Включение основных потоков и журналов трассировки потока в Брандмауэр Azure

Брандмауэр Azure имеет два новых журнала диагностика, которые можно использовать для мониторинга брандмауэра:

• Верхние потоки
• Трассировка потока

Верхние потоки

В журнале "Основные потоки" (известном в отрасли как "Жировые потоки") отображаются самые высокие подключения, которые способствуют максимальной пропускной способности через брандмауэр.

Совет

Активируйте журналы топ-потоков только при устранении конкретной проблемы, чтобы избежать чрезмерного использования ЦП Брандмауэр Azure.

Скорость потока определяется как скорость передачи данных (в мегабитах в секунду). Другими словами, это мера объема цифровых данных, которые могут передаваться по сети в течение определенного периода времени через брандмауэр. Протокол Top Flows периодически выполняется каждые три минуты. Минимальное пороговое значение для рассмотрения верхнего потока — 1 Мбит/с.

Необходимые компоненты

• Включение структурированных журналов
• Используйте формат таблицы для конкретных ресурсов Azure в диагностических Параметры.

Включение журнала

Включите журнал с помощью следующих команд Azure PowerShell:

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall

Отключение журнала

Чтобы отключить журналы, используйте ту же предыдущую команду Azure PowerShell и задайте значение False.

Например:

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall

Проверка обновления

Существует несколько способов проверить успешность обновления, но вы можете перейти к обзору брандмауэра и выбрать представление JSON в правом верхнем углу. Ниже приведен пример.

Создание параметра диагностики и включение таблицы для конкретных ресурсов

1. На вкладке "Параметры диагностики" выберите " Добавить параметр диагностики".
2. Введите Имя параметра диагностики.
3. Выберите Брандмауэр Azure журнал fat flow в разделе "Категории" и любые другие журналы, которые вы хотите поддерживать в брандмауэре.
4. В сведениях о назначении выберите "Отправить в рабочую область Log Analytics ".
   1. Выберите нужную подписку и предварительно настроенную рабочую область Log Analytics.
   2. Включите конкретный ресурс.

Просмотр и анализ журналов Брандмауэр Azure

1. В ресурсе брандмауэра перейдите к журналам на вкладке "Мониторинг ".

2. Выберите запросы, а затем загрузите Брандмауэр Azure журналы верхнего потока, наведите указатель мыши на параметр и выберите "Загрузить в редактор".

3. При загрузке запроса нажмите кнопку "Выполнить".

   

Трассировка потока

В настоящее время журналы брандмауэра показывают трафик через брандмауэр в первой попытке TCP-подключения, известного как пакет SYN . Однако это не показывает полный путь пакета в подтверждении TCP. В результате сложно устранить неполадки, если пакет удален или асимметричная маршрутизация.

Совет

Чтобы избежать чрезмерного использования дисков, вызванных журналами трассировки потока в Брандмауэр Azure с множеством коротких подключений, активируйте журналы только при устранении конкретной проблемы в целях диагностики.

Можно добавить следующие дополнительные свойства:

• SYN-ACK

  Флаг ACK, указывающий подтверждение пакета SYN.

• FIN

  Готовый флаг исходного потока пакетов. В потоке TCP больше не передаются данные.

• FIN-ACK

  Флаг ACK, указывающий подтверждение пакета FIN.

• RST

  Флаг сброса указывает, что исходный отправитель не получает больше данных.

• INVALID (потоки)

  Указывает, что пакет не может быть идентифицирован или не имеет состояния.

  Например:

  • Пакет TCP приземляется в экземпляре Масштабируемые наборы виртуальных машин, который не имеет предыдущей истории для этого пакета.
  • Пакеты Bad CheckSum
  • запись таблицы отслеживания Подключение и новые подключения не могут быть приняты.
  • Чрезмерно отложенные пакеты ACK

Журналы трассировки потока, такие как SYN-ACK и ACK, регистрируются исключительно для сетевого трафика. Кроме того, пакеты SYN по умолчанию не регистрируются. Однако доступ к начальным пакетам SYN можно получить в журналах правил сети.

Необходимые компоненты

• Включите структурированные журналы.
• Используйте формат таблицы для конкретных ресурсов Azure в диагностических Параметры.

Включение журнала

Включите журнал с помощью следующих команд Azure PowerShell или перейдите на портале и выполните поиск по протоколу Enable TCP Подключение ion Log:

Connect-AzAccount 
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Это может занять несколько минут. После регистрации функции рассмотрите возможность немедленного выполнения обновления Брандмауэр Azure, чтобы изменения вступят в силу немедленно.

Чтобы проверка состояние регистрации AzResourceProvider, можно выполнить команду Azure PowerShell:

Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"

Отключение журнала

Чтобы отключить журнал, его можно отменить с помощью следующей команды или отменить регистрацию в предыдущем примере портала.

Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"

Создание параметра диагностики и включение таблицы для конкретных ресурсов

1. На вкладке "Параметры диагностики" выберите " Добавить параметр диагностики".
2. Введите Имя параметра диагностики.
3. Выберите Брандмауэр Azure журнал трассировки потока в разделе "Категории" и любые другие журналы, которые вы хотите поддерживать в брандмауэре.
4. В сведениях о назначении выберите "Отправить в рабочую область Log Analytics ".
   1. Выберите нужную подписку и предварительно настроенную рабочую область Log Analytics.
   2. Включите конкретный ресурс.

Просмотр и анализ журналов трассировки потока Брандмауэр Azure

1. В ресурсе брандмауэра перейдите к журналам на вкладке "Мониторинг ".

2. Выберите запросы, а затем загрузите журналы трассировки потока Брандмауэр Azure, наведите указатель мыши на параметр и выберите "Загрузить в редактор".

3. При загрузке запроса нажмите кнопку "Выполнить".

   

Следующие шаги

• Структурированные журналы брандмауэра Azure