Мониторинг журналов Брандмауэр Azure (устаревших) и метрик
Совет
Улучшенный метод работы с журналами брандмауэра см. в статье Журналы структурированного брандмауэра Azure.
Работу брандмауэра Azure можно отслеживать с помощью журналов брандмауэра. Также журналы действий можно использовать для аудита операций на ресурсах брандмауэра Azure. С помощью метрик можно просматривать счетчики производительности на портале.
Доступ к некоторым из этих журналов можно получить через портал. Журналы можно передавать в Журналы Azure Monitor, службу хранилища, Центры событий, а затем анализировать в Журналах Azure Monitor или при помощи различных инструментов, таких как Excel и Power BI.
Примечание
Сведения из данной статьи были недавно обновлены. Теперь вместо термина "Log Analytics" используется термин "журналы Azure Monitor". Данные журнала по-прежнему хранятся в рабочей области Log Analytics, собираются и анализируются той же службой Log Analytics. Целью обновления терминологии является лучшее отражение роли журналов в Azure Monitor. Дополнительные сведения см. в статье Изменения фирменной символики Azure Monitor.
Примечание
Для взаимодействия с Azure рекомендуется использовать модуль Azure Az PowerShell. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.
Предварительные требования
Перед началом ознакомьтесь с журналами и показателями брандмауэра Azure, чтобы получить обзор журналов диагностики и показателей, доступных для брандмауэра Azure.
Включение журнала ведения диагностики на портале Azure
Для включения ведения журнала диагностики потребуется несколько минут, чтобы данные появились в журналах после завершения этой процедуры. Если ничего не происходит, проверьте еще раз через несколько минут.
На портале Azure откройте группу ресурсов брандмауэра и выберите брандмауэр.
В разделе Мониторинг выберите Параметры диагностики.
Для Брандмауэр Azure доступны три устаревших журнала для конкретной службы:
- Правило приложения Брандмауэр Azure (устаревшая Диагностика Azure)
- Сетевое правило Брандмауэр Azure (устаревшая Диагностика Azure)
- Брандмауэр Azure Dns-прокси (устаревшая Диагностика Azure)
Выберите Добавить параметр диагностики. На странице Параметры диагностики представлены параметры журналов диагностики.
Введите имя параметра диагностики.
В разделе Журналы выберите Брандмауэр Azure Правило приложения (устаревшая Диагностика Azure),сетевое правило Брандмауэр Azure (устаревшая Диагностика Azure) и Брандмауэр Azure Прокси-сервер Dns (устаревшая версия). Диагностика Azure) для сбора журналов.
Чтобы настроить рабочую область, щелкните Отправить в Log Analytics.
Выберите свою подписку.
В таблице Назначение выберите Azure диагностика.
Щелкните Сохранить.
Включение журнал ведения диагностики с помощью PowerShell
Ведение журнала действий автоматически включается для каждого ресурса Resource Manager. Чтобы начать сбор соответствующих данных, журналы ведения диагностики должны быть включены.
Чтобы включить журнал ведения диагностики с помощью PowerShell, сделайте следующее:
Запишите ИД ресурса рабочей области Log Analytics, в которой сохраняются данные. Это значение имеет следующий вид:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>
Вы можете использовать любую рабочую область в своей подписке. Получить эти сведения можно на портале Azure. Нужные сведения можно найти на странице Свойства для ресурса.
Обратите внимание на идентификатор ресурса для брандмауэра. Это значение имеет следующий вид:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>
Получить эти сведения можно на портале.
Включите журнал ведения диагностики для всех журналов и метрик с помощью следующего командлета PowerShell:
$diagSettings = @{ Name = 'toLogAnalytics' ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>' WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>' } New-AzDiagnosticSetting @diagSettings
Включение журнала ведения диагностики с помощью Azure CLI
Ведение журнала действий автоматически включается для каждого ресурса Resource Manager. Чтобы начать сбор соответствующих данных, журналы ведения диагностики должны быть включены.
Чтобы включить журнал ведения диагностики с помощью Azure CLI, сделайте следующее:
Запишите ИД ресурса рабочей области Log Analytics, в которой сохраняются данные. Это значение имеет следующий вид:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>
Вы можете использовать любую рабочую область в своей подписке. Получить эти сведения можно на портале Azure. Нужные сведения можно найти на странице Свойства для ресурса.
Обратите внимание на идентификатор ресурса для брандмауэра. Это значение имеет следующий вид:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>
Получить эти сведения можно на портале.
Включите журнал ведения диагностики для всех журналов и метрик с помощью следующей команды Azure CLI.
az monitor diagnostic-settings create -n 'toLogAnalytics' --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>' --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>' --logs "[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]" --metrics "[{\"category\": \"AllMetrics\",\"enabled\": true}]"
Просмотр и анализ журнала действий
Данные журнала действий можно просматривать и анализировать с помощью любого из следующих методов:
Средства Azure. Информацию из журналов действий можно получать с помощью Azure PowerShell, Azure CLI, REST API Azure или портала Azure. Пошаговые инструкции для каждого метода подробно описаны в статье Activity operations with Resource Manager (Выполнение операций в журналах действий с помощью Resource Manager).
Power BI. Если у вас еще нет учетной записи Power BI, вы можете использовать бесплатную пробную версию. Используя пакет содержимого журналов действий Azure для Power BI, можно анализировать данные с помощью предварительно настроенных панелей мониторинга, которые можно использовать "как есть" или дополнительно настроить.
Microsoft Sentinel: вы сможете подключить журналы Брандмауэра Azure к Microsoft Sentinel, что позволит просматривать данные журналов в книгах, создавать на их основе настраиваемые оповещения и применять их для улучшения расследований. Соединитель данных Брандмауэра Azure для Microsoft Sentinel в настоящее время доступен в предварительной версии. Дополнительные сведения см. в статье Подключение данных из Брандмауэра Azure.
Общие сведения см. в следующем видео Мохита Кумара:
Просмотр и анализ журналов правил сети и приложений
Книга Брандмауэра Azure предоставляет настраиваемый холст для анализа данных Брандмауэра Azure. Она позволяет создавать многофункциональные визуальные отчеты на портале Azure. Вы можете подключиться к нескольким брандмауэрам, развернутым в Azure, и объединить их возможности в едином интерактивном взаимодействии.
Вы также можете подключиться к учетной записи хранения и извлечь записи журнала JSON для журналов доступа и производительности. После скачивания JSON-файлов их можно преобразовать в формат CSV и просматривать в Excel, Power BI или другом средстве визуализации данных.
Совет
Если вы знакомы с Visual Studio и основными понятиями изменения значений констант и переменных в C#, можно использовать инструменты преобразования журналов, доступные на сайте GitHub.
Просмотр метрик
Перейдите к брандмауэру Azure. В разделе Мониторинг выберите Метрики. Чтобы просмотреть доступные значения, выберите раскрывающийся список Метрика.
Дальнейшие действия
Теперь, когда брандмауэр настроен для сбора журналов, можно открыть Журналы Azure Monitor, чтобы просмотреть данные.