Azure Güvenlik Duvarı günlüklerini (eski) ve ölçümleri izleme
İpucu
Güvenlik duvarı günlükleriyle çalışmak için geliştirilmiş bir yöntem için bkz. Azure Yapılandırılmış Güvenlik Duvarı Günlükleri.
Güvenlik duvarı günlüklerini kullanarak Azure Güvenlik Duvarı'nı izleyebilirsiniz. Ayrıca etkinlik günlüklerini kullanarak Azure Güvenlik Duvarı kaynaklarıyla ilgili işlemleri denetleyebilirsiniz. Ölçümleri kullanarak portalda performans sayaçlarını görüntüleyebilirsiniz.
Bu günlüklerden bazılarına portaldan erişebilirsiniz. Günlükler Azure İzleyici günlükleri, Depolama Alanı ve Event Hubs’a gönderilebilir, Azure İzleyici günlüklerinde veya Excel ve Power BI gibi farklı araçlarda analiz edilebilir.
Not
Bu makale kısa süre önce Log Analytics yerine Azure İzleyici günlükleri terimini kullanacak şekilde güncelleştirildi. Günlük verileri hala log analytics çalışma alanında depolanır ve aynı Log Analytics hizmeti tarafından toplanır ve analiz edilir. Terminolojiyi , Azure İzleyici'deki günlüklerin rolünü daha iyi yansıtacak şekilde güncelleştiriyoruz. Ayrıntılar için bkz. Azure İzleyici terminolojisi değişiklikleri .
Not
Azure ile etkileşime geçmek için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.
Önkoşullar
Başlamadan önce, Azure Güvenlik Duvarı için kullanılabilen tanılama günlüklerine ve ölçümlerine genel bir bakış için Azure Güvenlik Duvarı günlükleri ve ölçümleri okumanız gerekir.
Azure portaldan tanılama günlüğüne kaydetmeyi etkinleştirme
Tanılama günlüğüne kaydetme işlemi etkinleştirildikten sonra verilerin günlükte görünmesi birkaç dakika sürebilir. İlk başta hiçbir şey görmüyorsanız birkaç dakika sonra yeniden kontrol edin.
Azure portal güvenlik duvarı kaynak grubunuzu açın ve güvenlik duvarını seçin.
İzleme bölümünde Tanılama ayarları'nı seçin.
Azure Güvenlik Duvarı için hizmete özgü üç eski günlük mevcuttur:
- Azure Güvenlik Duvarı Uygulama Kuralı (Eski Azure Tanılama)
- Azure Güvenlik Duvarı Ağ Kuralı (Eski Azure Tanılama)
- Azure Güvenlik Duvarı Dns Ara Sunucusu (Eski Azure Tanılama)
Tanılama ayarı ekle’yi seçin. Tanılama ayarları sayfasında tanılama günlükleriyle ilgili ayarlar bulunur.
Tanılama ayarı için bir ad yazın.
Günlükler'in altında Azure Güvenlik Duvarı Uygulama Kuralı (Eski Azure Tanılama), Azure Güvenlik Duvarı Ağ Kuralı (Eski Azure Tanılama) ve dns ara sunucusu ( Azure Güvenlik Duvarı seçin Günlükleri toplamak için eski Azure Tanılama).
Çalışma alanınızı yapılandırmak için Log Analytics'e Gönder'i seçin.
Aboneliğinizi seçin.
Hedef tablosu için Azure tanılama'yı seçin.
Kaydet’i seçin.
PowerShell kullanarak tanılama günlüğünü etkinleştirme
Etkinlik günlüğü tüm Kaynak Yöneticisi kaynakları için otomatik olarak etkinleştirilir. Bu günlükler aracılığıyla sunulan verileri toplamaya başlamak için tanılama günlüğüne kaydetme işlevinin etkinleştirilmesi gerekir.
PowerShell ile tanılama günlüğünü etkinleştirmek için aşağıdaki adımları kullanın:
Günlük verilerinin depolandığı Log Analytics Çalışma Alanı kaynak kimliğinizi not edin. Bu değer şu biçimdedir:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>Aboneliğinizdeki herhangi bir çalışma alanını kullanabilirsiniz. Bu bilgileri Azure portalda bulabilirsiniz. Bilgiler kaynak Özellikleri sayfasında bulunur.
Güvenlik duvarının kaynak kimliğini not edin. Bu değer şu biçimdedir:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>Bu bilgileri portalda bulabilirsiniz.
Aşağıdaki PowerShell cmdlet'ini kullanarak tüm günlükler ve ölçümler için tanılama günlüğünü etkinleştirin:
$diagSettings = @{ Name = 'toLogAnalytics' ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>' WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>' } New-AzDiagnosticSetting @diagSettings
Azure CLI kullanarak tanılama günlüğünü etkinleştirme
Etkinlik günlüğü tüm Kaynak Yöneticisi kaynakları için otomatik olarak etkinleştirilir. Bu günlükler aracılığıyla sunulan verileri toplamaya başlamak için tanılama günlüğüne kaydetme işlevinin etkinleştirilmesi gerekir.
Azure CLI ile tanılama günlüğünü etkinleştirmek için aşağıdaki adımları kullanın:
Günlük verilerinin depolandığı Log Analytics Çalışma Alanı kaynak kimliğinizi not edin. Bu değer şu biçimdedir:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>Aboneliğinizdeki herhangi bir çalışma alanını kullanabilirsiniz. Bu bilgileri Azure portalda bulabilirsiniz. Bilgiler kaynak Özellikleri sayfasında bulunur.
Güvenlik duvarının kaynak kimliğini not edin. Bu değer şu biçimdedir:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>Bu bilgileri portalda bulabilirsiniz.
Aşağıdaki Azure CLI komutunu kullanarak tüm günlükler ve ölçümler için tanılama günlüğünü etkinleştirin:
az monitor diagnostic-settings create -n 'toLogAnalytics' --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>' --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>' --logs "[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]" --metrics "[{\"category\": \"AllMetrics\",\"enabled\": true}]"
Etkinlik günlüğünü görüntüleme ve analiz etme
Aşağıdaki yöntemlerden birini kullanarak etkinlik günlüğü verilerini görüntüleyebilir ve analiz edebilirsiniz:
Azure araçları: Etkinlik günlüğü verilerini Azure PowerShell, Azure CLI, Azure REST API veya Azure portal üzerinden alabilirsiniz. Her yöntemle ilgili ayrıntılı adımlar Kaynak Yöneticisi etkinlik işlemleri makalesinde ayrıntılı bir şekilde anlatılmıştır.
Power BI: Power BI hesabınız yoksa ücretsiz oluşturabilirsiniz. Power BI için Azure Activity Logs içerik paketi ile verilerinizi önceden yapılandırılmış panoları olduğu gibi veya değiştirerek kullanarak analiz edebilirsiniz.
Microsoft Sentinel: Azure Güvenlik Duvarı günlüklerini Microsoft Sentinel'e bağlayarak çalışma kitaplarındaki günlük verilerini görüntüleyebilir, özel uyarılar oluşturmak için kullanabilir ve araştırmanızı geliştirmek için bunları birleştirebilirsiniz. Microsoft Sentinel'deki Azure Güvenlik Duvarı veri bağlayıcısı şu anda genel önizleme aşamasındadır. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı verileri bağlama.
Genel bakış için Mohit Kumar'ın aşağıdaki videosuna bakın:
Ağ ve uygulama kuralı günlüklerini görüntüleme ve analiz etme
Azure Güvenlik Duvarı Çalışma Kitabı, Azure Güvenlik Duvarı veri analizi için esnek bir tuval sağlar. bu Azure portal zengin görsel raporlar oluşturmak için kullanabilirsiniz. Azure'da dağıtılan birden çok Güvenlik Duvarı'na dokunabilir ve bunları birleşik etkileşimli deneyimlerde birleştirebilirsiniz.
Dilerseniz depolama hesabınıza bağlanabilir ve JSON erişim günlüklerini ve performans günlüklerini alabilirsiniz. İndirdiğiniz JSON dosyalarını CSV biçimine dönüştürebilir ve Excel, Power BI veya diğer veri görselleştirme araçlarında görüntüleyebilirsiniz.
İpucu
Visual Studio ve C# ile sabit ve değişken değerlerini değiştirme konusunda temel kavramlara hakimseniz GitHub'daki günlük dönüştürücü araçlarını kullanabilirsiniz.
Ölçümleri görüntüle
Bir Azure Güvenlik Duvarı göz atın. İzleme seçeneğinin altından Ölçümler’i seçin. Kullanılabilir değerleri görüntülemek için ÖLÇÜM açılan listesini seçin.
Sonraki adımlar
Güvenlik duvarınızı günlükleri toplayacak şekilde yapılandırdığınıza göre, verilerinizi görüntülemek için Azure İzleyici günlüklerini inceleyebilirsiniz.