Azure Firewall-loggar och mått

Du kan övervaka Azure Firewall med hjälp av brandväggsloggarna. Du kan också använda aktivitetsloggar till att granska åtgärder som utförs på Azure Firewall-resurser.

Du kan komma åt vissa av de här loggarna via portalen. Du kan skicka loggar till Azure Monitor-loggar, Storage och Event Hubs samt analysera dem i Azure Monitor-loggar eller med andra verktyg såsom Excel och Power BI.

Mått är enkla och har stöd för scenarier i nära realtid, vilket gör dem användbara för aviseringar och snabb identifiering av problem.

Diagnostikloggar

Följande diagnostiska loggar är tillgängliga för Azure Firewall:

  • Programregelloggen

    Programregelloggen sparas på ett lagringskonto, strömmas till händelsehubbar och/eller skickas endast till Azure Monitor-loggar om du har aktiverat den för varje Azure Firewall. Varje ny anslutning som matchar en av de konfigurerade programreglerna genererar en loggpost för den accepterade eller nekade anslutningen. Data loggas i JSON-format, som du ser i följande exempel:

    Category: application rule logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    
    {
      "category": "AzureFirewallApplicationRule",
      "time": "2018-04-16T23:45:04.8295030Z",
      "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
      "operationName": "AzureFirewallApplicationRuleLog",
      "properties": {
          "msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
      }
    }
    
    {
       "category": "AzureFirewallApplicationRule",
       "time": "2018-04-16T23:45:04.8295030Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallApplicationRuleLog",
       "properties": {
           "msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals"
       }
    }
    
  • Nätverksregellogg

    Nätverksregelloggen sparas på ett lagringskonto, strömmas till händelsehubbar och/eller skickas endast till Azure Monitor-loggar om du har aktiverat den för varje Azure Firewall. Varje ny anslutning som matchar en av de konfigurerade nätverksreglerna genererar en loggpost för den accepterade eller nekade anslutningen. Data loggas i JSON-format, här är ett exempel:

    Category: network rule logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    
    {
      "category": "AzureFirewallNetworkRule",
      "time": "2018-06-14T23:44:11.0590400Z",
      "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
      "operationName": "AzureFirewallNetworkRuleLog",
      "properties": {
          "msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
      }
    }
    
    
  • DNS-proxylogg

    DNS-proxyloggen sparas till ett lagringskonto, strömmas till händelsehubbar och/eller skickas endast till Azure Monitor-loggar om du har aktiverat den för varje Azure Firewall. Den här loggen spårar DNS-meddelanden till en DNS-server som konfigurerats med DNS-proxy. Data loggas i JSON-format, som du ser i följande exempel:

    Category: DNS proxy logs.
    Time: log timestamp.
    Properties: currently contains the full message.
    note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
    

    Framgång:

    {
       "category": "AzureFirewallDnsProxy",
       "time": "2020-09-02T19:12:33.751Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallDnsProxyLog",
       "properties": {
           "msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
       }
    }
    

    Misslyckades:

    {
       "category": "AzureFirewallDnsProxy",
       "time": "2020-09-02T19:12:33.751Z",
       "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
       "operationName": "AzureFirewallDnsProxyLog",
       "properties": {
           "msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
       }
    }
    

    msg-format:

    [client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]

Du har tre alternativ för att lagra dina loggar:

  • Storage-konto: Storage-konton passar bäst när loggarna ska lagras en längre tid och granskas vid behov.
  • Händelsehubbar: Händelsehubbar är ett bra alternativ vid integrering med andra verktyg för säkerhetsinformation och händelsehantering (SEIM), när du vill få aviseringar om dina resurser.
  • Azure Monitor-loggar: Azure Monitor-loggar används bäst för allmän realtidsövervakning av ditt program eller för att titta på trender.

Aktivitetsloggar

Aktivitetsloggposter samlas in som standard, och du kan visa dem i Azure Portal.

Du kan använda Azure-aktivitetsloggar (kallades tidigare driftloggar och granskningsloggar) för att visa alla åtgärder som skickats till din Azure-prenumeration.

Mått

Mått i Azure Monitor är numeriska värden som beskriver någon aspekt av ett system vid en viss tidpunkt. Mått samlas in varje minut och är användbara för aviseringar eftersom de kan samplas ofta. En avisering kan utlöses snabbt med relativt enkel logik.

Följande mått är tillgängliga för Azure Firewall:

  • Antal träffar på programregler – antalet gånger som en programregel har träffats.

    Enhet: antal

  • Antal nätverksregler – antalet gånger som en nätverksregel har drabbats.

    Enhet: antal

  • Bearbetade data – Summan av data som passerar brandväggen i ett visst tidsfönster.

    Enhet: byte

  • Dataflöde – datahastighet som passerar brandväggen per sekund.

    Enhet: bitar per sekund

  • Brandväggens hälsotillstånd – anger hälsotillståndet för brandväggen baserat på SNAT-porttillgänglighet.

    Enhet: procent

    Det här måttet har två dimensioner:

    • Status: Möjliga värden är Felfri, Degraderad, Inte felfri.

    • Orsak: Anger orsaken till motsvarande status för brandväggen.

      Om SNAT-portar används > till 95 % anses de vara uttömda och hälsan är 50 % med status=Degraderad och reason=SNAT-port. Brandväggen fortsätter att bearbeta trafik och befintliga anslutningar påverkas inte. Nya anslutningar kanske däremot inte upprättas tillfälligt.

      Om SNAT-portar används < till 95 % anses brandväggen vara felfri och hälsan visas som 100 %.

      Om ingen SNAT-portanvändning visas är hälsan som 0 %.

  • SNAT-portanvändning – procentandelen SNAT-portar som har använts av brandväggen.

    Enhet: procent

    När du lägger till fler offentliga IP-adresser i brandväggen blir fler SNAT-portar tillgängliga, vilket minskar SNAT-portarnas användningsgrad. När brandväggen skalas ut av olika anledningar (som processoranvändningen eller dataflödet) blir fler SNAT-portar också tillgängliga. Så effektivt kan en viss procentandel av SNAT-portanvändningen gå ned utan att du lägger till några offentliga IP-adresser, bara för att tjänsten har skalats ut. Du kan direkt styra antalet offentliga IP-adresser som är tillgängliga för att öka portarna som är tillgängliga i brandväggen. Men du kan inte styra brandväggens skalning direkt.

    Om brandväggen stöter på SNAT-portöverbelastning bör du lägga till minst fem offentliga IP-adresser. Detta ökar antalet tillgängliga SNAT-portar. Mer information finns i Azure Firewall funktioner.

Nästa steg