Azure 防火牆計量和警示

  • 發行項

Azure 監視器中的計量是數值,可描述系統在特定時間的某些層面。 計量會每分鐘收集一次,而且對於警示很有用,因為它們可以經常取樣。 您可以使用相對簡單的邏輯快速引發警示。

防火牆計量

下列計量適用于Azure 防火牆:

  • 應用程式規則叫用計數 - 已叫用應用程式規則的次數。

    單位:計數

  • 網路規則叫用計數 - 已叫用網路規則的次數。

    單位:計數

  • 已處理 的資料 - 在指定時間範圍中周遊防火牆的資料總和。

    單位:位元組

  • 輸送量 - 每秒周遊防火牆的資料速率。

    單位:每秒位數

  • 防火牆健全狀態 - 根據 SNAT 埠可用性指出防火牆的健康情況。

    單位:百分比

    此計量有兩個維度:

    • 狀態:可能的值為 [狀況良好 ]、 [ 降級]、[ 狀況不良]。

    • 原因:指出防火牆對應狀態的原因。

      如果使用 SNAT 埠 > 95%,則會被視為已用盡,且健康情況為 50%,且 status=已降級 且 reason= SNAT 埠 。 防火牆會持續處理流量,而現有的連線不會受到影響。 不過,可能不會間歇地建立新連線。

      如果使用 SNAT 埠 < 95%,則防火牆會被視為狀況良好,健康情況會顯示為 100%。

      如果未回報 SNAT 連接埠使用率,則健康情況會顯示為 0%。

  • SNAT 埠使用率 - 防火牆已使用的 SNAT 埠百分比。

    單位:百分比

    當您將更多公用 IP 位址新增至防火牆時,可供使用的 SNAT 連接埠會變多,而讓 SNAT 連接埠使用率降低。 此外,當防火牆因不同原因 (例如 CPU 或輸送量) 而擴增時,可供使用的 SNAT 連接埠也會變多。 因此,實際上,指定百分比的 SNAT 埠使用率可能會降低,而不需要您新增任何公用 IP 位址,只是因為服務相應放大。您可以直接控制可用來增加防火牆上可用埠的公用 IP 位址數目。 但是,您無法直接控制防火牆調整。

    如果您的防火牆發生 SNAT 埠耗盡,您應該至少新增五個公用 IP 位址。 這會增加可用的 SNAT 埠數目。 如需詳細資訊,請參閱 Azure 防火牆功能

  • AZFW 延遲探查 - 估計Azure 防火牆平均延遲。

    單位: ms

    此計量會以毫秒為單位測量Azure 防火牆的整體或平均延遲。 管理員istrators 可以針對下列用途使用此計量:

    • 診斷Azure 防火牆是否為網路延遲的原因

    • 監視並警示是否有任何延遲或效能問題,讓 IT 小組可以主動參與。

    • 可能有各種原因可能會導致Azure 防火牆的高延遲。 例如,高 CPU 使用率、高輸送量或可能的網路問題。

      此計量不會測量指定網路路徑的端對端延遲。 換句話說,此延遲健康情況探查不會測量Azure 防火牆新增多少延遲。

    • 當延遲計量未如預期般運作時,計量儀表板中會出現值 0。

    • 作為參考,防火牆的平均預期延遲約為 1 毫秒。 這可能會因部署大小和環境而有所不同。

    • 延遲探查是以 Microsoft 的 Ping Mesh 技術為基礎。 因此,延遲計量的間歇性尖峰預期為預期。 這些尖峰是正常的,而且不會發出Azure 防火牆的問題。 它們是支援系統的標準主機網路設定的一部分。

      因此,如果您遇到持續超過一般尖峰的一致高延遲,請考慮提出支援票證以尋求協助。

      Screenshot showing the Azure Firewall Latency Probe metric.

Azure 防火牆計量的警示

計量會提供重要訊號來追蹤您的資源健康情況。 因此,請務必監視資源的計量,並注意任何異常狀況。 但如果Azure 防火牆計量停止流動,該怎麼辦? 這可能表示潛在的設定問題或更不祥的事情,例如中斷。 遺失的計量可能會因為發佈預設路由而阻止Azure 防火牆上傳計量,或狀況良好的實例數目下降到零。 在本節中,您將瞭解如何設定記錄分析工作區的計量,以及針對遺漏的計量發出警示。

設定記錄分析工作區的計量

第一個步驟是使用防火牆中的診斷設定,設定記錄分析工作區的計量可用性。

流覽至 [Azure 防火牆資源] 頁面以設定診斷設定,如下列螢幕擷取畫面所示。 這會將防火牆計量推送至設定的工作區。

注意

計量的診斷設定必須是與記錄不同的組態。 防火牆記錄可以設定為使用Azure 診斷或資源特定。 不過,防火牆計量必須一律使用 Azure 診斷。

Screenshot of Azure Firewall diagnostic setting.

建立警示以追蹤接收防火牆計量,而不會發生任何失敗

流覽至計量診斷設定中設定的工作區。 使用下列查詢來檢查計量是否可用:

AzureMetrics

| where MetricName contains "FirewallHealth"
| where ResourceId contains "/SUBSCRIPTIONS/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/RESOURCEGROUPS/PARALLELIPGROUPRG/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/HUBVNET-FIREWALL"
| where TimeGenerated > ago(30m)

接下來,在 60 分鐘內建立遺漏計量的警示。 流覽至 Log Analytics 工作區中的 [警示] 頁面,以設定遺漏計量的新警示。

Screenshot showing the Edit alert rule page.

下一步