Azure Güvenlik Duvarı'de En çok kullanılan akışları ve Akış izleme günlüklerini etkinleştirme
Azure Güvenlik Duvarı güvenlik duvarınızı izlemeye yardımcı olmak için kullanabileceğiniz iki yeni tanılama günlüğü vardır:
- En iyi akışlar
- Akış izleme
En iyi akışlar
Üst akış günlüğü (sektörde Yağ Akışları olarak bilinir), güvenlik duvarı aracılığıyla en yüksek aktarım hızına katkıda bulunan en iyi bağlantıları gösterir.
İpucu
Üst akış günlüklerini yalnızca Azure Güvenlik Duvarı aşırı CPU kullanımını önlemek için belirli bir sorunu giderirken etkinleştirin.
Akış hızı, veri iletim hızı olarak tanımlanır (saniyedeki Megabit birimi cinsinden). Başka bir deyişle, bir ağ üzerinden güvenlik duvarı üzerinden belirli bir süre içinde iletilebilen dijital veri miktarının bir ölçüsüdür. Top Flows protokolü her üç dakikada bir düzenli aralıklarla çalışır. Üst Akış olarak kabul edilecek minimum eşik 1 Mb/sn'dir.
Önkoşullar
- Yapılandırılmış günlükleri etkinleştirme
- Tanılama Ayarlar Azure Kaynağına Özgü Tablo biçimini kullanın.
Günlüğü etkinleştirme
Aşağıdaki Azure PowerShell komutlarını kullanarak günlüğü etkinleştirin:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall
Günlüğü devre dışı bırakma
Günlükleri devre dışı bırakmak için önceki Azure PowerShell komutunu kullanın ve değeri False olarak ayarlayın.
Örneğin:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall
Güncelleştirmeyi doğrulama
Güncelleştirmenin başarılı olduğunu doğrulamanın birkaç yolu vardır, ancak güvenlik duvarına Genel Bakış'a gidip sağ üst köşedeki JSON görünümünü seçebilirsiniz. Örnek:
Tanılama ayarı oluşturma ve Kaynağa Özgü Tablo'yı etkinleştirme
- Tanılama ayarları sekmesinde Tanılama ayarı ekle'yi seçin.
- Bir Tanılama ayarı adı yazın.
- Kategoriler ve güvenlik duvarında desteklenmek istediğiniz diğer günlükler altında Azure Güvenlik Duvarı Yağ Akış Günlüğü'nü seçin.
- Hedef ayrıntıları bölümünde Log Analytics çalışma alanına gönder'i seçin.
- İstediğiniz Aboneliği ve önceden yapılandırılmış Log Analytics çalışma alanını seçin.
- Kaynağa özgü'leri etkinleştirin.
Azure Güvenlik Duvarı günlüklerini görüntüleme ve analiz etme
Güvenlik duvarı kaynağında İzleme sekmesinin altındaki Günlükler'egidin.
Sorgular'ı seçin, ardından seçeneğin üzerine gelip Düzenleyiciye yükle'yi seçerek En Azure Güvenlik Duvarı Akış Günlüklerini yükleyin.
Sorgu yüklendiğinde Çalıştır'ı seçin.
Akış izleme
Şu anda güvenlik duvarı günlükleri, SYN paketi olarak bilinen bir TCP bağlantısının ilk denemesinde güvenlik duvarı üzerinden gelen trafiği gösterir. Ancak bu, TCP el sıkışmasında paketin tüm yolculuğunu göstermez. Sonuç olarak, bir paket bırakılırsa veya asimetrik yönlendirme oluştuysa sorun gidermek zordur.
İpucu
Çok sayıda kısa süreli bağlantıya sahip Azure Güvenlik Duvarı Akış izleme günlüklerinin neden olduğu aşırı disk kullanımını önlemek için günlükleri yalnızca tanılama amacıyla belirli bir sorunu giderirken etkinleştirin.
Aşağıdaki ek özellikler eklenebilir:
SYN-ACK
SYN paketinin onaylandığını gösteren ACK bayrağı.
FIN
Özgün paket akışının tamamlanmış bayrağı. TCP akışında başka veri iletilmiyor.
FIN-ACK
FIN paketinin onaylandığını gösteren ACK bayrağı.
RST
Sıfırla bayrağı, özgün gönderenin daha fazla veri almadığı gösterir.
INVALID (akışlar)
Paket tanımlanamıyor veya herhangi bir duruma sahip değil gösterir.
Örneğin:
- TCP paketi, bu paket için önceden geçmişe sahip olmayan bir Sanal Makine Ölçek Kümeleri örneğine iner
- Hatalı Denetim Toplamı paketleri
- Bağlan ion İzleme tablosu girdisi dolu ve yeni bağlantılar kabul edilemiyor
- Aşırı gecikmeli ACK paketleri
SYN-ACK ve ACK gibi Akış İzleme günlükleri yalnızca ağ trafiği için günlüğe kaydedilir. Buna ek olarak, SYN paketleri varsayılan olarak günlüğe kaydedilmez. Ancak, ağ kuralı günlükleri içinde ilk SYN paketlerine erişebilirsiniz.
Önkoşullar
- Yapılandırılmış günlükleri etkinleştirin.
- Tanılama Ayarlar Azure Kaynağına Özgü Tablo biçimini kullanın.
Günlüğü etkinleştirme
Aşağıdaki Azure PowerShell komutlarını kullanarak günlüğü etkinleştirin veya portalda gezinin ve TCP Bağlan ion Günlüğünü Etkinleştir'i arayın:
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
Bunun etkili olması birkaç dakika sürebilir. Özellik kaydedildikten sonra, değişikliğin hemen geçerli olması için Azure Güvenlik Duvarı bir güncelleştirme gerçekleştirmeyi göz önünde bulundurun.
AzResourceProvider kaydının durumunu denetlemek için Azure PowerShell komutunu çalıştırabilirsiniz:
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
Günlüğü devre dışı bırakma
Günlüğü devre dışı bırakmak için aşağıdaki komutu kullanarak kaydı kaldırabilir veya önceki portal örneğinde kaydı kaldır'ı seçebilirsiniz.
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
Tanılama ayarı oluşturma ve Kaynağa Özgü Tablo'yı etkinleştirme
- Tanılama ayarları sekmesinde Tanılama ayarı ekle'yi seçin.
- Bir Tanılama ayarı adı yazın.
- Kategoriler ve güvenlik duvarında desteklenmek istediğiniz diğer günlükler altında Azure Güvenlik Duvarı Akış İzleme Günlüğü'nü seçin.
- Hedef ayrıntıları bölümünde Log Analytics çalışma alanına gönder'i seçin.
- İstediğiniz Aboneliği ve önceden yapılandırılmış Log Analytics çalışma alanını seçin.
- Kaynağa özgü'leri etkinleştirin.
Azure Güvenlik Duvarı Akış izleme günlüklerini görüntüleme ve analiz etme
Güvenlik duvarı kaynağında İzleme sekmesinin altındaki Günlükler'egidin.
Sorgular'ı seçin, ardından seçeneğin üzerine gelip Düzenleyiciye yükle'yi seçerek akış izleme günlüklerini Azure Güvenlik Duvarı yükleyin.
Sorgu yüklendiğinde Çalıştır'ı seçin.
