experiências interativas unificadas.
Também pode ligar à sua conta de armazenamento e obter as entradas de registo JSON para os registos de acesso e desempenho. Depois de transferir os ficheiros JSON, pode convertê-los em CSV e visualizá-los no Excel, Power BI ou qualquer outra ferramenta de visualização de dados.
Gorjeta
Se estiver familiarizado com os conceitos básicos do Visual Studio para alterar os valores de constantes e variáveis em C#, pode utilizar as ferramentas de conversor de registo disponíveis no GitHub.
Registo de atividades do Azure
O log de atividades contém eventos no nível de assinatura que rastreiam as operações para cada recurso do Azure visto de fora desse recurso; por exemplo, criar um novo recurso ou iniciar uma máquina virtual.
Coleção: os eventos do log de atividades são gerados e coletados automaticamente em um repositório separado para exibição no portal do Azure.
Roteamento: você pode enviar dados de log de atividades para os Logs do Azure Monitor para analisá-los junto com outros dados de log. Outros locais, como o Armazenamento do Azure, Hubs de Eventos do Azure e determinados parceiros de monitoramento da Microsoft também estão disponíveis. Para obter mais informações sobre como rotear o log de atividades, consulte Visão geral do log de atividades do Azure.
Rastreamento de alterações (Pré-visualização)
O Azure Resource Graph (ARG) é um serviço do Azure projetado para fornecer exploração de recursos eficiente e de alto desempenho à escala. O Azure Resource Graph (ARG) fornece dados de análise de alterações para vários cenários de gerenciamento e solução de problemas. Os utilizadores podem encontrar quando as alterações foram detetadas numa propriedade do Azure Resource Manager (ARM), visualizar detalhes da alteração de propriedade e consultar alterações de forma abrangente na sua subscrição, grupo de gestão ou arrendatário.
A análise de alterações ARG adicionou recentemente suporte para RuleCollectionGroups. Agora você pode controlar as alterações nos Grupos de Coleta de Regras do Firewall do Azure usando uma consulta do Gráfico de Recursos do Azure na página ResourceGraphExplorer do Portal do Azure usando uma consulta como esta:
Abaixo está um exemplo de saída de modificação.
Esse recurso pode ajudá-lo a rastrear as alterações feitas nas regras de firewall, ajudando a garantir a responsabilidade por um recurso confidencial, como um firewall.
Logs estruturados do Firewall do Azure
Os logs estruturados são um tipo de dados de log organizados em um formato específico. Eles usam um esquema predefinido para estruturar dados de log de uma forma que facilita a pesquisa, filtragem e análise. Ao contrário dos logs não estruturados, que consistem em texto de forma livre, os logs estruturados têm um formato consistente que as máquinas podem interpretar e analisar.
Os logs estruturados do Firewall do Azure fornecem uma exibição mais detalhada dos eventos de firewall. Eles incluem informações como endereços IP de origem e destino, protocolos, números de porta e ações tomadas pelo firewall. Eles também incluem mais metadados, como a hora do evento e o nome da instância do Firewall do Azure.
Atualmente, as seguintes categorias de log de diagnóstico estão disponíveis para o Firewall do Azure:
- Registo de regras de aplicação
- Registo de regra de rede
- Log de proxy DNS
Essas categorias de log usam o modo de diagnóstico do Azure. Nesse modo, todos os dados de qualquer configuração de diagnóstico são coletados na tabela AzureDiagnostics .
Com logs estruturados, você pode optar por usar Tabelas Específicas de Recursos em vez da tabela AzureDiagnostics existente. Caso ambos os conjuntos de logs sejam necessários, pelo menos duas configurações de diagnóstico precisam ser criadas por firewall.
Modo específico de recurso
No modo específico do recurso , tabelas individuais no espaço de trabalho selecionado são criadas para cada categoria selecionada na configuração de diagnóstico. Este método é recomendado uma vez que:
- pode reduzir os custos gerais de exploração madeireira em até 80%.
- torna muito mais fácil trabalhar com os dados em consultas de log.
- facilita a descoberta de esquemas e sua estrutura.
- Melhora o desempenho na latência de ingestão e nos tempos de consulta.
- permite-lhe conceder direitos de RBAC no Azure numa tabela específica.
Novas tabelas específicas de recursos agora estão disponíveis na configuração Diagnóstico que permite utilizar as seguintes categorias:
- Log de regras de rede - Contém todos os dados de log de regras de rede. Cada correspondência entre o plano de dados e a regra de rede cria uma entrada de log com o pacote do plano de dados e os atributos da regra correspondente.
- Registo de regras NAT - Contém todos os dados do registo de eventos DNAT (Conversão de Endereço de Rede de Destino). Cada correspondência entre o plano de dados e a regra DNAT cria uma entrada de log com o pacote do plano de dados e os atributos da regra correspondente. Como observação, a tabela AZFWNATRule registra somente quando ocorre uma correspondência de regra DNAT. Se não houver correspondência, nenhum log será gerado.
- Registo de regras da aplicação - Contém todos os dados de registo de regras da aplicação. Cada correspondência entre o plano de dados e a regra do aplicativo cria uma entrada de log com o pacote do plano de dados e os atributos da regra correspondente.
- Registro de Inteligência de Ameaças - Contém todos os eventos de Inteligência de Ameaças.
- IDPS Log - Contém todos os pacotes do plano de dados que foram correspondidos com uma ou mais assinaturas IDPS.
- Registo de Proxy DNS - Contém todos os registos de eventos de Proxy DNS.
- Registo de falhas de resolução de FQDN interno - Contém todas as solicitações internas de resolução de FQDN do Firewall que resultaram em falha.
- Registo de agregação de regras de aplicação - Contém dados agregados de registo de regras de aplicação destinados à Análise de Políticas.
- Log de agregação de regras de rede - Contém dados agregados do log de regras de rede para a Análise de Política.
- Log de agregação de regras NAT - Contém dados agregados do log de regras NAT para o Policy Analytics.
- Log dos fluxos principais - O log dos fluxos principais (fluxos gordos) mostra as principais conexões que estão contribuindo para a maior taxa de transferência através do firewall. Para obter mais informações, consulte Registo dos principais fluxos.
- Rastreamento de fluxo - Contém informações de fluxo, sinalizadores e o período de tempo em que os fluxos foram registrados. Você pode ver informações completas de fluxo, como SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (fluxos).
Todas as tabelas específicas de recursos agora suportam o plano de tabela Básico , que pode reduzir os custos de registro em até 80%. Para obter mais informações sobre as limitações e diferenças desse novo plano de log, consulte Azure Monitor Logs. Para saber mais sobre a nova experiência de consulta, consulte Consultar dados em uma tabela básica e auxiliar.
Nota
- As integrações do Policy Analytics e do Security Copilot não são compatíveis com o plano de tabela Básico. Para habilitar esses recursos, verifique se as tabelas de log necessárias estão configuradas com o plano de tabela do Google Analytics .
- O plano de tabela pode ser atualizado apenas uma vez a cada 7 dias.
Habilitar logs estruturados
Para habilitar os logs estruturados do Firewall do Azure, você deve primeiro configurar um espaço de trabalho do Log Analytics em sua assinatura do Azure. Esse espaço de trabalho é usado para armazenar os logs estruturados gerados pelo Firewall do Azure.
Depois de configurar o espaço de trabalho do Log Analytics, pode ativar logs estruturados no Firewall do Azure navegando até a página Configurações de diagnóstico do Firewall no portal do Azure. A partir daí, você deve selecionar a tabela de destino específico do recurso e selecionar o tipo de eventos que deseja registrar.
Nota
- Para habilitar o Fat Flow Log do Firewall do Azure (log de fluxo superior), você precisa configurá-lo por meio do Azure PowerShell. Para obter mais informações, consulte Registo dos principais fluxos.
Consultas de log estruturadas
Uma lista de consultas predefinidas está disponível no portal do Azure. Esta lista tem uma consulta de log KQL (Kusto Query Language) predefinida para cada categoria e consulta associada mostrando todos os eventos de log do firewall do Azure em exibição única.
Livro de Trabalho do Azure Firewall
Livro de Trabalho do Azure Firewall fornece uma tela flexível para análise de dados do Azure Firewall. Você pode usá-lo para criar relatórios visuais avançados no portal do Azure. Você pode aproveitar vários firewalls implantados no Azure e combiná-los em experiências interativas unificadas.
Para implantar a nova pasta de trabalho que usa os Logs Estruturados do Firewall do Azure, consulte Pasta de Trabalho do Azure Monitor para o Firewall do Azure.
Logs de diagnóstico legados do Azure
Os registos de Diagnóstico do Azure antigos são as consultas de registo originais do Firewall do Azure que produzem dados de registo em um formato de texto livre ou não estruturado. As categorias de log herdadas do Firewall do Azure usam o modo de diagnóstico do Azure, coletando dados inteiros na tabela AzureDiagnostics. Caso sejam necessários logs estruturados e de diagnóstico, pelo menos duas configurações de diagnóstico precisam ser criadas por firewall.
As seguintes categorias de log são suportadas nos logs de diagnóstico:
- Regra de aplicação do Firewall do Azure
- Regra de rede do Firewall do Azure
- Proxy DNS do Azure Firewall
Para saber como habilitar o log de diagnóstico usando o portal do Azure, consulte Habilitar logs estruturados.
Registo de regras de aplicação
O log de regras de aplicação é guardado numa conta de armazenamento, transmitido para Hubs de Eventos e/ou enviado para logs do Azure Monitor apenas se for ativado para cada Firewall do Azure. Cada nova ligação que corresponde a uma das suas regras de aplicação configuradas resulta num registo da ligação aceite/negada. Os dados são registrados no formato JSON, conforme mostrado nos exemplos a seguir:
Category: application rule logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
{
"category": "AzureFirewallApplicationRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallApplicationRuleLog",
"properties": {
"msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
}
}
{
"category": "AzureFirewallApplicationRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallApplicationRuleLog",
"properties": {
"msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals"
}
}
Registo de regra de rede
O log de regras de rede é salvo em uma conta de armazenamento, transmitido para hubs de eventos e/ou enviado para logs do Azure Monitor somente se você habilitá-lo para cada Firewall do Azure. Cada nova ligação que corresponde a uma das suas regras de rede configuradas resulta num registo da ligação aceite/negada. Os dados são registados no formato JSON, conforme mostrado no exemplo seguinte:
Category: network rule logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
{
"category": "AzureFirewallNetworkRule",
"time": "2018-06-14T23:44:11.0590400Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallNetworkRuleLog",
"properties": {
"msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
}
}
Log de proxy DNS
O registo de proxy DNS é guardado numa conta de armazenamento, transmitido para hubs de eventos e/ou enviado para logs do Azure Monitor apenas se o ativar para cada Firewall do Azure. Esse log rastreia mensagens DNS para um servidor DNS configurado usando proxy DNS. Os dados são registrados no formato JSON, conforme mostrado nos exemplos a seguir:
Category: DNS proxy logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
Sucesso:
{
"category": "AzureFirewallDnsProxy",
"time": "2020-09-02T19:12:33.751Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallDnsProxyLog",
"properties": {
"msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
}
}
Falha
{
"category": "AzureFirewallDnsProxy",
"time": "2020-09-02T19:12:33.751Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallDnsProxyLog",
"properties": {
"msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
}
}
Formato da mensagem:
[client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]
Analise os dados de monitoramento
Existem muitas ferramentas para analisar dados de monitoramento.
Ferramentas do Azure Monitor
O Azure Monitor dá suporte às seguintes ferramentas básicas:
Explorador de métricas, uma ferramenta no portal do Azure que permite exibir e analisar métricas para recursos do Azure. Para obter mais informações, consulte Analisar métricas com o explorador de métricas do Azure Monitor.
Log Analytics, uma ferramenta no portal do Azure que permite consultar e analisar dados de log usando a linguagem de consulta Kusto (KQL). Para obter mais informações, consulte Introdução às consultas de log no Azure Monitor.
O registo de atividades, que tem uma interface do utilizador no portal do Azure para exibição e pesquisas básicas. Para fazer uma análise mais aprofundada, você precisa rotear os dados para os logs do Azure Monitor e executar consultas mais complexas no Log Analytics.
As ferramentas que permitem uma visualização mais complexa incluem:
- Painéis que permitem combinar diferentes tipos de dados em um único painel no portal do Azure.
- Pastas de trabalho, relatórios personalizáveis que você pode criar no portal do Azure. Os livros de trabalho podem incluir texto, métricas e consultas de log.
- Grafana, uma ferramenta de plataforma aberta que se destaca em dashboards operacionais. Você pode usar o Grafana para criar painéis que incluem dados de várias fontes diferentes do Azure Monitor.
- Power BI, um serviço de análise de negócios que fornece visualizações interativas em várias fontes de dados. Você pode configurar o Power BI para importar automaticamente dados de log do Azure Monitor para aproveitar essas visualizações.
Ferramentas de exportação do Azure Monitor
Você pode obter dados do Azure Monitor para outras ferramentas usando os seguintes métodos:
Métricas: Use a API REST para métricas para extrair dados de métricas da base de dados de métricas do Azure Monitor. A API suporta expressões de filtro para refinar os dados recuperados. Para obter mais informações, consulte Referência da API REST do Azure Monitor.
Logs: utilizar a API REST ou as bibliotecas cliente associadas.
Outra opção é a exportação de dados do espaço de trabalho.
Para começar a usar a API REST para o Azure Monitor, consulte Passo a passo da API REST de monitoramento do Azure.
Consultas do Kusto
Você pode analisar dados de monitoramento no repositório Azure Monitor Logs / Log Analytics usando a linguagem de consulta Kusto (KQL).
Importante
Quando você seleciona Logs no menu do serviço no portal, o Log Analytics é aberto com o escopo da consulta definido para o serviço atual. Esse escopo significa que as consultas de log incluirão apenas dados desse tipo de recurso. Se quiser executar uma consulta que inclua dados de outros serviços do Azure, selecione Logs no menu Azure Monitor . Consulte Escopo e intervalo de tempo da consulta de log no Azure Monitor Log Analytics para obter detalhes.
Para obter uma lista de consultas comuns para qualquer serviço, consulte a interface de consultas do Log Analytics.
Alertas
Os alertas do Azure Monitor notificam proativamente quando condições específicas são encontradas em seus dados de monitoramento. Os alertas permitem-lhe identificar e resolver problemas no seu sistema antes que os seus clientes os percebam. Para obter mais informações, consulte Alertas do Azure Monitor.
Há muitas fontes de alertas comuns para recursos do Azure. Para exemplos de alertas comuns para recursos do Azure, consulte Exemplos de consultas de alerta de log. O site Azure Monitor Baseline Alerts (AMBA) fornece um método semiautomatizado de implementação de alertas métricos de plataforma, painéis e diretrizes importantes. O site aplica-se a um subconjunto em contínua expansão dos serviços do Azure, incluindo todos os serviços que fazem parte da Zona de Aterragem do Azure (ALZ).
O esquema de alerta comum padroniza o consumo de notificações de alerta do Azure Monitor. Para obter mais informações, consulte Esquema de alerta comum.
Tipos de alertas
Pode criar alertas para qualquer fonte de dados de métricas ou logs na plataforma de dados Azure Monitor. Há muitos tipos diferentes de alertas, dependendo dos serviços que você está monitorando e dos dados de monitoramento que você está coletando. Diferentes tipos de alertas têm vários benefícios e desvantagens. Para obter mais informações, consulte Escolher o tipo de alerta de monitoramento correto.
A lista a seguir descreve os tipos de alertas do Azure Monitor que você pode criar:
- Os alertas métricos avaliam as métricas de recursos em intervalos regulares. As métricas podem ser métricas de plataforma, métricas personalizadas, logs do Azure Monitor convertidos em métricas ou métricas do Application Insights. Os alertas métricos também podem aplicar várias condições e limites dinâmicos.
- Os alertas de log permitem que os usuários usem uma consulta do Log Analytics para avaliar logs de recursos em uma frequência predefinida.
- Os alertas do log de atividades são acionados quando ocorre um novo evento do log de atividades que corresponde às condições definidas. Os alertas de Saúde do Recurso e os alertas de Saúde do Serviço são alertas de registo de atividades que relatam sobre a saúde do seu serviço e recurso.
Alguns serviços do Azure também suportam alertas de deteção inteligente, alertas Prometheus ou regras de alerta recomendadas.
Para alguns serviços, você pode monitorar em escala aplicando a mesma regra de alerta de métrica a vários recursos do mesmo tipo que existem na mesma região do Azure. Notificações individuais são enviadas para cada recurso monitorado. Para serviços e nuvens do Azure com suporte, consulte Monitorar vários recursos com uma regra de alerta.
Alerta sobre métricas do Firewall do Azure
As métricas fornecem sinais críticos para acompanhar a integridade dos recursos. Por isso, é importante monitorar as métricas do seu recurso e ficar atento a eventuais anomalias. Mas e se as métricas do Firewall do Azure pararem de fluir? Isso pode indicar um possível problema de configuração ou algo mais ameaçador, como uma interrupção. A falta de métricas pode ocorrer devido à publicação de rotas padrão que bloqueiam o envio de métricas pelo Firewall do Azure ou ao número de instâncias saudáveis baixar para zero. Nesta seção, você aprenderá a configurar métricas para um espaço de trabalho de análise de log e a alertar sobre métricas ausentes.
Configurar métricas para um espaço de trabalho de análise de registos
A primeira etapa é configurar a disponibilidade de métricas para o espaço de trabalho de análise de log usando as configurações de diagnóstico no firewall.
Para definir as configurações de diagnóstico conforme mostrado na captura de tela a seguir, navegue até a página de recursos do Firewall do Azure. Isso envia as métricas do firewall para o espaço de trabalho configurado.
Nota
As configurações de diagnóstico para métricas devem ser configuradas separadamente dos logs. Os logs de firewall podem ser configurados para usar o sistema de Diagnóstico do Azure ou Específico para o Recurso. No entanto, as métricas do Firewall sempre devem usar o Diagnóstico do Azure.
Crie alertas para rastrear o recebimento de métricas de firewall sem falhas
Navegue até o espaço de trabalho configurado nas configurações de diagnóstico de métricas. Verifique se as métricas estão disponíveis usando a seguinte consulta:
AzureMetrics
| where MetricName contains "FirewallHealth"
| where ResourceId contains "/SUBSCRIPTIONS/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/RESOURCEGROUPS/PARALLELIPGROUPRG/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/HUBVNET-FIREWALL"
| where TimeGenerated > ago(30m)
Em seguida, crie um alerta para métricas ausentes durante um período de tempo de 60 minutos. Para configurar novos alertas sobre métricas ausentes, navegue até a página Alerta no espaço de trabalho de análise de log.
Regras de alerta do Firewall do Azure
Você pode definir alertas para qualquer métrica, entrada de log ou entrada de log de atividades listada na referência de dados de monitoramento do Azure Firewall.
Recomendações do assistente
Para alguns serviços, se ocorrerem condições críticas ou alterações iminentes durante as operações de recursos, será exibido um alerta na página Visão geral do serviço no portal. Você pode encontrar mais informações e correções recomendadas para o alerta em Recomendações do Advisor em Monitoramento no menu à esquerda. Durante as operações normais, nenhuma recomendação do consultor é exibida.
Para obter mais informações sobre o Azure Advisor, consulte Visão geral do Azure Advisor.
Conteúdos relacionados
- Consulte Referência de dados de monitoramento do Firewall do Azure para obter uma referência das métricas, logs e outros valores importantes criados para o Firewall do Azure.
- Consulte Monitorando recursos do Azure com o Azure Monitor para obter detalhes gerais sobre o monitoramento de recursos do Azure.