Azure Structured Firewall-loggar

  • Artikel

Strukturerade loggar är en typ av loggdata som är ordnade i ett visst format. De använder ett fördefinierat schema för att strukturera loggdata på ett sätt som gör det enkelt att söka, filtrera och analysera. Till skillnad från ostrukturerade loggar, som består av text i fritt format, har strukturerade loggar ett konsekvent format som datorer kan parsa och analysera.

Azure Firewall strukturerade loggar ger en mer detaljerad vy över brandväggshändelser. De innehåller information som käll- och mål-IP-adresser, protokoll, portnummer och åtgärder som vidtas av brandväggen. De innehåller även fler metadata, till exempel tidpunkten för händelsen och namnet på den Azure Firewall instansen.

För närvarande är följande diagnostikloggkategorier tillgängliga för Azure Firewall:

  • Programregellogg
  • Nätverksregellogg
  • DNS-proxylogg

De här loggkategorierna använder Azure-diagnostikläge. I det här läget samlas alla data från alla diagnostikinställningar in i tabellen AzureDiagnostics .

Med strukturerade loggar kan du välja att använda resursspecifika tabeller i stället för den befintliga AzureDiagnostics-tabellen . Om båda loggarna krävs måste minst två diagnostikinställningar skapas per brandvägg.

Resursspecifikt läge

I resursspecifikt läge skapas enskilda tabeller i den valda arbetsytan för varje kategori som valts i diagnostikinställningen. Den här metoden rekommenderas eftersom den:

  • Kan minska de totala loggningskostnaderna med upp till 80 %.
  • gör det mycket enklare att arbeta med data i loggfrågor
  • gör det enklare att identifiera scheman och deras struktur
  • förbättrar prestanda för både svarstid för inmatning och frågetider
  • gör att du kan bevilja Azure RBAC-rättigheter i en specifik tabell

Nya resursspecifika tabeller är nu tillgängliga i diagnostikinställningen som gör att du kan använda följande kategorier:

  • Nätverksregellogg – innehåller alla loggdata för nätverksregeln. Varje matchning mellan dataplanet och nätverksregeln skapar en loggpost med dataplanspaketet och den matchade regelns attribut.
  • NAT-regellogg – Innehåller alla DNAT-händelseloggdata (målnätverksadressöversättning). Varje matchning mellan dataplanet och DNAT-regeln skapar en loggpost med dataplanets paket och den matchade regelns attribut.
  • Programregellogg – innehåller alla loggdata för programregeln. Varje matchning mellan dataplanet och programregeln skapar en loggpost med dataplanspaketet och den matchade regelns attribut.
  • Hotinformationslogg – innehåller alla hotinformationshändelser.
  • IDPS-logg – Innehåller alla dataplanspaket som matchades med en eller flera IDPS-signaturer.
  • DNS-proxylogg – innehåller alla loggdata för DNS-proxyhändelser.
  • Intern FQDN-lösningsfellogg – Innehåller alla interna FQDN-matchningsbegäranden för brandväggen som resulterade i fel.
  • Sammansättningslogg för programregel – Innehåller aggregerade loggdata för programregel för Principanalys.
  • Sammansättningslogg för nätverksregel – Innehåller aggregerade loggdata för nätverksregel för principanalys.
  • NAT-regelaggregeringslogg – Innehåller aggregerade NAT-regelloggdata för Principanalys.
  • Toppflödeslogg (förhandsversion) – Loggen över de översta flödena (Fat Flows) visar de vanligaste anslutningarna som bidrar till det högsta dataflödet genom brandväggen.
  • Flödesspårning (förhandsversion) – Innehåller flödesinformation, flaggor och tidsperioden då flödena registrerades. Du kan se fullständig flödesinformation som SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (flöden).

Aktivera strukturerade loggar

Om du vill aktivera Azure Firewall strukturerade loggar måste du först konfigurera en Log Analytics-arbetsyta i din Azure-prenumeration. Den här arbetsytan används för att lagra de strukturerade loggar som genereras av Azure Firewall.

När du har konfigurerat Log Analytics-arbetsytan kan du aktivera strukturerade loggar i Azure Firewall genom att gå till sidan Diagnostikinställningar för brandväggen i Azure Portal. Därifrån måste du välja den resursspecifika måltabellen och välja den typ av händelser som du vill logga.

Anteckning

Det finns inget krav på att aktivera den här funktionen med en funktionsflagga eller Azure PowerShell kommandon.

Skärmbild av sidan Diagnostikinställningar.

Strukturerade loggfrågor

En lista över fördefinierade frågor finns i Azure Portal. Den här listan har en fördefinierad KQL-loggfråga (Kusto-frågespråk) för varje kategori och ansluten fråga som visar hela Azure-brandväggens loggningshändelser i en enda vy.

Skärmbild som visar Azure Firewall frågor.

Arbetsbok för Azure Firewall

Azure Firewall-arbetsbok ger en flexibel arbetsyta för Azure Firewall dataanalys. Du kan använda den för att skapa omfattande visuella rapporter i Azure Portal. Du kan utnyttja flera brandväggar som distribuerats i Azure och kombinera dem till enhetliga interaktiva upplevelser.

Information om hur du distribuerar den nya arbetsboken som använder Azure Firewall strukturerade loggar finns i Azure Monitor-arbetsbok för Azure Firewall.

Nästa steg