Поделиться через


Справочник по данным мониторинга Брандмауэр Azure

В этой статье содержатся все справочные сведения о мониторинге для этой службы.

Дополнительные сведения о данных, собираемых для Брандмауэр Azure, и их использовании см. в Брандмауэр Azure мониторинга.

Метрики

В этом разделе перечислены все автоматически собранные метрики платформы для этой службы. Эти метрики также являются частью глобального списка всех метрик платформы, поддерживаемых в Azure Monitor.

Сведения о хранении метрик см. в обзоре метрик Azure Monitor.

Поддерживаемые метрики для Microsoft.Network/azureFirewalls

В следующей таблице перечислены метрики, доступные для типа ресурса Microsoft.Network/azureFirewalls.

  • Все столбцы могут не присутствовать в каждой таблице.
  • Некоторые столбцы могут находиться за пределами области просмотра страницы. Выберите "Развернуть таблицу ", чтобы просмотреть все доступные столбцы.

Заголовки таблиц

  • Категория — группа метрик или классификация.
  • Метрика — отображаемое имя метрик, как оно отображается в портал Azure.
  • Имя в REST API — имя метрики, указанное в REST API.
  • Единица измерения.
  • Агрегирование — тип агрегирования по умолчанию. Допустимые значения: среднее (среднее), минимальное (минимальное), максимальное (максимальное), общее (сумма), число.
  • Измерения - , доступные для метрики.
  • Интервалы интервалов - времени, по которым выборка метрики выполняется. Например, указывает, PT1M что метрика выборка выполняется каждую минуту, каждые 30 минут, PT30M PT1H каждый час и т. д.
  • Экспорт DS— можно ли экспортировать метрики в журналы Azure Monitor с помощью параметров диагностики. Сведения об экспорте метрик см. в статье "Создание параметров диагностики" в Azure Monitor.
Метрика Имя в REST API Единица измерения Агрегат Измерения Интервалы времени Экспорт DS
Количество попаданий правил приложения

Число попаданий в правила приложения
ApplicationRuleHit Count Total (Sum) Status, , ReasonProtocol PT1M Да
Обработанные данные

Общий объем данных, обработанных этим брандмауэром
DataProcessed Байт Total (Sum) <none> PT1M Да
Состояние работоспособности брандмауэра

Указывает общую работоспособность этого брандмауэра
FirewallHealth Процент По средней Status, Reason PT1M Да
Проба задержки

Оценка средней задержки брандмауэра по измерению пробы задержки
FirewallLatencyPng Миллисекунды По средней <none> PT1M Да
Количество попаданий в правила сети

Число попаданий в сетевые правила
NetworkRuleHit Count Total (Sum) Status, , ReasonProtocol PT1M Да
Использование портов SNAT

Процент исходящих портов SNAT, используемых в данный момент
SNATPortUtilization Процент Среднее, максимальное Protocol PT1M Да
Пропускная способность

Пропускная способность, обрабатываемая этим брандмауэром
Throughput BitsPerSecond По средней <none> PT1M No

Состояние работоспособности брандмауэра

В предыдущей таблице метрика состояния работоспособности брандмауэра имеет два измерения:

  • Состояние: возможные значения Healthy (Работоспособен), Degraded (Снижение работоспособности), Unhealthy (Не работоспособен).
  • Причина: указывает на причину соответствующего состояния брандмауэра.

Если порты SNAT используются более 95%, они считаются исчерпанными, а работоспособность составляет 50 % с состоянием=Понижение и причина=SNAT-порт. Брандмауэр сохраняет обработку трафика и существующие подключения не затрагиваются. Однако новые подключения могут не быть установлены периодически.

Если порты SNAT используются менее чем на 95 %, брандмауэр считается работоспособным и отображается уровень работоспособности 100 %.

Если сведения об использовании портов SNAT отсутствуют, отображается состояние работоспособности 0 %.

Использование портов SNAT

Для метрики использования портов SNAT при добавлении дополнительных общедоступных IP-адресов в брандмауэр доступны дополнительные порты SNAT, что снижает использование портов SNAT. Кроме того, при масштабировании брандмауэра по разным причинам (например, ЦП или пропускной способности) больше портов SNAT также становятся доступными.

Фактически этот процент использования портов SNAT может сократиться без добавления общедоступных IP-адресов, так как служба масштабируется. Вы можете напрямую контролировать количество общедоступных IP-адресов, доступных для увеличения портов, доступных в брандмауэре. Но вы не можете напрямую управлять масштабированием брандмауэра.

Если брандмауэр сталкивается с нехваткой портов SNAT, необходимо добавить по крайней мере пять общедоступных IP-адресов. Это увеличивает количество доступных портов SNAT. Дополнительные сведения см. на странице Функции брандмауэра Azure.

Проверка задержки AZFW

Метрика проверки задержки AZFW измеряет общую или среднюю задержку Брандмауэр Azure в миллисекундах. Администраторы могут использовать эту метрику в следующих целях:

  • Диагностика того, является ли Брандмауэр Azure причиной задержки в сети
  • Отслеживайте и оповещайте, если возникают проблемы с задержкой или производительностью, поэтому ИТ-команды могут активно взаимодействовать.
  • Могут возникнуть различные причины, которые могут привести к высокой задержке в Брандмауэр Azure. Например, высокая загрузка ЦП, высокая пропускная способность или возможная проблема с сетью.

Какие метрики метрики пробы задержки AZFW (и не):

  • Что он измеряет: задержка Брандмауэр Azure на платформе Azure
  • То, что это не замечает: метрика не фиксирует сквозную задержку для всего сетевого пути. Вместо этого он отражает производительность брандмауэра, а не то, сколько задержки Брандмауэр Azure вводится в сеть.
  • Отчеты об ошибках: если метрика задержки не работает правильно, она сообщает значение 0 на панели мониторинга метрик, указывая на сбой пробы или прерывание.

Факторы, влияющие на задержку:

  • Высокая загрузка ЦП.
  • Высокая пропускная способность или загрузка трафика
  • Проблемы с сетью на платформе Azure

Пробы задержки: от ICMP до TCP Проба задержки в настоящее время использует технологию сетки Ping Майкрософт, которая основана на ICMP (Protcol сообщения через Интернет). ICMP подходит для быстрых проверок работоспособности, таких как запросы связи, но это может не точно представлять трафик приложения реального мира, который обычно зависит от TCP. Однако пробы ICMP определяют приоритеты по-разному на платформе Azure, что может привести к изменению номеров SKU. Чтобы уменьшить эти несоответствия, Брандмауэр Azure планирует перейти на пробы на основе TCP.

  • Пики задержки: при пробах ICMP периодические пики являются нормальными и являются частью стандартного поведения сети узла. Они не должны быть неправильно интерпретированы как проблемы брандмауэра, если они не являются постоянными.
  • Средняя задержка. В среднем задержка Брандмауэр Azure, как ожидается, будет варьироваться от 1 мс до 10 мс, от dpending до размера SKU брандмауэра и развертывания.

Рекомендации по мониторингу задержки

  • Задайте базовый план: установите базовые показатели задержки в условиях легкого трафика для точного сравнения при обычном или пиковом использовании.

  • Мониторинг шаблонов: ожидайте случайные пики задержки в рамках обычных операций. Если высокая задержка сохраняется за пределами этих нормальных вариаций, это может указывать на более глубокую проблему, требующую исследования.

  • Рекомендуемое пороговое значение задержки. Рекомендуемая рекомендация заключается в том, что задержка не должна превышать 3x базовых показателей. Если это пороговое значение пересекается, рекомендуется дальнейшее исследование.

  • Проверьте ограничение правила: убедитесь, что правила сети находятся в пределах ограничения правила 20K. Превышение этого ограничения может повлиять на производительность.

  • Подключение нового приложения: проверьте наличие новых подключенных приложений, которые могут быть добавлены значительные нагрузки или вызывают проблемы с задержкой.

  • Запрос на поддержку. Если вы наблюдаете непрерывную задержку, которая не соответствует ожидаемому поведению, рассмотрите возможность отправки запроса в службу поддержки для дальнейшей помощи.

    Снимок экрана: метрика Брандмауэр Azure пробы задержки.

Измерения метрик

Дополнительные сведения о измерениях метрик см. в разделе "Многомерные метрики".

Эта служба имеет следующие измерения, связанные с ее метриками.

  • Протокол
  • Причина
  • Состояние

Журналы ресурсов

В этом разделе перечислены типы журналов ресурсов, которые можно собирать для этой службы. Раздел извлекает из списка всех типов категорий журналов ресурсов, поддерживаемых в Azure Monitor.

Поддерживаемые журналы ресурсов для Microsoft.Network/azureFirewalls

Категория Отображаемое имя категории Таблица журналов Поддерживает базовый план журнала Поддерживает преобразование времени приема Примеры запросов Затраты на экспорт
AZFWApplicationRule Правило приложения службы "Брандмауэр Azure" AZFWApplicationRule

Содержит все данные журнала правил приложения. Каждое совпадение между плоскостью данных и правилом приложения приводит к созданию записи журнала с пакетом плоскости данных и атрибутами соответствующего правила.

No No Запросы Да
AZFWApplicationRuleAggregation агрегирование сетевого правила Брандмауэр Azure (аналитика политик) AZFWApplicationRuleAggregation

Содержит агрегированные данные журнала правил приложений для Аналитики политик.

No No Да
AZFWDnsQuery Брандмауэр Azure DNS-запрос AZFWDnsQuery

Содержит все данные журнала событий DNS-прокси.

No No Запросы Да
AZFWFatFlow журнал потока жира Брандмауэр Azure AZFWFatFlow

Этот запрос возвращает верхние потоки между Брандмауэр Azure экземплярами. Журнал содержит сведения о потоке, скорость передачи дат (в мегабитах в секунду) и период времени записи потоков. Следуйте документации, чтобы включить ведение журнала верхнего потока и подробные сведения о том, как она записывается.

No No Запросы Да
AZFWFlowTrace Журнал трассировки потока Брандмауэр Azure AZFWFlowTrace

Журналы потоков между Брандмауэр Azure экземплярами. Журнал содержит сведения о потоке, флаги и период времени записи потоков. Следуйте документации, чтобы включить ведение журнала трассировки потока и подробные сведения о том, как она записывается.

Да Нет Запросы Да
AZFWFqdnResolveFailure Сбой разрешения полного доменного имени Брандмауэр Azure No No Да
AZFWIdpsSignature подпись idPS Брандмауэр Azure AZFWIdpsSignature

Содержит все пакеты плоскости данных, которые были сопоставлены с одной или несколькими сигнатурами IDPS.

No No Запросы Да
AZFWNatRule правило NAT Брандмауэр Azure AZFWNatRule

Содержит все данные журнала событий DNAT (преобразование сетевых адресов назначения). Каждое совпадение между плоскостью данных и правилом DNAT приводит к созданию записи журнала с пакетом плоскости данных и атрибутами соответствующего правила.

No No Запросы Да
AZFWNatRuleAggregation агрегирование правил NAT Брандмауэр Azure (аналитика политик) AZFWNatRuleAggregation

Содержит агрегированные данные журнала правил NAT для Аналитики политик.

No No Да
AZFWNetworkRule Правило сети службы "Брандмауэр Azure" AZFWNetworkRule

Содержит все данные журнала правил сети. Каждое совпадение между плоскостью данных и правилом сети приводит к созданию записи журнала с пакетом плоскости данных и атрибутами соответствующего правила.

No No Запросы Да
AZFWNetworkRuleAggregation агрегирование правил приложений Брандмауэр Azure (аналитика политик) AZFWNetworkRuleAggregation

Содержит агрегированные данные журнала правил сети для Аналитики политик.

No No Да
AZFWThreatIntel аналитика угроз Брандмауэр Azure AZFWThreatIntel

Содержит все события аналитики угроз.

No No Запросы Да
AzureFirewallApplicationRule правило приложения Брандмауэр Azure (устаревшая версия Диагностика Azure) AzureDiagnostics

Журналы из нескольких ресурсов Azure.

No No Запросы No
AzureFirewallDnsProxy Брандмауэр Azure DNS-прокси (устаревшая версия Диагностика Azure) AzureDiagnostics

Журналы из нескольких ресурсов Azure.

No No Запросы No
AzureFirewallNetworkRule сетевое правило Брандмауэр Azure (устаревшая версия Диагностика Azure) AzureDiagnostics

Журналы из нескольких ресурсов Azure.

No No Запросы No

Брандмауэр Azure имеет два новых журнала диагностики, которые помогают отслеживать брандмауэр, но в настоящее время эти журналы не отображают сведения о правиле приложения.

  • Верхние потоки
  • Трассировка потока

Верхние потоки

Верхний журнал потоков известен в отрасли как журнал потоков жира и в предыдущей таблице как Брандмауэр Azure журнал потока жира. В журнале верхних потоков отображаются самые высокие подключения, которые способствуют максимальной пропускной способности через брандмауэр.

Совет

Активируйте журналы топ-потоков только при устранении конкретной проблемы, чтобы избежать чрезмерного использования ЦП Брандмауэр Azure.

Скорость потока определяется как скорость передачи данных в мегабитах в секунду. Это мера объема цифровых данных, которые могут передаваться по сети за период времени через брандмауэр. Протокол Top Flows периодически выполняется каждые три минуты. Минимальное пороговое значение для рассмотрения верхнего потока — 1 Мбит/с.

Включите журнал "Основные потоки" с помощью следующих команд Azure PowerShell:

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall

Чтобы отключить журналы, используйте ту же предыдущую команду Azure PowerShell и задайте значение False.

Например:

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall

Существует несколько способов проверить успешность обновления, но вы можете перейти к обзору брандмауэра и выбрать представление JSON в правом верхнем углу. Ниже приведен пример.

Снимок экрана: JSON с дополнительной проверкой журнала.

Сведения о создании параметра диагностики и включении таблицы для конкретных ресурсов см. в статье "Создание параметров диагностики" в Azure Monitor.

Трассировка потока

Журналы брандмауэра показывают трафик через брандмауэр в первой попытке TCP-подключения, известного как пакет SYN . Однако такая запись не показывает полного пути передачи пакета в подтверждения TCP. В результате сложно устранить неполадки, если пакет удален или асимметричная маршрутизация. Журнал трассировки потока Брандмауэр Azure решает эту проблему.

Совет

Чтобы избежать чрезмерного использования дисков, вызванных журналами трассировки потока в Брандмауэр Azure с множеством коротких подключений, активируйте журналы только при устранении конкретной проблемы в целях диагностики.

Можно добавить следующие свойства:

  • SYN-ACK: флаг ACK, указывающий подтверждение пакета SYN.

  • FIN: завершен флаг исходного потока пакетов. В потоке TCP больше не передаются данные.

  • FIN-ACK: флаг ACK, указывающий подтверждение пакета FIN.

  • RST: Флаг сброса указывает, что исходный отправитель не получает больше данных.

  • INVALID (потоки): указывает, что пакет не может быть идентифицирован или не имеет никакого состояния.

    Например:

    • Пакет TCP приземляется в экземпляре Масштабируемые наборы виртуальных машин, который не имеет предыдущей истории для этого пакета.
    • Пакеты Bad CheckSum
    • Запись таблицы отслеживания подключений заполнена, а новые подключения не могут быть приняты
    • Чрезмерно отложенные пакеты ACK

Включите журнал трассировки потока с помощью следующих команд Azure PowerShell или перейдите на портале и найдите параметр "Включить ведение журнала TCP-подключений".

Connect-AzAccount 
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Это изменение может занять несколько минут. После регистрации функции рассмотрите возможность немедленного выполнения обновления Брандмауэр Azure, чтобы изменения вступят в силу немедленно.

Чтобы проверить состояние регистрации AzResourceProvider, можно выполнить команду Azure PowerShell:

Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"

Чтобы отключить журнал, его можно отменить с помощью следующей команды или отменить регистрацию в предыдущем примере портала.

Unregister-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network

Сведения о создании параметра диагностики и включении таблицы для конкретных ресурсов см. в статье "Создание параметров диагностики" в Azure Monitor.

Таблицы журналов Azure Monitor

В этом разделе перечислены таблицы журналов Azure Monitor, относящиеся к этой службе, которые доступны для запроса Log Analytics с помощью запросов Kusto. Таблицы содержат данные журнала ресурсов и, возможно, больше в зависимости от собираемых и перенаправленных к ним данных.

Брандмауэр Azure Microsoft.Network/azureFirewalls

Журнал действий

В связанной таблице перечислены операции, которые можно записать в журнале действий для этой службы. Эти операции представляют собой подмножество всех возможных операций поставщика ресурсов в журнале действий.

Дополнительные сведения о схеме записей журнала действий см . в схеме журнала действий.