Журналы и метрики Брандмауэра Azure

Работу брандмауэра Azure можно отслеживать с помощью журналов брандмауэра. Также журналы действий можно использовать для аудита операций на ресурсах брандмауэра Azure.

Доступ к некоторым из этих журналов можно получить через портал. Журналы можно передавать в Журналы Azure Monitor, службу хранилища, Центры событий, а затем анализировать в Журналах Azure Monitor или при помощи различных инструментов, таких как Excel и Power BI.

Метрики весят немного и поэтому могут поддерживать сценарии практически в реальном времени, что позволяет быстро получать оповещения и обнаруживать проблемы.

Журналы диагностики

Для брандмауэра Azure доступны следующие журналы диагностики.

  • Журнал правил приложений

    Журнал правил приложений сохраняется в учетную запись хранения, передается в Центры событий и (или) отправляется в Журналы Azure Monitor только в том случае, только если вы его активировали для каждого брандмауэра Azure. Результаты каждого нового подключения, которое соответствует одному из настроенных правил приложения, находятся в журнале принятого или отклоненного подключения. Данные регистрируются в журнале в формате JSON, как показано в примере ниже:

    Category: application rule logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    
    {
      "category": "AzureFirewallApplicationRule",
      "time": "2018-04-16T23:45:04.8295030Z",
      "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
      "operationName": "AzureFirewallApplicationRuleLog",
      "properties": {
          "msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
      }
    }
    
    {
       "category": "AzureFirewallApplicationRule",
       "time": "2018-04-16T23:45:04.8295030Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallApplicationRuleLog",
       "properties": {
           "msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals"
       }
    }
    
  • Журнал правил сети

    Журнал правил сети сохраняется в учетную запись хранения, передается в Центры событий и (или) отправляется в Журналы Azure Monitor только в том случае, если вы его активировали для каждого брандмауэра Azure. Каждое новое подключение, которое соответствует одному из настроенных правил сети, регистрируется в журнале как принятое или отклоненное подключение. Данные регистрируются в журнале в формате JSON, как показано в примере ниже.

    Category: network rule logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    
    {
      "category": "AzureFirewallNetworkRule",
      "time": "2018-06-14T23:44:11.0590400Z",
      "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
      "operationName": "AzureFirewallNetworkRuleLog",
      "properties": {
          "msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
      }
    }
    
    
  • Журнал DNS-прокси

    Журнал правил приложений сохраняется в учетную запись хранения, передается в Центры событий и (или) отправляется в Журналы Azure Monitor только в том случае, если вы его активировали для каждого брандмауэра Azure. Этот журнал отслеживает сообщения DNS на DNS-сервере, настроенном с помощью DNS-прокси. Данные регистрируются в журнале в формате JSON, как показано в примере ниже:

    Category: DNS proxy logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    

    Выполнение:

    {
       "category": "AzureFirewallDnsProxy",
       "time": "2020-09-02T19:12:33.751Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallDnsProxyLog",
       "properties": {
           "msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
       }
    }
    

    Сбой:

    {
       "category": "AzureFirewallDnsProxy",
       "time": "2020-09-02T19:12:33.751Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallDnsProxyLog",
       "properties": {
           "msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
       }
    }
    

    формат сообщения:

    [client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]

Существует три способа хранения журналов:

  • Учетная запись хранения лучше всего подходит для длительного хранения журналов и их просмотра по мере необходимости.
  • Центры событий — это отличный вариант для интеграции с другими инструментами управления событиями и сведениями о безопасности (SEIM), позволяющий получать оповещения о ваших ресурсах.
  • Журналы Azure Monitor: лучше всего подходят для общего мониторинга вашего приложения в реальном времени и изучения тенденций.

Журналы действий

Записи этого журнала собираются по умолчанию, и их можно просмотреть на портале Azure.

В Журналах действий Azure (прежнее название — операционные журналы и журналы аудита) можно просматривать все операции, отправляемые в вашу подписку Azure.

Метрики

Метрики — это числовые значения, которые описывают конкретный аспект системы в определенный момент времени. Метрики собираются каждую минуту и используются для оповещений, так как такие данные собирать можно чаще чем другие. Оповещение можно отправить достаточно оперативно, с помощью простой логики.

Для брандмауэра Azure доступны следующие метрики:

  • Подсчет обращений к правилам приложения — количество обращений к правилам приложения.

    Единица измерения: число отсчета

  • Подсчет обращений к правилам сети — количество обращений к правилам сети.

    Единица измерения: число отсчета

  • Обработанные данные — общий объем данных, проходящих через брандмауэр в течение заданного периода.

    Единица измерения: байт

  • Пропускная способность — скорость передачи данных, проходящих через брандмауэр, в секунду.

    Единица измерения: бит в секунду

  • Работоспособность брандмауэра — отображает состояние работоспособности брандмауэра на основе доступности портов SNAT.

    Единица измерения: %

    В этой метрике есть два измерения.

    • Состояние: возможные значения Healthy (Работоспособен), Degraded (Снижение работоспособности), Unhealthy (Не работоспособен).

    • Причина: указывает на причину соответствующего состояния брандмауэра.

      Порты SNAT считаются исчерпанными, если они используются более чем на 95 %, а уровень работоспособности — 50 % при состоянии status=Degraded и reason=SNAT port. Брандмауэр продолжает обрабатывать трафик, и существующие подключения не затрагиваются. Но возможны временные проблемы с установкой новых подключений.

      Когда порты SNAT используются менее чем на 95 %, брандмауэр считается работоспособным, уровень работоспособности отображается как 100 %.

      Если сведения об использовании портов SNAT отсутствуют, отображается состояние работоспособности 0 %.

  • Использование портов SNAT указывает на количество портов SNAT (%), используемых брандмауэром.

    Единица измерения: %

    Добавив дополнительные общедоступные IP-адреса для брандмауэра, вы сделаете доступными больше портов SNAT и снизите уровень их использования. Кроме того, дополнительные порты SNAT станут доступными при масштабировании брандмауэра по любой другой причине (например, для оптимизации работы ЦП или пропускной способности сети). Это означает, что указанный здесь показатель использования портов SNAT может снизиться даже без добавления общедоступных IP-адресов, просто в результате масштабирования службы. Вы можете напрямую управлять доступным количеством общедоступных IP-адресов и увеличивать количество доступных портов в брандмауэре. Но вы не можете напрямую управлять масштабированием брандмауэра.

    Если брандмауэр сталкивается с нехваткой портов SNAT, необходимо добавить по крайней мере пять общедоступных IP-адресов. Это увеличивает количество доступных портов SNAT. Дополнительные сведения см. на странице Функции брандмауэра Azure.

Дальнейшие действия