Azure 防火牆 監視數據參考
本文包含此服務的所有監視參考資訊。
如需您可以針對 Azure 防火牆 收集的數據及其使用方式的詳細資訊,請參閱監視 Azure 防火牆。
計量
本節列出針對此服務的所有自動收集平台計量。 這些計量也是 Azure 監視器中支援的所有平台計量全域清單的一部分。
如需計量保留的相關資訊,請參閱 Azure 監視器計量概觀。
Microsoft.Network/azureFirewalls 支援的計量
下表列出適用於 Microsoft.Network/azureFirewalls 資源類型的計量。
- 所有資料行可能不存在於每個資料表中。
- 某些資料行可能超出頁面的檢視區域。 選取 [展開資料表] 以檢視所有可用的資料行。
資料表標題
- 類別 - 計量群組或分類。
- 計量 - Azure 入口網站中顯示的計量顯示名稱。
- REST API 中的名稱 - REST API 中所指的計量名稱。
- 單位 - 測量單位。
- 彙總 - 預設彙總類型。 有效值:平均值 (Avg)、最小值 (Min)、最大值 (Max)、總計 (Sum)、計數。
- 維度 - 計量可用的維度。
- 時間精細度 - 取樣計量的間隔。 例如,
PT1M表示計量會每分鐘取樣、每 30 分鐘PT30M、每小時PT1H,以此類推。 - DS 匯出 - 計量是否可透過診斷設定,匯出至 Azure 監視器記錄。 如需匯出計量的資訊,請參閱在 Azure 監視器中建立診斷設定。
| 計量 | REST API 中的名稱 | 單位 | 彙總 | 維度 | 時間精細度 | DS 匯出 |
|---|---|---|---|---|---|---|
| 應用程式規則叫用計數 叫用應用程式規則的次數 |
ApplicationRuleHit |
計數 | 總計(總和) | Status、 、 ReasonProtocol |
PT1M | Yes |
| 已處理的數據 此防火牆所處理的數據總量 |
DataProcessed |
Bytes | 總計(總和) | <none> | PT1M | Yes |
| 防火牆健全狀態 指出此防火牆的整體健康情況 |
FirewallHealth |
Percent | 平均 | Status, Reason |
PT1M | Yes |
| 延遲探查 估計由延遲探查測量的防火牆平均延遲 |
FirewallLatencyPng |
毫秒 | 平均 | <none> | PT1M | Yes |
| 網路規則叫用計數 已叫用網路規則的次數 |
NetworkRuleHit |
計數 | 總計(總和) | Status、 、 ReasonProtocol |
PT1M | Yes |
| SNAT 埠使用率 目前使用中的輸出 SNAT 埠百分比 |
SNATPortUtilization |
Percent | Average、Maximum | Protocol |
PT1M | Yes |
| 輸送量 此防火牆處理的輸送量 |
Throughput |
BitsPerSecond | 平均 | <none> | PT1M | No |
防火牆健全狀態
在上表中, 防火牆健全狀況狀態 計量有兩個維度:
- 狀態:可能的值為狀況良好、效能下降、狀況不良。
- 理由:指出防火牆對應狀態的原因。
如果 SNAT 埠使用超過 95%,則會被視為已用盡,且健康情況為 50%,且 status=已降級且 reason=SNAT 埠。 防火牆會持續處理流量,現有連線不受影響。 不過,可能不會間歇性地建立新的連線。
如果 SNAT 連接埠的使用率低於 95%,則代表防火牆狀況良好,健康情況會顯示為 100%。
如果未回報 SNAT 連接埠使用率,則健康情況會顯示為 0%。
SNAT 埠使用率
針對 SNAT 埠使用率計量,當您將更多公用 IP 位址新增至防火牆時,可以使用更多 SNAT 埠,以減少 SNAT 埠使用率。 此外,當防火牆因不同原因而相應放大時,也會有更多SNAT埠可供使用。
實際上,指定的 SNAT 埠使用率百分比可能會降低,而不需要您新增任何公用 IP 位址,只是因為服務相應放大。您可以直接控制可用來增加防火牆上可用埠的公用IP位址數目。 但您無法直接控制防火牆的縮放比例。
如果您的防火牆發生 SNAT 連接埠耗盡,您應該至少新增五個公用 IP 位址。 這會增加可用的 SNAT 連接埠數目。 如需詳細資訊,請參閱 Azure 防火牆功能。
AZFW 延遲探查
AZFW 延遲探查計量會以毫秒為單位測量 Azure 防火牆 的整體或平均延遲。 系統管理員可以針對下列用途使用此計量:
診斷 Azure 防火牆是否為網路延遲的原因
監視並警示是否有任何延遲或效能問題,讓 IT 小組可以主動參與。
可能有各種原因可能會導致 Azure 防火牆 的高延遲。 例如,高 CPU 使用率、高輸送量或可能的網路問題。
此計量不會測量指定網路路徑的端對端延遲。 換句話說,此延遲健康情況探查不會測量 Azure 防火牆新增多少延遲。
當延遲計量未如預期般運作時,計量儀表板中會出現值 0。
作爲參考,防火牆的平均預期延遲大約為 1 毫秒。 此值可能會因部署大小和環境而有所不同。
延遲探查是以 Microsoft 的 Ping Mesh 技術為基礎。 因此,預期會有延遲計量的間歇性峰值。 這些峰值為正常現象,並不表示 Azure 防火牆有問題。 它們是支援系統的標準主機網路設定的一部分。
因此,如果您不斷遇到持續超過一般峰值的高延遲,請考慮填寫支援票證以尋求協助。
載入計量維度
如需計量維度是什麼的資訊,請參閱多維度計量。
此服務具有下列與其計量相關聯的維度。
- 通訊協定
- 原因
- 狀態
資源記錄
本節列出您可以針對此服務收集的資源記錄類型。 該區段會從 Azure 監視器中支援的所有資源記錄類別類型清單提取。
Microsoft.Network/azureFirewalls 支持的資源記錄
| 類別 | 類別顯示名稱 | 記錄資料表 | 支援基本記錄計劃 | 支援擷取時間轉換 | 範例查詢 | 匯出的成本 |
|---|---|---|---|---|---|---|
AZFWApplicationRule |
Azure 防火牆 應用程式規則 | AZFWApplicationRule 包含所有應用程式規則記錄數據。 資料平面和應用程式規則之間的每個比對都會建立記錄項目,其中包含資料平面封包和對比規則的屬性。 |
No | No | 查詢 | Yes |
AZFWApplicationRuleAggregation |
Azure 防火牆 網路規則匯總 (原則分析) | AZFWApplicationRuleAggregation 包含原則分析的匯總應用程式規則記錄數據。 |
No | 無 | Yes | |
AZFWDnsQuery |
Azure 防火牆 DNS 查詢 | AZFWDnsQuery 包含所有 DNS Proxy 事件記錄數據。 |
No | No | 查詢 | Yes |
AZFWFatFlow |
Azure 防火牆 脂肪流量記錄檔 | AZFWFatFlow 此查詢會傳回跨 Azure 防火牆 實例的上層流程。 記錄檔包含流量資訊、日期傳輸速率(以每秒 MB 為單位),以及記錄流量的時間週期。 請遵循文件來啟用 Top flow 記錄,以及記錄方式的詳細數據。 |
No | No | 查詢 | Yes |
AZFWFlowTrace |
Azure 防火牆 流程追蹤記錄 | AZFWFlowTrace 跨 Azure 防火牆 實例的流程記錄。 記錄包含流程記錄時的流程資訊、旗標和時間週期。 請遵循文件來啟用流程追蹤記錄,以及記錄流程的詳細數據。 |
是 | No | 查詢 | Yes |
AZFWFqdnResolveFailure |
Azure 防火牆 FQDN 解決失敗 | No | 無 | Yes | ||
AZFWIdpsSignature |
Azure 防火牆 IDPS 簽章 | AZFWIdpsSignature 包含與一或多個 IDPS 簽章相符的所有數據平面封包。 |
No | No | 查詢 | Yes |
AZFWNatRule |
Azure 防火牆 Nat 規則 | AZFWNatRule 包含所有 DNAT (目的地網路位址轉譯) 事件記錄數據。 資料平面和 DNAT 規則之間的每個比對都會建立記錄項目,其中包含資料平面封包和對比規則的屬性。 |
No | No | 查詢 | Yes |
AZFWNatRuleAggregation |
Azure 防火牆 Nat 規則匯總 (原則分析) | AZFWNatRuleAggregation 包含原則分析的匯總 NAT 規則記錄數據。 |
No | 無 | Yes | |
AZFWNetworkRule |
Azure 防火牆 網路規則 | AZFWNetworkRule 包含所有網路規則記錄數據。 資料平面和網路規則之間的每個比對都會建立記錄項目,其中包含資料平面封包和對比規則的屬性。 |
No | No | 查詢 | Yes |
AZFWNetworkRuleAggregation |
Azure 防火牆 應用程式規則匯總 (原則分析) | AZFWNetworkRuleAggregation 包含原則分析的匯總網路規則記錄數據。 |
No | 無 | Yes | |
AZFWThreatIntel |
Azure 防火牆 威脅情報 | AZFWThreatIntel 包含所有威脅情報事件。 |
No | No | 查詢 | Yes |
AzureFirewallApplicationRule |
Azure 防火牆應用程式規則 (舊版 Azure 診斷) | AzureDiagnostics 來自多個 Azure 資源的記錄。 |
No | No | 查詢 | No |
AzureFirewallDnsProxy |
Azure 防火牆 DNS Proxy (舊版 Azure 診斷) | AzureDiagnostics 來自多個 Azure 資源的記錄。 |
No | No | 查詢 | No |
AzureFirewallNetworkRule |
Azure 防火牆網路規則 (舊版 Azure 診斷) | AzureDiagnostics 來自多個 Azure 資源的記錄。 |
No | No | 查詢 | No |
Azure 防火牆有兩個新的診斷記錄,可用來協助監視您的防火牆:
- 最大流量
- 流量追蹤
最大流量
最上層流程記錄檔在產業中稱為「脂肪流量記錄」,而上表則稱為「Azure 防火牆「脂肪流量記錄」。 頂端流程記錄會顯示透過防火牆造成最高輸送量的頂端連線。
提示
只有在針對特定問題進行疑難排解時,才啟用最大流量記錄,以避免 Azure 防火牆的 CPU 過度使用。
流量速率定義為每秒以 MB 為單位的數據傳輸速率。 這是一個量值,可透過防火牆在一段時間內透過網路傳輸的數字數據量。 最大流量通訊協定會每隔三分鐘定期執行一次。 要視為最大流量的最低閾值為 1 Mbps。
使用下列 Azure PowerShell 命令啟用 Top 流程記錄:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall
若要停用記錄,請使用先前的相同 Azure PowerShell 命令,並將值設定為 False。
例如:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall
有幾種方式可以驗證更新是否成功,但您可以瀏覽至防火牆 [概觀],然後選取右上角的 [JSON 檢視]。 以下是範例:
若要建立診斷設定並啟用資源特定數據表,請參閱 在 Azure 監視器中建立診斷設定。
防火牆記錄會在 TCP 連線的第一次嘗試中透過防火牆顯示流量,稱為 SYN 封包。 不過,這類專案不會在 TCP 交握中顯示封包的完整旅程。 因此,如果封包遭到捨棄,或發生非對稱式路由,則很難進行疑難解答。 Azure 防火牆 流量追蹤記錄可解決此問題。
提示
若要避免 Azure 防火牆中的許多短期連線的流量追蹤記錄導致過多磁碟使用量,請只在針對診斷目的對特定問題進行疑難排解時啟用記錄。
您可以新增下列屬性:
SYN-ACK:指出 SYN 封包通知的 ACK 旗標。
FIN:原始封包流程的完成旗標。 TCP 流量中不會再傳輸任何資料。
FIN-ACK:指出 FIN 封包通知的 ACK 旗標。
RST:重設 旗標表示原始寄件者不會接收更多數據。
無效(流程):表示無法識別封包或沒有任何狀態。
例如:
- TCP 封包會抵達虛擬機器擴展集執行個體上,其沒有此封包任何先前的歷程記錄
- 錯誤的總和檢查碼封包
- 線上追蹤數據表專案已滿,且無法接受新的連線
- 過度延遲的 ACK 封包
使用下列 Azure PowerShell 命令啟用 Flow 追蹤記錄,或在入口網站中巡覽,並搜尋 [ 啟用 TCP 連線記錄] :
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
這項變更可能需要幾分鐘的時間才會生效。 註冊功能之後,請考慮在 Azure 防火牆 上執行更新,讓變更立即生效。
若要檢查 AzResourceProvider 註冊的狀態,您可以執行 Azure PowerShell 命令:
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
若要停用記錄檔,您可以使用下列命令來取消註冊,或在上一個入口網站範例中選取 [取消註冊]。
Unregister-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
若要建立診斷設定並啟用資源特定數據表,請參閱 在 Azure 監視器中建立診斷設定。
Azure 監視器記錄資料表
本節列出與此服務相關的 Azure 監視器記錄資料表,並且該資料表可供 Log Analytics 使用 Kusto 查詢進行查詢。 資料表包含資源記錄資料,而且可能包含更多資料,具體取決於所收集及路由傳送至此的內容。
Azure 防火牆 Microsoft.Network/azureFirewalls
- AZFWNetworkRule
- AZFWFatFlow
- AZFWFlowTrace
- AZFWApplicationRule
- AZFWThreatIntel
- AZFWNatRule
- AZFWIdpsSignature
- AZFWDnsQuery
- AZFWInternalFqdnResolutionFailure
- AZFWNetworkRuleAggregation
- AZFWApplicationRuleAggregation
- AZFWNatRuleAggregation
- AzureActivity
- AzureMetrics
- AzureDiagnostics
活動記錄檔
連結的資料表會列出此服務活動記錄檔中可記錄的操作。 這些操作是活動記錄中的所有可能資源提供者操作的子集。
如需活動記錄項目結構描述的詳細資訊,請參閱活動記錄結構描述。
相關內容
- 如需監視 Azure 防火牆 的描述,請參閱監視 Azure 防火牆。
- 如需監視 Azure 資源的詳細資訊,請參閱使用 Azure 監視器來監視 Azure 資源。