Registos e métricas do Azure Firewall
Pode monitorizar os registos do Azure Firewall com registos de firewall. Também pode utilizar os registos de atividades para auditar operações nos recursos do Azure Firewall.
Pode aceder a alguns destes registos através do portal. Pode enviá-los para os registos do Azure Monitor, o Armazenamento e os Hubs de Eventos e, em seguida, analisá-los nos registos do Azure Monitor ou com ferramentas diferentes, como o Excel e o Power BI.
As métricas são leves e podem suportar cenários quase em tempo real, tornando-as úteis para alertas e deteção rápida de problemas.
Nota
Estão disponíveis registos de firewall estruturados (pré-visualização) que oferecem mais controlo sobre os registos e consultas mais rápidas. Para obter mais informações, consulte Azure Firewall funcionalidades de pré-visualização.
Registos de diagnósticos
Os seguintes registos de diagnóstico estão disponíveis para o Azure Firewall:
Registo de regra de Aplicação
O registo de regras da aplicação é guardado numa conta de armazenamento, transmitido em fluxo para os Hubs de Eventos e/ou enviado para os registos do Azure Monitor apenas se o tiver ativado para cada Azure Firewall. Cada nova ligação que corresponde a uma das suas regras de aplicação configuradas resulta num registo da ligação aceite/negada. Os dados são registados no formato JSON, conforme mostrado nos seguintes exemplos:
Category: application rule logs. Time: log timestamp. Properties: currently contains the full message. note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.{ "category": "AzureFirewallApplicationRule", "time": "2018-04-16T23:45:04.8295030Z", "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}", "operationName": "AzureFirewallApplicationRuleLog", "properties": { "msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002" } }{ "category": "AzureFirewallApplicationRule", "time": "2018-04-16T23:45:04.8295030Z", "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}", "operationName": "AzureFirewallApplicationRuleLog", "properties": { "msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals" } }Registo de regra de Rede
O registo de regras de rede é guardado numa conta de armazenamento, transmitido em fluxo para os Hubs de Eventos e/ou enviado para os registos do Azure Monitor apenas se o tiver ativado para cada Azure Firewall. Cada nova ligação que corresponde a uma das suas regras de rede configuradas resulta num registo da ligação aceite/negada. Os dados são registados no formato JSON, conforme mostrado no exemplo seguinte:
Category: network rule logs. Time: log timestamp. Properties: currently contains the full message. note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.{ "category": "AzureFirewallNetworkRule", "time": "2018-06-14T23:44:11.0590400Z", "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}", "operationName": "AzureFirewallNetworkRuleLog", "properties": { "msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny" } }Registo de proxy DNS
O registo do Proxy DNS é guardado numa conta de armazenamento, transmitido em fluxo para os Hubs de Eventos e/ou enviado para os registos do Azure Monitor apenas se o tiver ativado para cada Azure Firewall. Este registo monitoriza as mensagens DNS para um servidor DNS configurado com o proxy DNS. Os dados são registados no formato JSON, conforme mostrado nos seguintes exemplos:
Category: DNS proxy logs. Time: log timestamp. Properties: currently contains the full message. note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.Êxito:
{ "category": "AzureFirewallDnsProxy", "time": "2020-09-02T19:12:33.751Z", "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}", "operationName": "AzureFirewallDnsProxyLog", "properties": { "msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s" } }Falha:
{ "category": "AzureFirewallDnsProxy", "time": "2020-09-02T19:12:33.751Z", "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}", "operationName": "AzureFirewallDnsProxyLog", "properties": { "msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout” } }formato msg:
[client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]
Tem três opções para armazenar os registos:
- Conta de armazenamento: as contas de armazenamento são ideais para os registos quando estes são armazenados durante um período mais longo e revistos quando necessário.
- Hubs de eventos: os Hubs de eventos são uma excelente opção para integrar com outras informações de segurança e ferramentas de gestão de eventos (SEIM) para obter alertas sobre os seus recursos.
- Registos do Azure Monitor: os registos do Azure Monitor são mais utilizados para a monitorização geral em tempo real da sua aplicação ou para analisar tendências.
Registos de atividade
As entradas de registos de atividades são recolhidas por predefinição e pode visualizá-las no portal do Azure.
Pode utilizar os registos de atividades do Azure (anteriormente conhecidos como registos operacionais e registos de auditoria) para ver todas as operações submetidas à sua subscrição do Azure.
Métricas
As métricas no Azure Monitor são valores numéricos que descrevem alguns aspetos de um sistema num determinado momento. As métricas são recolhidas a cada minuto e são úteis para alertas, uma vez que podem ser amostradas com frequência. Um alerta pode ser acionado rapidamente com lógica relativamente simples.
As seguintes métricas estão disponíveis para Azure Firewall:
As regras da aplicação atingem a contagem – o número de vezes que uma regra de aplicação foi atingida.
Unidade: contagem
As regras de rede atingem a contagem – o número de vezes que uma regra de rede foi atingida.
Unidade: contagem
Dados processados – soma dos dados que atravessam a firewall num determinado período de tempo.
Unidade: bytes
Débito – taxa de dados que atravessam a firewall por segundo.
Unidade: bits por segundo
Estado de funcionamento da firewall – indica o estado de funcionamento da firewall com base na disponibilidade da porta SNAT.
Unidade: percentagem
Esta métrica tem duas dimensões:
Estado: os valores possíveis são Bom Estado de Funcionamento, Degradado, Em Mau Estado de Funcionamento.
Motivo: indica o motivo do estado correspondente da firewall.
Se as portas SNAT forem utilizadas > 95%, são consideradas esgotadas e o estado de funcionamento é de 50% com a porta status=Degraded e reason=SNAT. A firewall mantém o tráfego de processamento e as ligações existentes não são afetadas. No entanto, as novas ligações podem não ser estabelecidas intermitentemente.
Se as portas SNAT forem utilizadas < 95%, a firewall é considerada em bom estado de funcionamento e o estado de funcionamento é apresentado como 100%.
Se não for reportada qualquer utilização da portas SNAT, o estado de funcionamento será mostrada como 0%.
Utilização da porta SNAT – a percentagem de portas SNAT que foram utilizadas pela firewall.
Unidade: percentagem
Quando adiciona mais IPs públicos à firewall, estão disponíveis mais portas SNAT, o que reduz a utilização das portas SNAT. Além do mais, quando a firewall aumenta horizontalmente por diferentes motivos (por exemplo, devido à CPU ou ao débito), também ficam disponíveis portas SNAT adicionais. Assim, de forma eficaz, uma determinada percentagem da utilização das portas SNAT pode diminuir sem adicionar endereços IP públicos, apenas porque o serviço aumentou horizontalmente. Pode controlar diretamente o número de endereços IP públicos disponíveis para aumentar as portas disponíveis na firewall. Mas não pode controlar diretamente o dimensionamento da firewall.
Se a firewall estiver a encontrar o esgotamento da porta SNAT, deve adicionar pelo menos cinco endereços IP públicos. Isto aumenta o número de portas SNAT disponíveis. Para obter mais informações, veja Azure Firewall funcionalidades.
Sonda de Latência do AZFW (Pré-visualização) – estimativas Azure Firewall latência média.
Unidade: m/s
Esta métrica mede a latência geral ou média de Azure Firewall. Os administradores podem utilizar esta métrica para os seguintes fins:
Diagnosticar se Azure Firewall é a causa da latência na rede
Monitorize e alerte se existirem problemas de latência ou desempenho, para que as equipas de TI possam interagir proativamente.
Podem existir vários motivos que podem causar latência elevada no Azure Firewall.
Esta métrica não mede a latência ponto a ponto de um determinado caminho de rede. Por outras palavras, esta sonda de estado de funcionamento de latência não mede a quantidade de latência Azure Firewall adiciona.
Passos seguintes
Para saber como monitorizar Azure Firewall registos e métricas, veja Tutorial: Monitorizar registos de Azure Firewall.
Para saber mais sobre as métricas no Azure Monitor, veja Métricas no Azure Monitor.