Övervaka Azure Firewall-loggar och mått

Du kan övervaka Azure Firewall med hjälp av brandväggsloggarna. Du kan också använda aktivitetsloggar till att granska åtgärder som utförs på Azure Firewall-resurser. Med hjälp av mått kan du visa prestandaräknare i portalen.

Du kan komma åt vissa av de här loggarna via portalen. Du kan skicka loggar till Azure Monitor-loggar, Storage och Event Hubs samt analysera dem i Azure Monitor-loggar eller med andra verktyg såsom Excel och Power BI.

Anteckning

Den här artikeln har nyligen uppdaterats för att använda termen Azure Monitor-loggar i stället för Log Analytics. Loggdata lagras fortfarande på en Log Analytics-arbetsyta och samlas fortfarande in och analyseras av samma Log Analytics-tjänst. Vi uppdaterar terminologin för att bättre återspegla loggarnas roll i Azure Monitor. Mer information finns i Terminologiändringar i Azure Monitor .

Anteckning

För att interagera med Azure rekommenderar vi Azure Az PowerShell-modulen. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Förutsättningar

Innan du börjar bör du läsa Azure Firewall loggar och mått för en översikt över diagnostikloggar och mått som är tillgängliga för Azure Firewall.

Aktivera diagnostisk loggning via Azure Portal

Det kan ta några minuter innan data visas i loggarna när du har aktiverat diagnostisk loggning. Om du inte ser något först kan du kontrollera igen om några minuter till.

  1. Öppna brandväggsresursgruppen i Azure Portal och välj brandväggen.

  2. Under Övervakning väljer du Diagnostikinställningar.

    För Azure Firewall finns tre tjänstspecifika loggar tillgängliga:

    • AzureFirewallApplicationRule
    • AzureFirewallNetworkRule
    • AzureFirewallDnsProxy
  3. Välj Lägg till diagnostikinställning. På sidan Diagnostikinställningar kan du göra inställningar för diagnostikloggarna.

  4. I det här exemplet lagras loggarna av Azure Monitor-loggar, så använd Firewall log analytics som namn.

  5. Under Logg väljer du AzureFirewallApplicationRule, AzureFirewallNetworkRule och AzureFirewallDnsProxy för att samla in loggarna.

  6. Välj Skicka till Log Analytics för att konfigurera arbetsytan.

  7. Välj din prenumeration.

  8. Välj Spara.

Aktivera diagnostisk loggning med hjälp av PowerShell

Aktivitetsloggning är automatiskt aktiverad för alla Resource Manager-resurser. Däremot måste du aktivera diagnostisk loggning om du vill börja samla in de data som är tillgängliga via dessa loggar.

Använd följande steg för att aktivera diagnostikloggning med PowerShell:

  1. Anteckna resurs-ID:t för Log Analytics-arbetsytan, där loggdata lagras. Det här värdet är av formatet:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    Du kan använda valfri arbetsyta i din prenumeration. Du hittar den här informationen i Azure Portal. Informationen finns på sidan Egenskaper för resursen.

  2. Anteckna resurs-ID:t för brandväggen. Det här värdet är av formatet:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    Du hittar den här informationen i Azure Portal.

  3. Aktivera diagnostisk loggning för alla loggar och mått med hjälp av följande PowerShell-cmdlet:

       $diagSettings = @{
       Name = 'toLogAnalytics'
       ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       Enabled = $true
       }
    Set-AzDiagnosticSetting  @diagSettings 
    

Aktivera diagnostisk loggning med hjälp av Azure CLI

Aktivitetsloggning är automatiskt aktiverad för alla Resource Manager-resurser. Däremot måste du aktivera diagnostisk loggning om du vill börja samla in de data som är tillgängliga via dessa loggar.

Använd följande steg för att aktivera diagnostisk loggning med Azure CLI:

  1. Anteckna resurs-ID:t för Log Analytics-arbetsytan, där loggdata lagras. Det här värdet är av formatet:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    Du kan använda valfri arbetsyta i din prenumeration. Du hittar den här informationen i Azure Portal. Informationen finns på sidan Egenskaper för resursen.

  2. Anteckna resurs-ID:t för brandväggen. Det här värdet är av formatet:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    Du hittar den här informationen i Azure Portal.

  3. Aktivera diagnostisk loggning för alla loggar och mått med hjälp av följande Azure CLI-kommando:

       az monitor diagnostic-settings create -n 'toLogAnalytics'
       --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       --logs '[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]' 
       --metrics '[{\"category\": \"AllMetrics\",\"enabled\": true}]'
    

Visa och analysera aktivitetsloggar

Du kan visa och analysera aktivitetsloggdata med någon av följande metoder:

  • Azure-verktyg: Hämta information från aktivitetsloggen via Azure PowerShell, Azure-CLI:t, Azure REST-API:t eller Azure Portal. Det finns stegvisa instruktioner för respektive metod i artikeln Aktivitetsåtgärder med Resource Manager.

  • Power BI: Om du inte redan har ett Power BI-konto kan du prova ett utan kostnad. Med innehållspaketet Azure aktivitetsloggar för Power BI kan du analysera dina data på förkonfigurerade instrumentpaneler, som du både kan anpassa och använda i befintligt skick.

  • Microsoft Sentinel: Du kan ansluta Azure Firewall loggar till Microsoft Sentinel, så att du kan visa loggdata i arbetsböcker, använda dem för att skapa anpassade aviseringar och införliva dem för att förbättra din undersökning. Den Azure Firewall dataanslutningsappen i Microsoft Sentinel finns för närvarande i offentlig förhandsversion. Mer information finns i Ansluta data från Azure Firewall.

    Se följande video av Mohit Kumar för en översikt:

Visa och analysera loggar för nätverk och programregler

Azure Firewall-arbetsboken ger en flexibel arbetsyta för Azure Firewall dataanalys. Du kan använda den för att skapa omfattande visuella rapporter i Azure Portal. Du kan utnyttja flera brandväggar som distribuerats i Azure och kombinera dem till enhetliga interaktiva upplevelser.

Du kan också ansluta till ditt lagringskonto och hämta JSON-loggposter för åtkomst- och prestandaloggar. När du har laddat ned JSON-filerna kan du konvertera dem till CSV-format och visa dem i Excel, Power BI eller något annat verktyg för visualisering av data.

Tips

Om du är bekant med Visual Studio och kan grunderna i att ändra värden för konstanter och variabler i C# så kan du använda verktygen för loggkonvertering från GitHub.

Visa mått

Bläddra till en Azure Firewall. Gå till Övervakning och välj Mått. Om du vill visa de tillgängliga värdena väljer du listrutan MÅTT.

Nästa steg

Nu när du har konfigurerat brandväggen för insamling av loggar kan du utforska hur du visar dina data i Azure Monitor-loggar.