Azure Güvenlik Duvarı izleme verileri başvurusu
Bu makale, bu hizmetin tüm izleme başvuru bilgilerini içerir.
Azure Güvenlik Duvarı için toplayabileceğiniz veriler ve bu verilerin nasıl kullanılacağı hakkında ayrıntılı bilgi için bkz. İzleme Azure Güvenlik Duvarı.
Ölçümler
Bu bölümde, bu hizmet için otomatik olarak toplanan tüm platform ölçümleri listelenir. Bu ölçümler, Azure İzleyici'de desteklenen tüm platform ölçümlerinin genel listesinin de bir parçasıdır.
Ölçüm saklama hakkında bilgi için bkz . Azure İzleyici Ölçümlerine genel bakış.
Microsoft.Network/azureFirewalls için desteklenen ölçümler
Aşağıdaki tabloda Microsoft.Network/azureFirewalls kaynak türü için kullanılabilen ölçümler listelanmaktadır.
- Tüm sütunlar her tabloda mevcut olmayabilir.
- Bazı sütunlar sayfanın görüntüleme alanının dışında olabilir. Kullanılabilir tüm sütunları görüntülemek için Tabloyu genişlet'i seçin.
Tablo başlıkları
- Kategori - Ölçüm grubu veya sınıflandırma.
- Ölçüm - Azure portalında göründüğü şekilde ölçüm görünen adı.
- REST API'deki ad - REST API'de bahsedilen ölçüm adı.
- Birim - Ölçü birimi.
- Toplama - Varsayılan toplama türü. Geçerli değerler: Ortalama (Ortalama), Minimum (Min), Maksimum (Maksimum), Toplam (Toplam), Sayı.
- - Ölçüm için kullanılabilen Boyutlar Boyutları.
- Ölçümün örneklendiği Zaman Dilimleri - Aralıkları. Örneğin,
PT1Mölçümün dakikada bir, 30 dakikada bir,PT30MPT1Hsaatte bir vb. örneklendiğini gösterir. - DS Dışarı Aktarma- Ölçümün tanılama ayarları aracılığıyla Azure İzleyici Günlüklerine aktarılıp aktarılmayacağı. Ölçümleri dışarı aktarma hakkında bilgi için bkz . Azure İzleyici'de tanılama ayarları oluşturma.
| Metric | REST API'de ad | Unit | Toplama | Boyutlar | Zaman Dilimleri | DS Dışarı Aktarma |
|---|---|---|---|---|---|---|
| Uygulama kuralları isabet sayısı Uygulama kurallarının isabet sayısı |
ApplicationRuleHit |
Sayı | Toplam (Toplam) | Status, Reason, Protocol |
PT1M | Yes |
| İşlenen veriler Bu güvenlik duvarı tarafından işlenen toplam veri miktarı |
DataProcessed |
Bayt | Toplam (Toplam) | <none> | PT1M | Yes |
| Güvenlik duvarı sistem durumu Bu güvenlik duvarının genel durumunu gösterir |
FirewallHealth |
Yüzde | Ortalama | Status, Reason |
PT1M | Yes |
| Gecikme Yoklaması Güvenlik Duvarı'nın gecikme süresi araştırması tarafından ölçülen ortalama gecikme süresi tahmini |
FirewallLatencyPng |
Milisaniye | Ortalama | <none> | PT1M | Yes |
| Ağ kuralları isabet sayısı Ağ kurallarının isabet sayısı |
NetworkRuleHit |
Sayı | Toplam (Toplam) | Status, Reason, Protocol |
PT1M | Yes |
| SNAT bağlantı noktası kullanımı Şu anda kullanımda olan giden SNAT bağlantı noktalarının yüzdesi |
SNATPortUtilization |
Yüzde | Ortalama, Maksimum | Protocol |
PT1M | Yes |
| İşlem hızı Bu güvenlik duvarı tarafından işlenen aktarım hızı |
Throughput |
BitsPerSecond | Ortalama | <none> | PT1M | Hayır |
Güvenlik duvarı sistem durumu
Yukarıdaki tabloda Güvenlik duvarı sistem durumu ölçümü iki boyuta sahiptir:
- Durum: Olası değerler sağlıklı, düzeyi düşürülmüş, iyi durumda değil.
- Neden: Güvenlik duvarının ilgili durumunun nedenini belirtir.
SNAT bağlantı noktaları %95'ten fazla kullanılıyorsa tükenmiş kabul edilir ve durum=Düzeyi düşürülmüş ve reason=SNAT bağlantı noktası ile sistem durumu %50 olur. Güvenlik duvarı trafiği işlemeye devam eder ve mevcut bağlantılar etkilenmez. Ancak, yeni bağlantılar aralıklı olarak kurulamayabilir.
SNAT bağlantı noktalarının kullanım oranı %95'ten daha az olduğunda güvenlik duvarının iyi durumda olduğu kabul edilir ve durum %100 olarak gösterilir.
SNAT bağlantı noktası kullanımı bildirilmezse sistem durumu %0 olarak gösterilir.
SNAT bağlantı noktası kullanımı
SNAT bağlantı noktası kullanım ölçümü için, güvenlik duvarınıza daha fazla genel IP adresi eklediğinizde, SNAT bağlantı noktası kullanımını azaltarak daha fazla SNAT bağlantı noktası kullanılabilir. Ayrıca, güvenlik duvarının ölçeği farklı nedenlerle (cpu veya aktarım hızı gibi) genişletildiğinde daha fazla SNAT bağlantı noktası da kullanılabilir hale gelir.
SNAT bağlantı noktası kullanımının belirli bir yüzdesi, hizmetin ölçeği genişletildiği için herhangi bir genel IP adresi eklemeden kapanabilir. Güvenlik duvarınızda kullanılabilir bağlantı noktalarını artırmak için kullanılabilir genel IP adreslerinin sayısını doğrudan denetleyebilirsiniz. Ancak, güvenlik duvarı ölçeklendirmesini doğrudan denetleyemezsiniz.
Güvenlik duvarınız SNAT bağlantı noktası tükenmesi ile karşılanıyorsa en az beş genel IP adresi eklemeniz gerekir. Bu, kullanılabilir SNAT bağlantı noktası sayısını artırır. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı özellikleri.
AZFW Gecikme Yoklaması
AZFW Gecikme Yoklaması ölçümü, Azure Güvenlik Duvarı genel veya ortalama gecikme süresini milisaniye cinsinden ölçer. Yöneticiler bu ölçümü aşağıdaki amaçlarla kullanabilir:
- Ağdaki gecikme süresinin nedeninin Azure Güvenlik Duvarı olup olmadığını tanılama
- BT ekiplerinin proaktif olarak etkileşim kurabilmesi için gecikme veya performans sorunları olup olmadığını izleyin ve uyarın.
- Azure Güvenlik Duvarı yüksek gecikme süresine neden olabilecek çeşitli nedenler olabilir. Örneğin, yüksek CPU kullanımı, yüksek aktarım hızı veya olası bir ağ sorunu.
AZFW Gecikme Yoklaması Ölçüm Ölçüleri (ve Yoklamaları):
- Neleri ölçer: Azure platformundaki Azure Güvenlik Duvarı gecikme süresi
- Neleri sağlamaz: Ölçüm, ağ yolunun tamamı için uçtan uca gecikme süresi yakalamaz. Bunun yerine, Azure Güvenlik Duvarı ağa ne kadar gecikme süresi Azure Güvenlik Duvarı güvenlik duvarı içindeki performansı yansıtır.
- Hata raporlama: Gecikme ölçümü doğru çalışmıyorsa ölçüm panosunda yoklama hatası veya kesinti olduğunu gösteren 0 değerini bildirir.
Gecikme süresini etkileyen faktörler:
- Yüksek CPU kullanımı
- Yüksek aktarım hızı veya trafik yükü
- Azure platformundaki ağ sorunları
Gecikme Yoklamaları: ICMP'den TCP'ye Gecikme yoklaması şu anda Microsoft'un ICMP 'yi (İnternet Denetim İletisi Protcol) temel alan Ping Mesh teknolojisini kullanır. ICMP, ping istekleri gibi hızlı sistem durumu denetimleri için uygundur, ancak genellikle TCP'de yeniden mutlu olan gerçek dünya uygulama trafiğini doğru şekilde temsil etmeyebilir. Ancak ICMP yoklamaları, Azure platformunda farklı önceliklere sahip olur ve bu da SKU'lar arasında değişime neden olabilir. Bu tutarsızlıkları azaltmak için Azure Güvenlik Duvarı TCP tabanlı yoklamalara geçiş yapmayı planlayın.
- Gecikme ani artışları: ICMP yoklamalarında aralıklı ani artışlar normaldir ve konak ağının standart davranışının bir parçasıdır. Bunlar kalıcı olmadığı sürece güvenlik duvarı sorunları olarak yanlış yorumlanmamalıdır.
- Ortalama gecikme süresi: Ortalama olarak, Azure Güvenlik Duvarı gecikme süresinin 1 ms ile 10 ms arasında, Güvenlik Duvarı SKU'su ve dağıtım boyutuna göre sabit olması beklenir.
Gecikme Süresini İzlemek için En İyi Yöntemler
Temel ayarlama: Normal veya yoğun kullanım sırasında doğru karşılaştırmalar için hafif trafik koşullarında bir gecikme süresi temeli oluşturun.
Desenleri izleme: Normal işlemlerin bir parçası olarak zaman zaman gecikme ani artışları bekleyebilirsiniz. Yüksek gecikme süresi bu normal varyasyonların ötesinde devam ederse, araştırma gerektiren daha derin bir soruna işaret edebilir.
Önerilen gecikme süresi eşiği: Önerilen bir kılavuz, gecikme süresinin taban çizgisinin 3 katını aşmaması gerektiğidir. Bu eşik aşılırsa daha fazla araştırma yapmanız önerilir.
Kural sınırını denetleyin: Ağ kurallarının 20.000 kural sınırı içinde olduğundan emin olun. Bu sınırın aşılması performansı etkileyebilir.
Yeni uygulama ekleme: Önemli yük ekleyebilecek veya gecikme sorunlarına neden olabilecek yeni eklenen uygulamaları denetleyin.
Destek isteği: Beklenen davranışla uyumlu olmayan sürekli gecikme süresi düşüşü gözlemlerseniz daha fazla yardım için bir destek bileti göndermeyi göz önünde bulundurun.
Ölçüm boyutları
Ölçüm boyutlarının ne olduğu hakkında bilgi için bkz . Çok boyutlu ölçümler.
Bu hizmet, ölçümleriyle ilişkilendirilmiş aşağıdaki boyutlara sahiptir.
- Protokol
- Nedeni
- Durum
Kaynak günlükleri
Bu bölümde, bu hizmet için toplayabileceğiniz kaynak günlükleri türleri listelenmiştir. bölümü, Azure İzleyici'de desteklenen tüm kaynak günlükleri kategori türleri listesinden çekilir.
Microsoft.Network/azureFirewalls için desteklenen kaynak günlükleri
| Kategori | Kategori görünen adı | Günlük tablosu | Temel günlük planını destekler | Alım zamanı dönüşümlerini destekler | Örnek sorgular | Dışarı aktarma maliyetleri |
|---|---|---|---|---|---|---|
AZFWApplicationRule |
uygulama kuralını Azure Güvenlik Duvarı | AZFWApplicationRule Tüm Uygulama kuralı günlük verilerini içerir. Veri düzlemi ile Uygulama kuralı arasındaki her eşleşme, veri düzlemi paketi ve eşleşen kuralın öznitelikleriyle bir günlük girdisi oluşturur. |
Hayır | Hayır | Sorgular | Yes |
AZFWApplicationRuleAggregation |
Azure Güvenlik Duvarı Ağ Kuralı Toplama (İlke Analizi) | AZFWApplicationRuleAggregation İlke Analizi için toplanan Uygulama kuralı günlük verilerini içerir. |
Hayır | Hayır | Evet | |
AZFWDnsQuery |
DNS sorgusu Azure Güvenlik Duvarı | AZFWDnsQuery Tüm DNS Proxy olay günlüğü verilerini içerir. |
Hayır | Hayır | Sorgular | Yes |
AZFWFatFlow |
Azure Güvenlik Duvarı Yağ Akış Günlüğü | AZFWFatFlow Bu sorgu, Azure Güvenlik Duvarı örnekleri arasında en çok kullanılan akışları döndürür. Günlük akış bilgilerini, tarih iletim hızını (saniyedeki Megabit cinsinden) ve akışların kaydedilildiği süreyi içerir. En iyi akış günlüğünü etkinleştirmek ve nasıl kaydedildiğinden ayrıntılı bilgi almak için lütfen belgeleri izleyin. |
Hayır | Hayır | Sorgular | Yes |
AZFWFlowTrace |
akış izleme günlüğünü Azure Güvenlik Duvarı | AZFWFlowTrace Azure Güvenlik Duvarı örnekleri arasında akış günlükleri. Günlük akış bilgilerini, bayrakları ve akışların kaydedilildiği zaman aralığını içerir. Akış izleme günlüğünü etkinleştirmek ve nasıl kaydedildiğinden ayrıntılı bilgi almak için lütfen belgeleri izleyin. |
Yes | Hayır | Sorgular | Yes |
AZFWFqdnResolveFailure |
Azure Güvenlik Duvarı FQDN Çözümleme Hatası | Hayır | Hayır | Evet | ||
AZFWIdpsSignature |
IDPS İmzası Azure Güvenlik Duvarı | AZFWIdpsSignature Bir veya daha fazla IDPS imzasıyla eşleşen tüm veri düzlemi paketlerini içerir. |
Hayır | Hayır | Sorgular | Yes |
AZFWNatRule |
Azure Güvenlik Duvarı Nat Kuralı | AZFWNatRule Tüm DNAT (Hedef Ağ Adresi Çevirisi) olay günlüğü verilerini içerir. Veri düzlemi ile DNAT kuralı arasındaki her eşleşme, veri düzlemi paketi ve eşleşen kuralın öznitelikleriyle bir günlük girişi oluşturur. |
Hayır | Hayır | Sorgular | Yes |
AZFWNatRuleAggregation |
Azure Güvenlik Duvarı Nat Kuralı Toplama (İlke Analizi) | AZFWNatRuleAggregation İlke Analizi için toplanan NAT Kuralı günlük verilerini içerir. |
Hayır | Hayır | Evet | |
AZFWNetworkRule |
ağ kuralını Azure Güvenlik Duvarı | AZFWNetworkRule Tüm Ağ Kuralı günlük verilerini içerir. Veri düzlemi ile ağ kuralı arasındaki her eşleşme, veri düzlemi paketi ve eşleşen kuralın öznitelikleriyle bir günlük girdisi oluşturur. |
Hayır | Hayır | Sorgular | Yes |
AZFWNetworkRuleAggregation |
Azure Güvenlik Duvarı Uygulama Kuralı Toplama (İlke Analizi) | AZFWNetworkRuleAggregation İlke Analizi için toplanan Ağ kuralı günlük verilerini içerir. |
Hayır | Hayır | Evet | |
AZFWThreatIntel |
Azure Güvenlik Duvarı Tehdit Bilgileri | AZFWThreatIntel Tüm Tehdit Bilgileri olaylarını içerir. |
Hayır | Hayır | Sorgular | Yes |
AzureFirewallApplicationRule |
Azure Güvenlik Duvarı Uygulama Kuralı (Eski Azure Tanılama) | AzureDiagnostics Birden çok Azure kaynağından günlükler. |
Hayır | Hayır | Sorgular | Hayır |
AzureFirewallDnsProxy |
Azure Güvenlik Duvarı DNS Ara Sunucusu (Eski Azure Tanılama) | AzureDiagnostics Birden çok Azure kaynağından günlükler. |
Hayır | Hayır | Sorgular | Hayır |
AzureFirewallNetworkRule |
Azure Güvenlik Duvarı Ağ Kuralı (Eski Azure Tanılama) | AzureDiagnostics Birden çok Azure kaynağından günlükler. |
Hayır | Hayır | Sorgular | Hayır |
Azure Güvenlik Duvarı güvenlik duvarınızı izlemeye yardımcı olabilecek iki yeni tanılama günlüğü vardır, ancak bu günlükler şu anda uygulama kuralı ayrıntılarını göstermiyor.
- En iyi akışlar
- Akış izleme
En iyi akışlar
En üst akış günlüğü, sektörde yağ akış günlüğü olarak ve önceki tabloda Azure Güvenlik Duvarı Yağ Akış Günlüğü olarak bilinir. Üst akış günlüğü, güvenlik duvarı aracılığıyla en yüksek aktarım hızına katkıda bulunan en iyi bağlantıları gösterir.
İpucu
Üst akış günlüklerini yalnızca Azure Güvenlik Duvarı aşırı CPU kullanımını önlemek için belirli bir sorunu giderirken etkinleştirin.
Akış hızı, saniyedeki megabit cinsinden veri iletim hızı olarak tanımlanır. Bu, güvenlik duvarı üzerinden belirli bir süre içinde bir ağ üzerinden iletilebilen dijital veri miktarının ölçüsüdür. Top Flows protokolü her üç dakikada bir düzenli aralıklarla çalışır. Üst Akış olarak kabul edilecek minimum eşik 1 Mb/sn'dir.
Aşağıdaki Azure PowerShell komutlarını kullanarak En iyi akışlar günlüğünü etkinleştirin:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall
Günlükleri devre dışı bırakmak için önceki Azure PowerShell komutunu kullanın ve değeri False olarak ayarlayın.
Örneğin:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall
Güncelleştirmenin başarılı olduğunu doğrulamanın birkaç yolu vardır, ancak güvenlik duvarına Genel Bakış'a gidip sağ üst köşedeki JSON görünümünü seçebilirsiniz. Örnek:
Tanılama ayarı oluşturmak ve Kaynağa Özgü Tablo'yı etkinleştirmek için bkz . Azure İzleyici'de tanılama ayarları oluşturma.
Akış izleme
Güvenlik duvarı günlükleri, SYN paketi olarak bilinen bir TCP bağlantısının ilk denemesinde güvenlik duvarı üzerinden gelen trafiği gösterir. Ancak, böyle bir giriş TCP el sıkışmasında paketin tüm yolculuğunu göstermez. Sonuç olarak, bir paket bırakılırsa veya asimetrik yönlendirme oluştuysa sorun gidermek zordur. Azure Güvenlik Duvarı Akış İzleme Günlüğü bu sorunu giderir.
İpucu
Çok sayıda kısa süreli bağlantıya sahip Azure Güvenlik Duvarı Akış izleme günlüklerinin neden olduğu aşırı disk kullanımını önlemek için günlükleri yalnızca tanılama amacıyla belirli bir sorunu giderirken etkinleştirin.
Aşağıdaki özellikler eklenebilir:
SYN-ACK: SYN paketinin onaylandığını gösteren ACK bayrağı.
FIN: Özgün paket akışının tamamlanmış bayrağı. TCP akışında başka veri iletilmiyor.
FIN-ACK: FIN paketinin onaylandığını gösteren ACK bayrağı.
RST: Sıfırlama bayrağı, özgün gönderenin daha fazla veri almadığı gösterir.
GEÇERSİz (akışlar): Paket tanımlanamıyor veya herhangi bir duruma sahip değil gösterir.
Örneğin:
- TCP paketi, bu paket için önceden geçmişe sahip olmayan bir Sanal Makine Ölçek Kümeleri örneğine iner
- Hatalı Denetim Toplamı paketleri
- Bağlantı İzleme tablosu girdisi dolu ve yeni bağlantılar kabul edilemiyor
- Aşırı gecikmeli ACK paketleri
Aşağıdaki Azure PowerShell komutlarını kullanarak Akış izleme günlüğünü etkinleştirin veya portalda gezinin ve TCP Bağlantı Günlüğünü Etkinleştir'i arayın:
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
Bu değişikliğin etkili olması birkaç dakika sürebilir. Özellik kaydedildikten sonra, değişikliğin hemen geçerli olması için Azure Güvenlik Duvarı bir güncelleştirme gerçekleştirmeyi göz önünde bulundurun.
AzResourceProvider kaydının durumunu denetlemek için Azure PowerShell komutunu çalıştırabilirsiniz:
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
Günlüğü devre dışı bırakmak için aşağıdaki komutu kullanarak kaydı kaldırabilir veya önceki portal örneğinde kaydı kaldır'ı seçebilirsiniz.
Unregister-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Tanılama ayarı oluşturmak ve Kaynağa Özgü Tablo'yı etkinleştirmek için bkz . Azure İzleyici'de tanılama ayarları oluşturma.
Azure İzleyici Günlükleri tabloları
Bu bölümde, Kusto sorguları kullanılarak Log Analytics tarafından sorgulanabilen bu hizmetle ilgili Azure İzleyici Günlükleri tabloları listelenmektedir. Tablolar, toplanan ve bunlara yönlendirilenlere bağlı olarak kaynak günlüğü verilerini ve büyük olasılıkla daha fazlasını içerir.
Microsoft.Network/azureFirewalls Azure Güvenlik Duvarı
- AZFWNetworkRule
- AZFWFatFlow
- AZFWFlowTrace
- AZFWApplicationRule
- AZFWThreatIntel
- AZFWNatRule
- AZFWIdpsSignature
- AZFWDnsQuery
- AZFWInternalFqdnResolutionFailure
- AZFWNetworkRuleAggregation
- AZFWApplicationRuleAggregation
- AZFWNatRuleAggregation
- AzureActivity
- AzureMetrics
- AzureDiagnostics
Etkinlik günlüğü
Bağlı tablo, bu hizmetin etkinlik günlüğüne kaydedilebilecek işlemleri listeler. Bu işlemler, etkinlik günlüğündeki tüm olası kaynak sağlayıcısı işlemlerinin bir alt kümesidir.
Etkinlik günlüğü girdilerinin şeması hakkında daha fazla bilgi için bkz . Etkinlik Günlüğü şeması.
İlgili içerik
- İzleme Azure Güvenlik Duvarı açıklaması için bkz. İzleme Azure Güvenlik Duvarı.
- Azure kaynaklarını izleme hakkında ayrıntılı bilgi için bkz . Azure İzleyici ile Azure kaynaklarını izleme.