Azure 防火牆記錄和計量概觀

  • 發行項

您可以使用 Azure 防火牆記錄和計量來監視防火牆內的流量和作業。 這些記錄和計量有數個基本用途,包括:

  • 流量分析:使用記錄來檢查和分析通過防火牆的流量。 這包括檢查允許和拒絕的流量、檢查來源和目的地 IP 位址、URL、連接埠號碼、通訊協定等等。 這些深入解析對於了解流量模式、識別潛在的安全性威脅,以及針對連線問題進行疑難排解極為重要。

  • 效能和健康情況計量:Azure 防火牆計量提供效能和健康情況計量,例如已處理的資料、輸送量、規則叫用計數和延遲。 監視這些計量,以評估防火牆的整體健康情況,找出效能瓶頸,並偵測任何異常狀況。

  • 稽核線索:活動記錄可讓您稽核與防火牆資源相關的作業、擷取建立、更新或刪除防火牆規則和原則等動作。 檢閱活動記錄有助於維護設定變更的歷程記錄,並確保符合安全性和稽核需求。

檢視和儲存

記錄和計量可以透過 Azure 入口網站存取,並具有多個儲存和分析選項:

  • Log Analytics 工作區 (由 Azure 監視器提供):在 Log Analytics 工作區中集中您的 Azure 防火牆記錄和計量,以進行進階分析、自訂儀表板建立,以及根據特定計量閾值設定警示。

  • 儲存體帳戶:將記錄儲存在 Azure 儲存體帳戶中,以便長期保留並與外部記錄分析工具整合。

  • 事件中樞:將 Azure 防火牆記錄串流至 Azure 事件中樞,以便即時處理、分析或與第三方 SIEM 解決方案整合。

  • 合作夥伴解決方案:將 Azure 防火牆記錄傳送至第三方合作夥伴解決方案,以進一步分析和與其他安全性資料相互關聯。

Azure 防火牆的記錄和計量組態設定通常是透過 Azure 入口網站完成。 這可讓您指定記錄和計量的目的地,並設定針對組織的監視和安全性需求量身訂做的保留和警示設定。

結構化記錄

使用結構化記錄來監視 Azure 防火牆,其會使用預先定義的結構描述來建構記錄資料,以便輕鬆搜尋、篩選和分析。 這些記錄包括來源和目的地 IP 位址、通訊協定、連接埠號碼和防火牆動作等資訊。 使用資源特定資料表,而不是現有的 AzureDiagnostics 資料表,優先設定結構化記錄作為主要記錄類型。 若要啟用這些記錄並探索記錄類別,請參閱 Azure 結構化防火牆記錄

舊版 Azure 診斷記錄

舊版 Azure 診斷記錄是原始 Azure 防火牆記錄查詢,其會以非結構化或自由格式的文字格式輸出記錄資料。 Azure 防火牆舊版記錄類別會使用 Azure 診斷模式,在 AzureDiagnostics 資料表中收集整個資料。 如果同時需要結構化和診斷記錄,則每個防火牆至少必須建立兩個診斷設定。 若要啟用這些記錄並探索記錄類別,請參閱 Azure 防火牆診斷記錄

計量

Azure 監視器中的計量為數值,描述系統在特定時間的某個方面。 計量會每分鐘收集一次,因為頻繁取樣而對警示很有幫助。 使用相對簡單的邏輯快速設定警示。 如需可用的計量和設定 Azure 防火牆的警示,請參閱 Azure 防火牆計量和警示

活動記錄

預設會收集活動記錄檔項目,並可在 Azure 入口網站中檢視。 使用 Azure 活動記錄 (先前稱為作業記錄和稽核記錄),檢視提交至您 Azure 訂用帳戶的所有作業。

下一步