обзор журналов и метрик Брандмауэр Azure
Журналы и метрики можно использовать Брандмауэр Azure для мониторинга трафика и операций в брандмауэре. Эти журналы и метрики служат нескольким основным целям, в том числе:
Анализ трафика: используйте журналы для проверки и анализа трафика, передаваемого через брандмауэр. Это включает изучение разрешенного и запрещенного трафика, проверка исходных и целевых IP-адресов, URL-адресов, номеров портов, протоколов и т. д. Эти аналитические сведения важны для понимания шаблонов трафика, выявления потенциальных угроз безопасности и устранения проблем с подключением.
Метрики производительности и работоспособности: Брандмауэр Azure метрики предоставляют метрики производительности и работоспособности, такие как данные, пропускная способность, количество попаданий правил и задержка. Отслеживайте эти метрики, чтобы оценить общую работоспособность брандмауэра, определить узкие места производительности и обнаружить аномалии.
Аудит тропы. Журналы действий позволяют выполнять аудит операций, связанных с ресурсами брандмауэра, захватывая такие действия, как создание, обновление или удаление правил и политик брандмауэра. Просмотр журналов действий помогает сохранить историческую запись изменений конфигурации и обеспечить соответствие требованиям к безопасности и аудиту.
Просмотр и хранение
Журналы и метрики можно получить через портал Azure с несколькими вариантами хранения и анализа:
Рабочая область Log Analytics (на основе Azure Monitor): централизация журналов и метрик Брандмауэр Azure в рабочей области Log Analytics для расширенного анализа, создания настраиваемой панели мониторинга и настройки оповещений на основе определенных пороговых значений метрик.
учетная запись служба хранилища. Хранение журналов в учетной записи служба хранилища Azure для долгосрочного хранения и интеграции с внешними средствами анализа журналов.
Концентратор событий: потоковая передача журналов Брандмауэр Azure в Концентратор событий Azure для обработки, анализа или интеграции со сторонними решениями SIEM.
Партнерские решения. Отправка журналов Брандмауэр Azure сторонним партнерским решениям для дальнейшего анализа и корреляции с другими данными безопасности.
Параметры конфигурации журналов и метрик для Брандмауэр Azure обычно выполняются через портал Azure. Это позволяет указать назначение для журналов и метрик, а также настроить конфигурации хранения и оповещений, адаптированные к требованиям к мониторингу и безопасности вашей организации.
структурированные журналы;
Отслеживайте Брандмауэр Azure с помощью структурированных журналов, которые используют предопределенную схему для структурирования данных журнала для простого поиска, фильтрации и анализа. Эти журналы включают такие сведения, как исходные и конечные IP-адреса, протоколы, номера портов и действия брандмауэра. Определите приоритет настройки структурированных журналов в качестве основного типа журнала с помощью таблиц с определенными ресурсами вместо существующей таблицы AzureDiagnostics. Сведения о включении этих журналов и изучении категорий журналов см. в разделе "Структурированные журналы брандмауэра Azure".
Устаревшие журналы Диагностика Azure
Устаревшие журналы диагностики Azure — это исходные запросы журнала Брандмауэр Azure, которые выводят данные журнала в неструктурированном или текстовом формате свободной формы. Устаревшие категории журналов Брандмауэр Azure используют режим диагностика Azure, собирая все данные в таблице AzureDiagnostics. Если требуются как структурированные, так и диагностические журналы, необходимо создать по крайней мере два параметра диагностики для каждого брандмауэра. Сведения о включении этих журналов и изучении категорий журналов см. в разделе Брандмауэр Azure журналов диагностики.
Метрики
Метрики в Azure Monitor — это числовые значения, описывающие аспекты системы в определенное время. Собранные каждую минуту метрики полезны для оповещений из-за их частой выборки. Быстро настройте оповещения с относительно простой логикой. Доступные метрики и настройка оповещений для Брандмауэр Azure см. в Брандмауэр Azure метрик и оповещений.
Журналы действий
Записи журнала действий собираются по умолчанию, и их можно просмотреть на портале Azure. Используйте журналы действий Azure (прежнее название — операционные журналы и журналы аудита) для просмотра всех операций, отправленных в подписку Azure.
Следующие шаги
- Дополнительные сведения о метриках в Azure Monitor см. в статье Метрики в Azure Monitor.