監視 Azure 防火牆記錄和計量

您可以使用防火牆記錄來監視 Azure 防火牆。 您也可以使用活動記錄來稽核 Azure 防火牆資源上的作業。 使用計量,您可以在入口網站中檢視效能計數器。

您可以透過入口網站存取其中一些記錄。 您可以將記錄傳送到 Azure 監視器記錄、儲存體和事件中樞,並在 Azure 監視器記錄中或透過不同的工具 (例如 Excel 和 Power BI) 來分析記錄。

注意

本文最近有所更新,改為使用「Azure 監視器記錄」一詞,而非 Log Analytics。 記錄資料仍儲存在 Log Analytics 工作區中,並仍由相同的 Log Analytics 服務收集和分析。 我們會持續更新術語,以更精確地反映 Azure 監視器記錄的角色。 如需詳細資料,請參閱 Azure 監視器遙測變更

注意

建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 請參閱安裝 Azure PowerShell 以開始使用。 若要瞭解如何遷移至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 遷移至 Az。

必要條件

在開始之前,您應該閱讀 Azure 防火牆記錄和計量,以取得適用於 Azure 防火牆的診斷記錄和計量概觀。

透過 Azure 入口網站啟用診斷記錄

在您完成此程序來開啟診斷記錄之後,資料可能需要幾分鐘的時間,才會出現在您的記錄中。 如果您一開始沒有看到任何項目,請在幾分鐘後重新檢查一次。

  1. 在 Azure 入口網站中,開啟您的防火牆資源群組,然後選取防火牆。

  2. 在 [監視] 下方,選取 [診斷設定] 。

    針對 Azure 防火牆,可以使用三個服務特定的記錄:

    • AzureFirewallApplicationRule
    • AzureFirewallNetworkRule
    • AzureFirewallDnsProxy
  3. 選取 [新增診斷設定]。 [診斷設定] 頁面中提供診斷記錄的設定。

  4. 在此範例中,Azure 監視器記錄會儲存記錄,因此請輸入防火牆記錄分析作為名稱。

  5. 在 [記錄] 下,選取 [AzureFirewallApplicationRule]、[AzureFirewallNetworkRule] 和 [AzureFirewallDnsProxy] 以收集記錄。

  6. 選取 [傳送至 Log Analytics] 來設定您的工作區。

  7. 選取您的訂用帳戶。

  8. 選取 [儲存]。

    防火牆診斷設定的螢幕擷取畫面。

使用 Powershell 啟用診斷記錄功能

每個 Resource Manager 資源都會自動啟用活動記錄功能。 您必須啟用診斷記錄,才能開始收集可透過這些記錄取得的資料。

若要使用 PowerShell 啟用診斷記錄,請使用下列步驟:

  1. 請記下您 Log Analytics 工作區的資源識別碼 (記錄資料的儲存之處)。 此值的格式如下:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    您可以在訂用帳戶中使用任何工作區。 您可以使用 Azure 入口網站來尋找此資訊。 此資訊位於資源的 [屬性] 頁面中。

  2. 記下防火牆的資源識別碼。 此值的格式如下:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    您可以使用入口網站來尋找此資訊。

  3. 使用下列 PowerShell Cmdlet 啟用所有記錄和計量的診斷記錄:

       $diagSettings = @{
       Name = 'toLogAnalytics'
       ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       }
    New-AzDiagnosticSetting  @diagSettings 
    

使用 Azure CLI 啟用診斷記錄功能

每個 Resource Manager 資源都會自動啟用活動記錄功能。 您必須啟用診斷記錄,才能開始收集可透過這些記錄取得的資料。

若要使用 Azure CLI 啟用診斷記錄,請使用下列步驟:

  1. 請記下您 Log Analytics 工作區的資源識別碼 (記錄資料的儲存之處)。 此值的格式如下:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    您可以在訂用帳戶中使用任何工作區。 您可以使用 Azure 入口網站來尋找此資訊。 此資訊位於資源的 [屬性] 頁面中。

  2. 記下防火牆的資源識別碼。 此值的格式如下:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    您可以使用入口網站來尋找此資訊。

  3. 使用下列 Azure CLI 命令,為所有記錄和計量啟用診斷記錄:

       az monitor diagnostic-settings create -n 'toLogAnalytics'
       --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       --logs "[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]" 
       --metrics "[{\"category\": \"AllMetrics\",\"enabled\": true}]"
    

檢視和分析活動記錄檔

您可以使用下列任何方法,檢視和分析活動記錄資料:

  • Azure 工具:透過 Azure PowerShell、Azure CLI、Azure REST API 或 Azure 入口網站,從活動記錄擷取資訊。 活動作業與 Resource Manager 一文會詳述每個方法的逐步指示。

  • Power BI:如果還沒有 Power BI 帳戶,您可以免費試用。 使用 Power BI 的 Azure 活動記錄內容套件,您可以使用預先設定的儀表板 (可按原樣使用或加以自訂) 來分析資料。

  • Microsoft Sentinel:將 Azure 防火牆記錄連線到 Microsoft Sentinel,即可在活頁簿中檢視記錄資料、用其建立自訂警示,以及將其整合來改善您的調查。 Microsoft Sentinel 中的 Azure 防火牆資料連接器目前處於公開預覽狀態。 如需詳細資訊,請參閱從 Azure 防火牆連結資料

    如需概觀,請參閱 Mohit Kumar 的下列影片:

檢視及分析網路和應用程式規則記錄

Azure 防火牆活頁簿提供用於 Azure 防火牆資料分析的彈性畫布。 您可以使用畫布在Azure 入口網站內建立豐富的視覺效果報告。 您可以深入了解多個部署在 Azure 上的防火牆,並將其結合成統一的互動式體驗。

您也可以連接到儲存體帳戶並擷取存取和效能記錄的 JSON 記錄項目。 下載 JSON 檔案後,可以將它們轉換成 CSV,並在 Excel、PowerBI 或任何其他資料視覺化工具中檢視它們。

提示

如果您熟悉 Visual Studio 以及在 C# 中變更常數和變數值的基本概念,您可以使用 GitHub 所提供的記錄檔轉換器工具 (英文)

檢視計量

瀏覽至 Azure 防火牆。 在 [監視] 下,選取 [計量]。 若要檢視可用的值,請選取 [計量] 下拉式清單。

下一步

既然您已設定防火牆來收集記錄,您可以探索 Azure 監視器記錄以檢視您的資料。