Partilhar via


Monitorar o Azure Firewall

Este artigo descreve:

  • Os tipos de dados de monitoramento que você pode coletar para este serviço.
  • Formas de analisar esses dados.

Nota

Se já estiver familiarizado com este serviço e/ou Azure Monitor e quiser apenas saber como analisar dados de monitorização, consulte a secção Analisar perto do final deste artigo.

Quando você tem aplicativos críticos e processos de negócios que dependem de recursos do Azure, você precisa monitorar e receber alertas para seu sistema. O serviço Azure Monitor coleta e agrega métricas e logs de cada componente do seu sistema. O Azure Monitor fornece uma exibição de disponibilidade, desempenho e resiliência e notifica você sobre problemas. Você pode usar o portal do Azure, PowerShell, CLI do Azure, API REST ou bibliotecas de cliente para configurar e exibir dados de monitoramento.

Você pode usar logs e métricas do Firewall do Azure para monitorar seu tráfego e operações dentro do firewall. Esses logs e métricas servem a vários propósitos essenciais, incluindo:

  • Análise de tráfego: Use logs para examinar e analisar o tráfego que passa pelo firewall. Essa análise inclui examinar o tráfego permitido e negado, inspecionar endereços IP de origem e destino, URLs, números de porta, protocolos e muito mais. Essas informações são essenciais para entender os padrões de tráfego, identificar possíveis ameaças à segurança e solucionar problemas de conectividade.

  • Métricas de desempenho e integridade: as métricas do Firewall do Azure fornecem métricas de desempenho e integridade, como dados processados, taxa de transferência, contagem de acertos de regras e latência. Monitore essas métricas para avaliar a integridade geral do firewall, identificar gargalos de desempenho e detetar quaisquer anomalias.

  • Trilha de auditoria: os logs de atividades permitem a auditoria de operações relacionadas a recursos de firewall, capturando ações como criar, atualizar ou excluir regras e políticas de firewall. A revisão dos registros de atividades ajuda a manter um registro histórico das alterações de configuração e garante a conformidade com os requisitos de segurança e auditoria.

Tipos de recursos

O Azure usa o conceito de tipos de recursos e IDs para identificar tudo em uma assinatura. Os tipos de recursos também fazem parte das IDs de recursos para cada recurso em execução no Azure. Por exemplo, um tipo de recurso para uma máquina virtual é Microsoft.Compute/virtualMachines. Para obter uma lista de serviços e seus tipos de recursos associados, consulte Provedores de recursos.

O Azure Monitor organiza de forma semelhante os principais dados de monitoramento em métricas e logs com base em tipos de recursos, também chamados de namespaces. Diferentes métricas e logs estão disponíveis para diferentes tipos de recursos. Seu serviço pode estar associado a mais de um tipo de recurso.

Para obter mais informações sobre os tipos de recursos para o Firewall do Azure, consulte Referência de dados de monitoramento do Firewall do Azure.

Armazenamento de dados

Para o Azure Monitor:

  • Os dados de métricas são armazenados no banco de dados de métricas do Azure Monitor.
  • Os dados de log são armazenados no repositório de logs do Azure Monitor. O Log Analytics é uma ferramenta no portal do Azure que pode consultar este armazenamento.
  • O log de atividades do Azure é um repositório separado com sua própria interface no portal do Azure.

Opcionalmente, você pode rotear dados de métricas e logs de atividades para o repositório de logs do Azure Monitor. Em seguida, você pode usar o Log Analytics para consultar os dados e correlacioná-los com outros dados de log.

Muitos serviços podem usar configurações de diagnóstico para enviar dados de métrica e log para outros locais de armazenamento fora do Azure Monitor. Os exemplos incluem o Armazenamento do Azure, sistemas de parceiros hospedados e sistemas de parceiros que não são do Azure, usando Hubs de Eventos.

Para obter informações detalhadas sobre como o Azure Monitor armazena dados, consulte Plataforma de dados do Azure Monitor.

Métricas da plataforma Azure Monitor

O Azure Monitor fornece métricas de plataforma para a maioria dos serviços. Essas métricas são:

  • Definido individualmente para cada namespace.
  • Armazenado no banco de dados de métricas de séries cronológicas do Azure Monitor.
  • Leve e capaz de suportar alertas quase em tempo real.
  • Usado para acompanhar o desempenho de um recurso ao longo do tempo.

Coleção: o Azure Monitor coleta métricas da plataforma automaticamente. Não é necessária qualquer configuração.

Roteamento: normalmente você também pode rotear métricas da plataforma para Logs / Log Analytics do Azure Monitor para poder consultá-las com outros dados de log. Para obter mais informações, consulte a configuração de diagnóstico de métricas. Para saber como definir definições de diagnóstico para um serviço, consulte Criar definições de diagnóstico no Azure Monitor.

Para obter uma lista de todas as métricas que é possível reunir para todos os recursos no Azure Monitor, consulte Métricas suportadas no Azure Monitor.

Para obter uma lista de métricas disponíveis para o Firewall do Azure, consulte Referência de dados de monitoramento do Firewall do Azure.

Logs de recursos do Azure Monitor

Os logs de recursos fornecem informações sobre operações que foram feitas por um recurso do Azure. Os logs são gerados automaticamente, mas você deve roteá-los para os logs do Azure Monitor para salvá-los ou consultá-los. Os logs são organizados em categorias. Um determinado namespace pode ter várias categorias de log de recursos.

Coleção: os logs de recursos não são coletados e armazenados até que você crie uma configuração de diagnóstico e roteie os logs para um ou mais locais. Ao criar uma definição de diagnóstico, especifica as categorias de registos que devem ser recolhidas. Há várias maneiras de criar e manter configurações de diagnóstico, incluindo o portal do Azure, programaticamente e por meio da Política do Azure.

Roteamento: o padrão sugerido é rotear logs de recursos para Logs do Azure Monitor para que você possa consultá-los com outros dados de log. Outros locais, como o Armazenamento do Azure, Hubs de Eventos do Azure e determinados parceiros de monitoramento da Microsoft também estão disponíveis. Para obter mais informações, consulte Logs de recursos do Azure e Destinos de log de recursos.

Para obter informações detalhadas sobre como coletar, armazenar e rotear logs de recursos, consulte Configurações de diagnóstico no Azure Monitor.

Para obter uma lista de todas as categorias de log de recursos disponíveis no Azure Monitor, consulte Logs de recursos com suporte no Azure Monitor.

Todos os logs de recursos no Azure Monitor têm os mesmos campos de cabeçalho, seguidos por campos específicos do serviço. O esquema comum é descrito no esquema de log de recursos do Azure Monitor.

Para obter as categorias de log de recursos disponíveis, suas tabelas associadas do Log Analytics e os esquemas de log do Firewall do Azure, consulte Referência de dados de monitoramento do Firewall do Azure.

A Pasta de Trabalho do Firewall do Azure fornece uma tela flexível para análise de dados do Firewall do Azure. Você pode usá-lo para criar relatórios visuais avançados no portal do Azure. Você pode aproveitar vários Firewalls implantados no Azure e combiná-los em experiências interativas unificadas.

Também pode ligar à sua conta de armazenamento e obter as entradas de registo JSON para os registos de acesso e desempenho. Depois de transferir os ficheiros JSON, pode convertê-los em CSV e visualizá-los no Excel, Power BI ou qualquer outra ferramenta de visualização de dados.

Gorjeta

Se estiver familiarizado com os conceitos básicos do Visual Studio para alterar os valores de constantes e variáveis em C#, pode utilizar as ferramentas de conversor de registo disponíveis no GitHub.

Registo de atividades do Azure

O log de atividades contém eventos no nível de assinatura que rastreiam as operações para cada recurso do Azure visto de fora desse recurso; por exemplo, criar um novo recurso ou iniciar uma máquina virtual.

Coleção: os eventos do log de atividades são gerados e coletados automaticamente em um repositório separado para exibição no portal do Azure.

Roteamento: você pode enviar dados de log de atividades para os Logs do Azure Monitor para analisá-los junto com outros dados de log. Outros locais, como o Armazenamento do Azure, Hubs de Eventos do Azure e determinados parceiros de monitoramento da Microsoft também estão disponíveis. Para obter mais informações sobre como rotear o log de atividades, consulte Visão geral do log de atividades do Azure.

Logs estruturados do Firewall do Azure

Os logs estruturados são um tipo de dados de log organizados em um formato específico. Eles usam um esquema predefinido para estruturar dados de log de uma forma que facilita a pesquisa, filtragem e análise. Ao contrário dos logs não estruturados, que consistem em texto de forma livre, os logs estruturados têm um formato consistente que as máquinas podem analisar e analisar.

Os logs estruturados do Firewall do Azure fornecem uma exibição mais detalhada dos eventos de firewall. Eles incluem informações como endereços IP de origem e destino, protocolos, números de porta e ações tomadas pelo firewall. Eles também incluem mais metadados, como a hora do evento e o nome da instância do Firewall do Azure.

Atualmente, as seguintes categorias de log de diagnóstico estão disponíveis para o Firewall do Azure:

  • Registo de regra de Aplicação
  • Registo de regra de Rede
  • Log de proxy DNS

Essas categorias de log usam o modo de diagnóstico do Azure. Nesse modo, todos os dados de qualquer configuração de diagnóstico são coletados na tabela AzureDiagnostics .

Com logs estruturados, você pode optar por usar Tabelas Específicas de Recursos em vez da tabela AzureDiagnostics existente. Caso ambos os conjuntos de logs sejam necessários, pelo menos duas configurações de diagnóstico precisam ser criadas por firewall.

Modo específico do recurso

No modo específico do recurso , tabelas individuais no espaço de trabalho selecionado são criadas para cada categoria selecionada na configuração de diagnóstico. Este método é recomendado uma vez que:

  • pode reduzir os custos gerais de exploração madeireira em até 80%.
  • torna muito mais fácil trabalhar com os dados em consultas de log.
  • facilita a descoberta de esquemas e sua estrutura.
  • Melhora o desempenho na latência de ingestão e nos tempos de consulta.
  • permite que você conceda direitos do RBAC do Azure em uma tabela específica.

Novas tabelas específicas de recursos agora estão disponíveis na configuração Diagnóstico que permite utilizar as seguintes categorias:

  • Log de regras de rede - Contém todos os dados de log de regra de rede. Cada correspondência entre o plano de dados e a regra de rede cria uma entrada de log com o pacote do plano de dados e os atributos da regra correspondente.
  • Log de regras NAT - Contém todos os dados do log de eventos DNAT (Conversão de Endereço de Rede de Destino). Cada correspondência entre o plano de dados e a regra DNAT cria uma entrada de log com o pacote do plano de dados e os atributos da regra correspondente.
  • Log de regras de aplicativo - Contém todos os dados de log de regras de aplicativo. Cada correspondência entre o plano de dados e a regra do aplicativo cria uma entrada de log com o pacote do plano de dados e os atributos da regra correspondente.
  • Registro de Inteligência de Ameaças - Contém todos os eventos de Inteligência de Ameaças.
  • Log IDPS - Contém todos os pacotes de plano de dados que foram correspondidos com uma ou mais assinaturas IDPS.
  • Log de proxy DNS - Contém todos os dados de log de eventos de proxy DNS.
  • Log de falhas de resolução de FQDN interno - Contém todas as solicitações internas de resolução de FQDN do Firewall que resultaram em falha.
  • Log de agregação de regras de aplicativo - Contém dados agregados de log de regras de aplicativo para o Policy Analytics.
  • Log de agregação de regras de rede - Contém dados agregados de log de regras de rede para o Policy Analytics.
  • Log de agregação de regras NAT - Contém dados agregados de log de regras NAT para o Policy Analytics.
  • Log de fluxo superior - O log Top Flows (Fat Flows) mostra as principais conexões que estão contribuindo para a taxa de transferência mais alta através do firewall.
  • Rastreamento de fluxo - Contém informações de fluxo, sinalizadores e o período de tempo em que os fluxos foram registrados. Você pode ver informações de fluxo completo, como SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (fluxos).

Habilitar logs estruturados

Para habilitar os logs estruturados do Firewall do Azure, você deve primeiro configurar um espaço de trabalho do Log Analytics em sua assinatura do Azure. Esse espaço de trabalho é usado para armazenar os logs estruturados gerados pelo Firewall do Azure.

Depois de configurar o espaço de trabalho do Log Analytics, você pode habilitar logs estruturados no Firewall do Azure navegando até a página Configurações de diagnóstico do Firewall no portal do Azure. A partir daí, você deve selecionar a tabela de destino específico do recurso e selecionar o tipo de eventos que deseja registrar.

Nota

Não há nenhum requisito para habilitar esse recurso com um sinalizador de recurso ou comandos do Azure PowerShell.

Captura de ecrã da página Definições de diagnóstico.

Consultas de log estruturadas

Uma lista de consultas predefinidas está disponível no portal do Azure. Esta lista tem uma consulta de log KQL (Kusto Query Language) predefinida para cada categoria e consulta associada mostrando todos os eventos de log do firewall do Azure em exibição única.

Captura de ecrã a mostrar consultas da Firewall do Azure.

Livro do Azure Firewall

A Pasta de Trabalho do Firewall do Azure fornece uma tela flexível para análise de dados do Firewall do Azure. Você pode usá-lo para criar relatórios visuais avançados no portal do Azure. Você pode aproveitar vários firewalls implantados no Azure e combiná-los em experiências interativas unificadas.

Para implantar a nova pasta de trabalho que usa os Logs Estruturados do Firewall do Azure, consulte Pasta de Trabalho do Monitor do Azure para o Firewall do Azure.

Logs de diagnóstico do Azure herdados

Os logs de Diagnóstico do Azure herdados são as consultas de log originais do Firewall do Azure que produzem dados de log em um formato de texto não estruturado ou de forma livre. As categorias de log herdadas do Firewall do Azure usam o modo de diagnóstico do Azure, coletando dados inteiros na tabela AzureDiagnostics. Caso sejam necessários logs estruturados e de diagnóstico, pelo menos duas configurações de diagnóstico precisam ser criadas por firewall.

As seguintes categorias de log são suportadas nos logs de diagnóstico:

  • Regra de aplicativo do Firewall do Azure
  • Regra de rede do Firewall do Azure
  • Proxy DNS do Firewall do Azure

Para saber como habilitar o log de diagnóstico usando o portal do Azure, consulte Habilitar logs estruturados.

Registo de regra de Aplicação

O log de regras de aplicativo é salvo em uma conta de armazenamento, transmitido para hubs de eventos e/ou enviado para logs do Azure Monitor somente se você habilitá-lo para cada Firewall do Azure. Cada nova ligação que corresponde a uma das suas regras de aplicação configuradas resulta num registo da ligação aceite/negada. Os dados são registrados no formato JSON, conforme mostrado nos exemplos a seguir:

Category: application rule logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
{
 "category": "AzureFirewallApplicationRule",
 "time": "2018-04-16T23:45:04.8295030Z",
 "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
 "operationName": "AzureFirewallApplicationRuleLog",
 "properties": {
     "msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
 }
}
{
  "category": "AzureFirewallApplicationRule",
  "time": "2018-04-16T23:45:04.8295030Z",
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
  "operationName": "AzureFirewallApplicationRuleLog",
  "properties": {
      "msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals"
  }
}

Registo de regra de Rede

O log de regras de rede é salvo em uma conta de armazenamento, transmitido para hubs de eventos e/ou enviado para logs do Azure Monitor somente se você habilitá-lo para cada Firewall do Azure. Cada nova ligação que corresponde a uma das suas regras de rede configuradas resulta num registo da ligação aceite/negada. Os dados são registados no formato JSON, conforme mostrado no exemplo seguinte:

Category: network rule logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
{
 "category": "AzureFirewallNetworkRule",
 "time": "2018-06-14T23:44:11.0590400Z",
 "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
 "operationName": "AzureFirewallNetworkRuleLog",
 "properties": {
     "msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
 }
}

Log de proxy DNS

O log de proxy DNS é salvo em uma conta de armazenamento, transmitido para hubs de eventos e/ou enviado para logs do Azure Monitor somente se você habilitá-lo para cada Firewall do Azure. Esse log rastreia mensagens DNS para um servidor DNS configurado usando proxy DNS. Os dados são registrados no formato JSON, conforme mostrado nos exemplos a seguir:

Category: DNS proxy logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.

Success:

{
  "category": "AzureFirewallDnsProxy",
  "time": "2020-09-02T19:12:33.751Z",
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
  "operationName": "AzureFirewallDnsProxyLog",
  "properties": {
      "msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
  }
}

Reprovado:

{
  "category": "AzureFirewallDnsProxy",
  "time": "2020-09-02T19:12:33.751Z",
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
  "operationName": "AzureFirewallDnsProxyLog",
  "properties": {
      "msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
  }
}

Formato da mensagem:

[client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]

Analise os dados de monitoramento

Existem muitas ferramentas para analisar dados de monitoramento.

Ferramentas do Azure Monitor

O Azure Monitor dá suporte às seguintes ferramentas básicas:

  • Explorador de métricas, uma ferramenta no portal do Azure que permite exibir e analisar métricas para recursos do Azure. Para obter mais informações, consulte Analisar métricas com o explorador de métricas do Azure Monitor.

  • Log Analytics, uma ferramenta no portal do Azure que permite consultar e analisar dados de log usando a linguagem de consulta Kusto (KQL). Para obter mais informações, consulte Introdução às consultas de log no Azure Monitor.

  • O log de atividades, que tem uma interface de usuário no portal do Azure para exibição e pesquisas básicas. Para fazer uma análise mais aprofundada, você precisa rotear os dados para os logs do Azure Monitor e executar consultas mais complexas no Log Analytics.

As ferramentas que permitem uma visualização mais complexa incluem:

  • Painéis que permitem combinar diferentes tipos de dados em um único painel no portal do Azure.
  • Pastas de trabalho, relatórios personalizáveis que você pode criar no portal do Azure. As pastas de trabalho podem incluir texto, métricas e consultas de log.
  • Grafana, uma ferramenta de plataforma aberta que se destaca em dashboards operacionais. Você pode usar o Grafana para criar painéis que incluem dados de várias fontes diferentes do Azure Monitor.
  • Power BI, um serviço de análise de negócios que fornece visualizações interativas em várias fontes de dados. Você pode configurar o Power BI para importar automaticamente dados de log do Azure Monitor para aproveitar essas visualizações.

Ferramentas de exportação do Azure Monitor

Você pode obter dados do Azure Monitor para outras ferramentas usando os seguintes métodos:

  • Métricas: use a API REST para métricas para extrair dados de métricas do banco de dados de métricas do Azure Monitor. A API suporta expressões de filtro para refinar os dados recuperados. Para obter mais informações, consulte Referência da API REST do Azure Monitor.

  • Logs: use a API REST ou as bibliotecas de cliente associadas.

  • Outra opção é a exportação de dados do espaço de trabalho.

Para começar a usar a API REST para o Azure Monitor, consulte Passo a passo da API REST de monitoramento do Azure.

Consultas do Kusto

Você pode analisar dados de monitoramento no repositório Azure Monitor Logs / Log Analytics usando a linguagem de consulta Kusto (KQL).

Importante

Quando você seleciona Logs no menu do serviço no portal, o Log Analytics é aberto com o escopo da consulta definido para o serviço atual. Esse escopo significa que as consultas de log incluirão apenas dados desse tipo de recurso. Se quiser executar uma consulta que inclua dados de outros serviços do Azure, selecione Logs no menu Azure Monitor . Consulte Escopo e intervalo de tempo da consulta de log no Azure Monitor Log Analytics para obter detalhes.

Para obter uma lista de consultas comuns para qualquer serviço, consulte a interface de consultas do Log Analytics.

Alertas

Os alertas do Azure Monitor notificam proativamente quando condições específicas são encontradas em seus dados de monitoramento. Os alertas permitem-lhe identificar e resolver problemas no seu sistema antes que os seus clientes os percebam. Para obter mais informações, consulte Alertas do Azure Monitor.

Há muitas fontes de alertas comuns para recursos do Azure. Para obter exemplos de alertas comuns para recursos do Azure, consulte Consultas de alerta de log de exemplo. O site Azure Monitor Baseline Alerts (AMBA) fornece um método semiautomatizado de implementação de alertas métricos de plataforma, painéis e diretrizes importantes. O site aplica-se a um subconjunto em contínua expansão dos serviços do Azure, incluindo todos os serviços que fazem parte da Zona de Aterragem do Azure (ALZ).

O esquema de alerta comum padroniza o consumo de notificações de alerta do Azure Monitor. Para obter mais informações, consulte Esquema de alerta comum.

Tipos de alertas

Você pode alertar sobre qualquer fonte de dados de métrica ou log na plataforma de dados do Azure Monitor. Há muitos tipos diferentes de alertas, dependendo dos serviços que você está monitorando e dos dados de monitoramento que você está coletando. Diferentes tipos de alertas têm vários benefícios e desvantagens. Para obter mais informações, consulte Escolher o tipo de alerta de monitoramento correto.

A lista a seguir descreve os tipos de alertas do Azure Monitor que você pode criar:

  • Os alertas métricos avaliam as métricas de recursos em intervalos regulares. As métricas podem ser métricas de plataforma, métricas personalizadas, logs do Azure Monitor convertidos em métricas ou métricas do Application Insights. Os alertas métricos também podem aplicar várias condições e limites dinâmicos.
  • Os alertas de log permitem que os usuários usem uma consulta do Log Analytics para avaliar logs de recursos em uma frequência predefinida.
  • Os alertas do log de atividades são acionados quando ocorre um novo evento do log de atividades que corresponde às condições definidas. Os alertas de Integridade do Recurso e os alertas de Integridade do Serviço são alertas de log de atividades que relatam a integridade do serviço e do recurso.

Alguns serviços do Azure também suportam alertas de deteção inteligente, alertas Prometheus ou regras de alerta recomendadas.

Para alguns serviços, você pode monitorar em escala aplicando a mesma regra de alerta de métrica a vários recursos do mesmo tipo que existem na mesma região do Azure. Notificações individuais são enviadas para cada recurso monitorado. Para serviços e nuvens do Azure com suporte, consulte Monitorar vários recursos com uma regra de alerta.

Alerta sobre métricas do Firewall do Azure

As métricas fornecem sinais críticos para acompanhar a integridade dos recursos. Por isso, é importante monitorar as métricas do seu recurso e ficar atento a eventuais anomalias. Mas e se as métricas do Firewall do Azure pararem de fluir? Isso pode indicar um possível problema de configuração ou algo mais ameaçador, como uma interrupção. A falta de métricas pode acontecer devido à publicação de rotas padrão que impedem o Firewall do Azure de carregar métricas ou ao número de instâncias íntegras que caem para zero. Nesta seção, você aprenderá a configurar métricas para um espaço de trabalho de análise de log e a alertar sobre métricas ausentes.

Configurar métricas para um espaço de trabalho de análise de log

A primeira etapa é configurar a disponibilidade de métricas para o espaço de trabalho de análise de log usando as configurações de diagnóstico no firewall.

Para definir as configurações de diagnóstico conforme mostrado na captura de tela a seguir, navegue até a página de recursos do Firewall do Azure. Isso envia as métricas do firewall para o espaço de trabalho configurado.

Nota

As configurações de diagnóstico para métricas devem ser uma configuração separada dos logs. Os logs de firewall podem ser configurados para usar o Diagnóstico do Azure ou Específico do Recurso. No entanto, as métricas do Firewall sempre devem usar o Diagnóstico do Azure.

Captura de ecrã da definição de diagnóstico da Firewall do Azure.

Crie alertas para rastrear o recebimento de métricas de firewall sem falhas

Navegue até o espaço de trabalho configurado nas configurações de diagnóstico de métricas. Verifique se as métricas estão disponíveis usando a seguinte consulta:

AzureMetrics
| where MetricName contains "FirewallHealth"
| where ResourceId contains "/SUBSCRIPTIONS/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/RESOURCEGROUPS/PARALLELIPGROUPRG/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/HUBVNET-FIREWALL"
| where TimeGenerated > ago(30m)

Em seguida, crie um alerta para métricas ausentes durante um período de tempo de 60 minutos. Para configurar novos alertas sobre métricas ausentes, navegue até a página Alerta no espaço de trabalho de análise de log.

Captura de ecrã a mostrar a página Editar regra de alerta.

Regras de alerta do Firewall do Azure

Você pode definir alertas para qualquer métrica, entrada de log ou entrada de log de atividades listada na referência de dados de monitoramento do Firewall do Azure.

Recomendações do assistente

Para alguns serviços, se ocorrerem condições críticas ou alterações iminentes durante as operações de recursos, será exibido um alerta na página Visão geral do serviço no portal. Você pode encontrar mais informações e correções recomendadas para o alerta em Recomendações do Advisor em Monitoramento no menu à esquerda. Durante as operações normais, nenhuma recomendação do consultor é exibida.

Para obter mais informações sobre o Azure Advisor, consulte Visão geral do Azure Advisor.

  • Consulte Referência de dados de monitoramento do Firewall do Azure para obter uma referência das métricas, logs e outros valores importantes criados para o Firewall do Azure.
  • Consulte Monitorando recursos do Azure com o Azure Monitor para obter detalhes gerais sobre o monitoramento de recursos do Azure.