共用方式為

在 Azure 防火牆 中啟用頂端流程和流程追蹤記錄

  • 發行項

Azure 防火牆 有兩個新的診斷記錄,可用來協助監視防火牆:

  • 最上層流程
  • 流程追蹤

最上層流程

Top 流程記錄檔(在業界稱為 Fat Flow)會顯示透過防火牆造成最高輸送量的頂端連線。

提示

只有在針對特定問題進行疑難解答時,才啟用頂級流程記錄,以避免過度使用 Azure 防火牆的 CPU。

流量速率定義為數據傳輸速率(以每秒 MB 為單位)。 換句話說,它是一個量值,可透過防火牆在一段時間內透過網路傳輸的數字數據量。 Top Flow 通訊協定會每隔三分鐘定期執行一次。 要視為 Top Flow 的最低閾值為 1 Mbps。

必要條件

啟用記錄檔

使用下列 Azure PowerShell 命令啟用記錄:

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall

停用記錄檔

若要停用記錄,請使用相同的先前 Azure PowerShell 命令,並將值設定為 False

例如:

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall

確認更新

有幾種方式可以驗證更新是否成功,但您可以流覽至防火牆概觀,然後選取右上角的 JSON 檢視 以下是範例:

Screenshot of JSON showing additional log verification.

建立診斷設定並啟用資源特定數據表

  1. 在 [診斷設定] 索引標籤中,選取 [ 新增診斷設定]。
  2. 輸入診斷設定名稱。
  3. 在 [類別] 底下選取 [Azure 防火牆 Fat Flow 記錄,以及您想要在防火牆中支援的任何其他記錄。
  4. 在 [目的地詳細數據] 中,選取 [ 傳送至 Log Analytics ] 工作區。
    1. 選擇您想要的訂用帳戶和預先設定的Log Analytics工作區。
    2. 啟用 資源特定Screenshot showing log destination details.

檢視和分析 Azure 防火牆 記錄

  1. 在防火牆資源上,流覽至 [監視] 索引標籤下的 [記錄]。

  2. 選取 [查詢],然後將滑鼠停留在 選項上方,然後選取 [載入至編輯器],以載入 Azure 防火牆 頂端流量記錄。

  3. 當查詢載入時,請選取 [ 執行]。

    Screenshot showing the Top flow log.

流程追蹤

目前,防火牆記錄會在 TCP 連線的第一次嘗試中顯示透過防火牆的流量,稱為 SYN 封包。 不過,這不會在 TCP 交握中顯示封包的完整旅程。 因此,如果封包遭到捨棄,或發生非對稱式路由,則很難進行疑難解答。

提示

若要避免流量追蹤記錄在具有許多短期連線 Azure 防火牆 中造成過多的磁碟使用量,請只在針對診斷目的針對特定問題進行疑難解答時啟用記錄。

可以新增下列其他屬性:

  • SYN-ACK

    指出SYN封包通知的 ACK 旗標。

  • FIN

    原始封包流程的完成旗標。 TCP 流程中不會再傳輸任何數據。

  • FIN-ACK

    指出 FIN 封包通知的 ACK 旗標。

  • RST

    重設 旗標表示原始發件者不會收到更多數據。

  • 無效(流程)

    表示無法識別封包或沒有任何狀態。

    例如:

    • TCP 封包落在 虛擬機器擴展集 實例上,此封包沒有任何先前的歷程記錄
    • 不正確的 CheckSum 封包
    • 連線 ion 追蹤數據表專案已滿,且無法接受新的連線
    • 過度延遲的 ACK 封包

流量追蹤記錄,例如SYN-ACK 和ACK,會針對網路流量進行獨佔記錄。 此外,預設不會記錄 SYN 封包。 不過,您可以在網路規則記錄中存取初始 SYN 封包。

必要條件

啟用記錄檔

使用下列 Azure PowerShell 命令啟用記錄,或在入口網站中巡覽,並搜尋 [啟用 TCP 連線 ion 記錄] :

Connect-AzAccount 
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

這可能需要幾分鐘的時間才會生效。 註冊功能之後,請考慮在 Azure 防火牆 上執行更新,讓變更立即生效。

若要檢查 AzResourceProvider 註冊的狀態,您可以執行 Azure PowerShell 命令:

Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"

停用記錄檔

若要停用記錄檔,您可以使用下列命令取消註冊,或在上一個入口網站範例中選取 [取消註冊]。

Unregister-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network

建立診斷設定並啟用資源特定數據表

  1. 在 [診斷設定] 索引標籤中,選取 [ 新增診斷設定]。
  2. 輸入診斷設定名稱。
  3. 選取 [Azure 防火牆 [類別] 底下的 [流程追蹤記錄],以及防火牆中您想要支援的任何其他記錄。
  4. 在 [目的地詳細數據] 中,選取 [ 傳送至 Log Analytics ] 工作區。
    1. 選擇您想要的訂用帳戶和預先設定的Log Analytics工作區。
    2. 啟用 資源特定Screenshot showing log destination details.

檢視和分析流程追蹤記錄 Azure 防火牆

  1. 在防火牆資源上,流覽至 [監視] 索引標籤下的 [記錄]。

  2. 選取 [查詢],然後將滑鼠停留在 選項上,然後選取 [載入至編輯器],以載入 Azure 防火牆 流程追蹤記錄。

  3. 當查詢載入時,請選取 [ 執行]。

    Screenshot showing the Trace flow log.

下一步