Мониторинг журналов Брандмауэр Azure (устаревших) и метрик

Совет

Улучшенный метод работы с журналами брандмауэра см. в статье Журналы структурированного брандмауэра Azure.

Работу брандмауэра Azure можно отслеживать с помощью журналов брандмауэра. Также журналы действий можно использовать для аудита операций на ресурсах брандмауэра Azure. С помощью метрик можно просматривать счетчики производительности на портале.

Доступ к некоторым из этих журналов можно получить через портал. Журналы можно передавать в Журналы Azure Monitor, службу хранилища, Центры событий, а затем анализировать в Журналах Azure Monitor или при помощи различных инструментов, таких как Excel и Power BI.

Примечание

Сведения из данной статьи были недавно обновлены. Теперь вместо термина "Log Analytics" используется термин "журналы Azure Monitor". Данные журнала по-прежнему хранятся в рабочей области Log Analytics, собираются и анализируются той же службой Log Analytics. Целью обновления терминологии является лучшее отражение роли журналов в Azure Monitor. Дополнительные сведения см. в статье Изменения фирменной символики Azure Monitor.

Примечание

Для взаимодействия с Azure рекомендуется использовать модуль Azure Az PowerShell. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Предварительные требования

Перед началом ознакомьтесь с журналами и показателями брандмауэра Azure, чтобы получить обзор журналов диагностики и показателей, доступных для брандмауэра Azure.

Включение журнала ведения диагностики на портале Azure

Для включения ведения журнала диагностики потребуется несколько минут, чтобы данные появились в журналах после завершения этой процедуры. Если ничего не происходит, проверьте еще раз через несколько минут.

1. На портале Azure откройте группу ресурсов брандмауэра и выберите брандмауэр.

2. В разделе Мониторинг выберите Параметры диагностики.

   Для Брандмауэр Azure доступны три устаревших журнала для конкретной службы:

   • Правило приложения Брандмауэр Azure (устаревшая Диагностика Azure)
   • Сетевое правило Брандмауэр Azure (устаревшая Диагностика Azure)
   • Брандмауэр Azure Dns-прокси (устаревшая Диагностика Azure)

3. Выберите Добавить параметр диагностики. На странице Параметры диагностики представлены параметры журналов диагностики.

4. Введите имя параметра диагностики.

5. В разделе Журналы выберите Брандмауэр Azure Правило приложения (устаревшая Диагностика Azure),сетевое правило Брандмауэр Azure (устаревшая Диагностика Azure) и Брандмауэр Azure Прокси-сервер Dns (устаревшая версия). Диагностика Azure) для сбора журналов.

6. Чтобы настроить рабочую область, щелкните Отправить в Log Analytics.

7. Выберите свою подписку.

8. В таблице Назначение выберите Azure диагностика.

9. Щелкните Сохранить.

   

Включение журнал ведения диагностики с помощью PowerShell

Ведение журнала действий автоматически включается для каждого ресурса Resource Manager. Чтобы начать сбор соответствующих данных, журналы ведения диагностики должны быть включены.

Чтобы включить журнал ведения диагностики с помощью PowerShell, сделайте следующее:

1. Запишите ИД ресурса рабочей области Log Analytics, в которой сохраняются данные. Это значение имеет следующий вид:

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

   Вы можете использовать любую рабочую область в своей подписке. Получить эти сведения можно на портале Azure. Нужные сведения можно найти на странице Свойства для ресурса.

2. Обратите внимание на идентификатор ресурса для брандмауэра. Это значение имеет следующий вид:

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

   Получить эти сведения можно на портале.

3. Включите журнал ведения диагностики для всех журналов и метрик с помощью следующего командлета PowerShell:

      $diagSettings = @{
      Name = 'toLogAnalytics'
      ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
      WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
      }
   New-AzDiagnosticSetting  @diagSettings 
   

Включение журнала ведения диагностики с помощью Azure CLI

Ведение журнала действий автоматически включается для каждого ресурса Resource Manager. Чтобы начать сбор соответствующих данных, журналы ведения диагностики должны быть включены.

Чтобы включить журнал ведения диагностики с помощью Azure CLI, сделайте следующее:

1. Запишите ИД ресурса рабочей области Log Analytics, в которой сохраняются данные. Это значение имеет следующий вид:

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

   Вы можете использовать любую рабочую область в своей подписке. Получить эти сведения можно на портале Azure. Нужные сведения можно найти на странице Свойства для ресурса.

2. Обратите внимание на идентификатор ресурса для брандмауэра. Это значение имеет следующий вид:

   /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

   Получить эти сведения можно на портале.

3. Включите журнал ведения диагностики для всех журналов и метрик с помощью следующей команды Azure CLI.

      az monitor diagnostic-settings create -n 'toLogAnalytics'
      --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
      --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
      --logs "[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]" 
      --metrics "[{\"category\": \"AllMetrics\",\"enabled\": true}]"
   

Просмотр и анализ журнала действий

Данные журнала действий можно просматривать и анализировать с помощью любого из следующих методов:

• Средства Azure. Информацию из журналов действий можно получать с помощью Azure PowerShell, Azure CLI, REST API Azure или портала Azure. Пошаговые инструкции для каждого метода подробно описаны в статье Activity operations with Resource Manager (Выполнение операций в журналах действий с помощью Resource Manager).

• Power BI. Если у вас еще нет учетной записи Power BI, вы можете использовать бесплатную пробную версию. Используя пакет содержимого журналов действий Azure для Power BI, можно анализировать данные с помощью предварительно настроенных панелей мониторинга, которые можно использовать "как есть" или дополнительно настроить.

• Microsoft Sentinel: вы сможете подключить журналы Брандмауэра Azure к Microsoft Sentinel, что позволит просматривать данные журналов в книгах, создавать на их основе настраиваемые оповещения и применять их для улучшения расследований. Соединитель данных Брандмауэра Azure для Microsoft Sentinel в настоящее время доступен в предварительной версии. Дополнительные сведения см. в статье Подключение данных из Брандмауэра Azure.

  Общие сведения см. в следующем видео Мохита Кумара:

Просмотр и анализ журналов правил сети и приложений

Книга Брандмауэра Azure предоставляет настраиваемый холст для анализа данных Брандмауэра Azure. Она позволяет создавать многофункциональные визуальные отчеты на портале Azure. Вы можете подключиться к нескольким брандмауэрам, развернутым в Azure, и объединить их возможности в едином интерактивном взаимодействии.

Вы также можете подключиться к учетной записи хранения и извлечь записи журнала JSON для журналов доступа и производительности. После скачивания JSON-файлов их можно преобразовать в формат CSV и просматривать в Excel, Power BI или другом средстве визуализации данных.

Совет

Если вы знакомы с Visual Studio и основными понятиями изменения значений констант и переменных в C#, можно использовать инструменты преобразования журналов, доступные на сайте GitHub.

Просмотр метрик

Перейдите к брандмауэру Azure. В разделе Мониторинг выберите Метрики. Чтобы просмотреть доступные значения, выберите раскрывающийся список Метрика.

Дальнейшие действия

Теперь, когда брандмауэр настроен для сбора журналов, можно открыть Журналы Azure Monitor, чтобы просмотреть данные.

• Мониторинг журналов с помощью книги Брандмауэра Azure
• Решения для мониторинга сетей в Журналах Azure Monitor
• Дополнительные сведения о сетевой безопасности Azure