tanılama günlüklerini Azure Güvenlik Duvarı (eski)
Tanılama günlükleri, günlük verilerinin yapılandırılmamış veya serbest biçimli metin biçiminde çıkışını veren özgün Azure Güvenlik Duvarı günlük sorgularıdır.
Tanılama günlüklerinde aşağıdaki günlük kategorileri desteklenir:
- uygulama kuralını Azure Güvenlik Duvarı
- ağ kuralını Azure Güvenlik Duvarı
- DNS ara sunucusunu Azure Güvenlik Duvarı
Uygulama kuralı günlüğü
Uygulama kuralı günlüğü bir depolama hesabına kaydedilir, Event hubs'a akışla gönderilir ve/veya Azure İzleyici günlüklerine yalnızca her Azure Güvenlik Duvarı için etkinleştirdiyseniz gönderilir. Yapılandırdığınız uygulama kurallarınızla eşleşen yeni bağlantılar kabul edilen/reddedilen bağlantı için bir günlük oluşturur. Veriler, aşağıdaki örneklerde gösterildiği gibi JSON biçiminde günlüğe kaydedilir:
Category: application rule logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
{
"category": "AzureFirewallApplicationRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallApplicationRuleLog",
"properties": {
"msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
}
}
{
"category": "AzureFirewallApplicationRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallApplicationRuleLog",
"properties": {
"msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals"
}
}
Ağ kuralı günlüğü
Ağ kuralı günlüğü bir depolama hesabına kaydedilir, Event hubs'a akışla gönderilir ve/veya Azure İzleyici günlüklerine yalnızca her Azure Güvenlik Duvarı için etkinleştirdiyseniz gönderilir. Yapılandırdığınız ağ kurallarınızla eşleşen yeni bağlantılar kabul edilen/reddedilen bağlantı için bir günlük oluşturur. Veriler aşağıdaki örnekte gösterildiği gibi JSON biçiminde günlüğe kaydedilir:
Category: network rule logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
{
"category": "AzureFirewallNetworkRule",
"time": "2018-06-14T23:44:11.0590400Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallNetworkRuleLog",
"properties": {
"msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
}
}
DNS proxy günlüğü
DNS proxy günlüğü bir depolama hesabına kaydedilir, Event hubs'a akışla gönderilir ve/veya Azure İzleyici günlüklerine yalnızca her Azure Güvenlik Duvarı için etkinleştirdiyseniz gönderilir. Bu günlük, DNS ara sunucusu kullanılarak yapılandırılmış bir DNS sunucusuna gönderilen DNS iletilerini izler. Veriler, aşağıdaki örneklerde gösterildiği gibi JSON biçiminde günlüğe kaydedilir:
Category: DNS proxy logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.
Success:
{
"category": "AzureFirewallDnsProxy",
"time": "2020-09-02T19:12:33.751Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallDnsProxyLog",
"properties": {
"msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
}
}
Başarısız:
{
"category": "AzureFirewallDnsProxy",
"time": "2020-09-02T19:12:33.751Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallDnsProxyLog",
"properties": {
"msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
}
}
msg biçimi:
[client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]
Depolama
Günlüklerinizi depolamak için kullanabileceğiniz üç seçenek vardır:
- Depolama hesabı: Depolama hesaplarının en iyi kullanım amacı, günlüklerin uzun süre depolanması ve ihtiyaç duyulduğunda gözden geçirilmesi durumlarıdır.
- Event Hubs: Event Hubs, kaynaklarınızla ilgili uyarılar almak için diğer güvenlik bilgisi ve olay yönetimi (SEIM) araçlarıyla tümleştirmek için idealdir.
- Azure İzleyici günlükleri: Azure İzleyici günlükleri, uygulamanızın genel gerçek zamanlı izlemesi veya eğilimlerine bakmak için en iyi şekilde kullanılır.
Tanılama günlüklerini etkinleştirme
Azure portalını kullanarak tanılama günlüğünü etkinleştirmeyi öğrenmek için bkz. Azure Güvenlik Duvarı günlüklerini (eski) ve ölçümleri izleme.
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin