Azure 結構化防火牆記錄

結構化記錄是一種以特定格式組織的記錄資料。他們會使用預先定義的架構，以方便搜尋、篩選和分析的方式建構記錄資料。不同于由自由格式文字組成的非結構化記錄，結構化記錄具有一致的格式，電腦可以剖析和分析。

Azure 防火牆的結構化記錄提供更詳細的防火牆事件檢視。其中包括來源和目的地 IP 位址、通訊協定、埠號碼，以及防火牆所採取的動作等資訊。它們也會包含更多中繼資料，例如事件的時間和Azure 防火牆實例的名稱。

目前，下列診斷記錄類別可供Azure 防火牆使用：

這些記錄類別會使用 Azure 診斷模式。在此模式中，來自任何診斷設定的所有資料都會收集在 AzureDiagnostics 資料表中。

使用結構化記錄時，您可以選擇使用資源特定資料表，而不是現有的 AzureDiagnostics 資料表。如果這兩組記錄都需要，則每個防火牆至少必須建立兩個診斷設定。

資源特定模式

在資源專屬模式中，系統會針對在診斷設定中選取的每個類別，建立所選工作區中的個別資料表。建議使用此方法，因為：

診斷設定現在提供新的資源特定資料表，可讓您利用下列類別：

網路規則記錄 - 包含所有網路規則記錄資料。資料平面和網路規則之間的每個比對都會建立記錄項目，其中包含資料平面封包和對比規則的屬性。
NAT 規則記錄 - 包含所有 DNAT (目的地網路位址轉譯) 事件記錄資料。資料平面和 DNAT 規則之間的每個比對都會建立記錄項目，其中包含資料平面封包和對比規則的屬性。
應用程式規則記錄 - 包含所有應用程式規則記錄資料。資料平面和應用程式規則之間的每個比對都會建立記錄項目，其中包含資料平面封包和對比規則的屬性。
威脅情報記錄 - 包含所有威脅情報事件。
IDPS 記錄 - 包含與一個或多個 IDPS 簽章比對的所有資料平面封包。
DNS Proxy 記錄 - 包含所有 DNS Proxy 事件記錄資料。
內部 FQDN 解析失敗記錄 - 包含導致失敗的所有內部防火牆 FQDN 解析要求。
應用程式規則彙總記錄 - 包含原則分析的彙總應用程式規則記錄資料。
網路規則彙總記錄 - 包含原則分析的彙總網路規則記錄資料。
規則彙總記錄 - 包含原則分析的彙總 NAT 規則記錄資料。
頂端流程記錄 (預覽) - Top Flow (Fat Flow) 記錄會顯示透過防火牆貢獻最高輸送量的最上層連線。
流程追蹤 (預覽) - 包含流程資訊、旗標，以及記錄流程的時間週期。您可以看到完整的流程資訊，例如 SYN、SYN-ACK、FIN、FIN-ACK、RST、INVALID (流程) 。

若要啟用Azure 防火牆結構化記錄，您必須先在 Azure 訂用帳戶中設定 Log Analytics 工作區。此工作區用來儲存Azure 防火牆所產生的結構化記錄。

設定 Log Analytics 工作區之後，您可以流覽至Azure 入口網站中的 [防火牆診斷設定] 頁面，以在 Azure 防火牆中啟用結構化記錄。您必須從該處選取 [資源特定 目的地] 資料表，然後選取您想要記錄的事件種類。

注意

不需要使用功能旗標或Azure PowerShell命令來啟用此功能。

[診斷設定] 頁面的螢幕擷取畫面。

Azure 入口網站中提供預先定義的查詢清單。此清單具有每個類別的預先定義 KQL (Kusto 查詢語言) 記錄查詢，並聯結的查詢會在單一檢視中顯示整個 Azure 防火牆記錄事件。

Azure 防火牆活頁簿提供用於 Azure 防火牆資料分析的彈性畫布。您可以使用畫布在Azure 入口網站內建立豐富的視覺效果報告。您可以點選跨 Azure 部署的多個防火牆，並將其結合成統一的互動式體驗。

若要部署使用Azure 防火牆結構化記錄的新活頁簿，請參閱適用于Azure 防火牆的 Azure 監視器活頁簿。