Azure 防火牆 監視數據參考
本文包含此服務的所有監視參考資訊。
如需您可以針對 Azure 防火牆 收集資料的詳細數據,以及如何使用它,請參閱監視 Azure 防火牆。
計量
本節列出針對此服務的所有自動收集平台計量。 這些計量也是 Azure 監視器中支援的所有平台計量全域清單的一部分。
如需計量保留的相關資訊,請參閱 Azure 監視器計量概觀。
Microsoft.Network/azureFirewalls 支援的計量
下表列出適用於 Microsoft.Network/azureFirewalls 資源類型的計量。
- 所有資料行可能不存在於每個資料表中。
- 某些資料行可能超出頁面的檢視區域。 選取 [展開資料表] 以檢視所有可用的資料行。
資料表標題
- 類別 - 計量群組或分類。
- 計量 - Azure 入口網站中顯示的計量顯示名稱。
- REST API 中的名稱 - REST API 中所指的計量名稱。
- 單位 - 測量單位。
- 彙總 - 預設彙總類型。 有效值:平均值 (Avg)、最小值 (Min)、最大值 (Max)、總計 (Sum)、計數。
- 維度 - 計量可用的維度。
- 時間精細度 - 取樣計量的間隔。 例如,
PT1M表示計量會每分鐘取樣、每 30 分鐘PT30M、每小時PT1H,以此類推。 - DS 匯出 - 計量是否可透過診斷設定,匯出至 Azure 監視器記錄。 如需匯出計量的資訊,請參閱在 Azure 監視器中建立診斷設定。
| 計量 | REST API 中的名稱 | 單位 | 彙總 | 維度 | 時間精細度 | DS 匯出 |
|---|---|---|---|---|---|---|
| 應用程式規則叫用計數 叫用應用程式規則的次數 |
ApplicationRuleHit |
計數 | 總計 (總和) | Status、 、 ReasonProtocol |
PT1M | Yes |
| 已處理的數據 此防火牆所處理的數據總量 |
DataProcessed |
Bytes | 總計 (總和) | <none> | PT1M | Yes |
| 防火牆健全狀態 指出此防火牆的整體健康情況 |
FirewallHealth |
Percent | 平均 | Status, Reason |
PT1M | Yes |
| 延遲探查 估計由延遲探查測量的防火牆平均延遲 |
FirewallLatencyPng |
毫秒 | 平均 | <none> | PT1M | Yes |
| 網路規則叫用計數 已叫用網路規則的次數 |
NetworkRuleHit |
計數 | 總計 (總和) | Status、 、 ReasonProtocol |
PT1M | Yes |
| SNAT 埠使用率 目前使用中的輸出 SNAT 埠百分比 |
SNATPortUtilization |
Percent | Average、Maximum | Protocol |
PT1M | Yes |
| 輸送量 此防火牆處理的輸送量 |
Throughput |
BitsPerSecond | 平均 | <none> | PT1M | No |
防火牆健全狀態
在上表中, 防火牆健全狀況狀態 計量有兩個維度:
- 狀態:可能的值為狀況良好、效能下降、狀況不良。
- 理由:指出防火牆對應狀態的原因。
如果 SNAT 埠使用超過 95%,則會被視為已用盡,且健康情況為 50%,且 status=已降級且 reason=SNAT 埠。 防火牆會持續處理流量,現有連線不受影響。 不過,可能不會間歇性地建立新的連線。
如果 SNAT 連接埠的使用率低於 95%,則代表防火牆狀況良好,健康情況會顯示為 100%。
如果未回報 SNAT 連接埠使用率,則健康情況會顯示為 0%。
SNAT 埠使用率
針對 SNAT 埠使用率計量,當您將更多公用 IP 位址新增至防火牆時,可以使用更多 SNAT 埠,以減少 SNAT 埠使用率。 此外,當防火牆因不同原因而相應放大時,也會有更多SNAT埠可供使用。
實際上,指定的 SNAT 埠使用率百分比可能會降低,而不需要您新增任何公用 IP 位址,只是因為服務相應放大。您可以直接控制可用來增加防火牆上可用埠的公用IP位址數目。 但您無法直接控制防火牆的縮放比例。
如果您的防火牆發生 SNAT 連接埠耗盡,您應該至少新增五個公用 IP 位址。 這會增加可用的 SNAT 連接埠數目。 如需詳細資訊,請參閱 Azure 防火牆功能。
AZFW 延遲探查
AZFW 延遲探查計量會以毫秒為單位測量 Azure 防火牆 的整體或平均延遲。 系統管理員可以針對下列用途使用此計量:
- 診斷 Azure 防火牆是否為網路延遲的原因
- 監視並警示是否有任何延遲或效能問題,讓 IT 小組可以主動參與。
- 可能有各種原因可能會導致 Azure 防火牆 的高延遲。 例如,高 CPU 使用率、高輸送量或可能的網路問題。
AZFW 延遲探查計量量值 (和 未測量):
- 其量值:Azure 平臺內 Azure 防火牆 的延遲
- 其不衡量:計量不會擷取整個網路路徑的端對端延遲。 相反地,它會反映防火牆內的效能,而不是 Azure 防火牆 對網路造成多少延遲。
- 錯誤報告:如果延遲計量無法正常運作,它會報告計量儀錶板中的值 0,指出探查失敗或中斷。
影響延遲的因素:
- 高 CPU 使用率
- 高輸送量或流量負載
- Azure 平臺內的網路問題
延遲探查:從ICMP到TCP 延遲探查目前使用Microsoft的 Ping Mesh 技術,其以ICMP (因特網控制訊息 Protcol) 為基礎。 ICMP 適用於快速健康情況檢查,例如 Ping 要求,但可能無法準確地代表通常依賴 TCP 的實際應用程式流量。不過,ICMP 探查會跨 Azure 平臺以不同的方式排列優先順序,這可能會導致 SKU 的變化。 若要減少這些差異,Azure 防火牆 計劃轉換為 TCP 型探查。
- 延遲尖峰:使用ICMP探查時,間歇性尖峰是正常的,而且是主機網路標準行為的一部分。 除非這些問題持續存在,否則不應將這些錯誤解譯為防火牆問題。
- 平均延遲:平均而言,Azure 防火牆 的延遲預期範圍從 1 毫秒到 10 毫秒,在防火牆 SKU 和部署大小上進行 dpending。
監視延遲的最佳做法
設定基準:在輕量流量條件下建立延遲基準,以在正常或尖峰使用期間進行精確的比較。
監視模式:預期偶爾會有延遲尖峰作為一般作業的一部分。 如果高延遲持續超過這些一般變化,則可能表示需要調查的更深層次問題。
建議的延遲閾值:建議的指導方針是延遲不應超過基準的 3 倍。 如果超過此臨界值,建議進一步調查。
檢查規則限制:確定網路規則在 20K 規則限制內。 超過此限制可能會影響效能。
新的應用程式上線:檢查是否有任何可能新增大量負載或造成延遲問題的新上線應用程式。
支援要求:如果您觀察到與預期行為不一致的連續延遲減少,請考慮提出支援票證以取得進一步協助。
載入計量維度
如需計量維度是什麼的資訊,請參閱多維度計量。
此服務具有下列與其計量相關聯的維度。
- 通訊協定
- 原因
- 狀態
資源記錄
本節列出您可以針對此服務收集的資源記錄類型。 該區段會從 Azure 監視器中支援的所有資源記錄類別類型清單提取。
Microsoft.Network/azureFirewalls 支持的資源記錄
| 類別 | 類別顯示名稱 | 記錄資料表 | 支援基本記錄計劃 | 支援擷取時間轉換 | 範例查詢 | 匯出的成本 |
|---|---|---|---|---|---|---|
AZFWApplicationRule |
Azure 防火牆 應用程式規則 | AZFWApplicationRule 包含所有應用程式規則記錄數據。 資料平面和應用程式規則之間的每個比對都會建立記錄項目,其中包含資料平面封包和對比規則的屬性。 |
No | No | 查詢 | Yes |
AZFWApplicationRuleAggregation |
Azure 防火牆 網路規則匯總 (原則分析) | AZFWApplicationRuleAggregation 包含原則分析的匯總應用程式規則記錄數據。 |
No | 無 | Yes | |
AZFWDnsQuery |
Azure 防火牆 DNS 查詢 | AZFWDnsQuery 包含所有 DNS Proxy 事件記錄數據。 |
No | No | 查詢 | Yes |
AZFWFatFlow |
Azure 防火牆 脂肪流量記錄檔 | AZFWFatFlow 此查詢會傳回跨 Azure 防火牆 實例的上層流程。 記錄檔包含流量資訊、日期傳輸速率(以每秒 MB 為單位),以及記錄流量的時間週期。 請遵循文件來啟用 Top flow 記錄,以及記錄方式的詳細數據。 |
No | No | 查詢 | Yes |
AZFWFlowTrace |
Azure 防火牆 流量追蹤記錄 | AZFWFlowTrace 跨 Azure 防火牆 實例的流程記錄。 記錄包含流程記錄時的流程資訊、旗標和時間週期。 請遵循文件來啟用流程追蹤記錄,以及記錄流程的詳細數據。 |
是 | No | 查詢 | Yes |
AZFWFqdnResolveFailure |
Azure 防火牆 FQDN 解決失敗 | No | 無 | Yes | ||
AZFWIdpsSignature |
Azure 防火牆 IDPS 簽章 | AZFWIdpsSignature 包含與一或多個 IDPS 簽章相符的所有數據平面封包。 |
No | No | 查詢 | Yes |
AZFWNatRule |
Azure 防火牆 Nat 規則 | AZFWNatRule 包含所有 DNAT (目的地網路位址轉譯) 事件記錄數據。 資料平面和 DNAT 規則之間的每個比對都會建立記錄項目,其中包含資料平面封包和對比規則的屬性。 |
No | No | 查詢 | Yes |
AZFWNatRuleAggregation |
Azure 防火牆 Nat 規則匯總 (原則分析) | AZFWNatRuleAggregation 包含原則分析的匯總 NAT 規則記錄數據。 |
No | 無 | Yes | |
AZFWNetworkRule |
Azure 防火牆 網路規則 | AZFWNetworkRule 包含所有網路規則記錄數據。 資料平面和網路規則之間的每個比對都會建立記錄項目,其中包含資料平面封包和對比規則的屬性。 |
No | No | 查詢 | Yes |
AZFWNetworkRuleAggregation |
Azure 防火牆 應用程式規則匯總 (原則分析) | AZFWNetworkRuleAggregation 包含原則分析的匯總網路規則記錄數據。 |
No | 無 | Yes | |
AZFWThreatIntel |
Azure 防火牆 威脅情報 | AZFWThreatIntel 包含所有威脅情報事件。 |
No | No | 查詢 | Yes |
AzureFirewallApplicationRule |
Azure 防火牆應用程式規則 (舊版 Azure 診斷) | AzureDiagnostics 來自多個 Azure 資源的記錄。 |
No | No | 查詢 | No |
AzureFirewallDnsProxy |
Azure 防火牆 DNS Proxy (舊版 Azure 診斷) | AzureDiagnostics 來自多個 Azure 資源的記錄。 |
No | No | 查詢 | No |
AzureFirewallNetworkRule |
Azure 防火牆網路規則 (舊版 Azure 診斷) | AzureDiagnostics 來自多個 Azure 資源的記錄。 |
No | No | 查詢 | No |
Azure 防火牆 有兩個新的診斷記錄可協助您監視防火牆,但這些記錄目前不會顯示應用程式規則詳細數據。
- 最大流量
- 流量追蹤
最大流量
最上層流程記錄檔在產業中稱為「脂肪流量記錄」,在上表中稱為「脂肪流量記錄」,如 Azure 防火牆「脂肪流量記錄」。 頂端流程記錄會顯示透過防火牆造成最高輸送量的頂端連線。
提示
只有在針對特定問題進行疑難排解時,才啟用最大流量記錄,以避免 Azure 防火牆的 CPU 過度使用。
流量速率定義為每秒以 MB 為單位的數據傳輸速率。 這是一個量值,可透過防火牆在一段時間內透過網路傳輸的數字數據量。 最大流量通訊協定會每隔三分鐘定期執行一次。 要視為最大流量的最低閾值為 1 Mbps。
使用下列 Azure PowerShell 命令啟用 Top 流程記錄:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall
若要停用記錄,請使用先前的相同 Azure PowerShell 命令,並將值設定為 False。
例如:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall
有幾種方式可以驗證更新是否成功,但您可以瀏覽至防火牆 [概觀],然後選取右上角的 [JSON 檢視]。 以下是範例:
若要建立診斷設定並啟用資源特定數據表,請參閱 在 Azure 監視器中建立診斷設定。
流量追蹤
防火牆記錄會在 TCP 連線的第一次嘗試中透過防火牆顯示流量,稱為 SYN 封包。 不過,這類專案不會在 TCP 交握中顯示封包的完整旅程。 因此,如果封包遭到捨棄,或發生非對稱式路由,則很難進行疑難解答。 Azure 防火牆 流量追蹤記錄可解決此問題。
提示
若要避免 Azure 防火牆中的許多短期連線的流量追蹤記錄導致過多磁碟使用量,請只在針對診斷目的對特定問題進行疑難排解時啟用記錄。
您可以新增下列屬性:
SYN-ACK:指出 SYN 封包通知的 ACK 旗標。
FIN:原始封包流程的完成旗標。 TCP 流量中不會再傳輸任何資料。
FIN-ACK:指出 FIN 封包通知的 ACK 旗標。
RST:重設 旗標表示原始寄件者不會接收更多數據。
無效(流程):表示無法識別封包或沒有任何狀態。
例如:
- TCP 封包會抵達虛擬機器擴展集執行個體上,其沒有此封包任何先前的歷程記錄
- 錯誤的總和檢查碼封包
- 線上追蹤數據表專案已滿,且無法接受新的連線
- 過度延遲的 ACK 封包
使用下列 Azure PowerShell 命令啟用 Flow 追蹤記錄,或在入口網站中巡覽,並搜尋 [ 啟用 TCP 連線記錄] :
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
這項變更可能需要幾分鐘的時間才會生效。 註冊功能之後,請考慮對 Azure 防火牆 執行更新,讓變更立即生效。
若要檢查 AzResourceProvider 註冊的狀態,您可以執行 Azure PowerShell 命令:
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
若要停用記錄檔,您可以使用下列命令來取消註冊,或在上一個入口網站範例中選取 [取消註冊]。
Unregister-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
若要建立診斷設定並啟用資源特定數據表,請參閱 在 Azure 監視器中建立診斷設定。
Azure 監視器記錄資料表
本節列出與此服務相關的 Azure 監視器記錄資料表,並且該資料表可供 Log Analytics 使用 Kusto 查詢進行查詢。 資料表包含資源記錄資料,而且可能包含更多資料,具體取決於所收集及路由傳送至此的內容。
Azure 防火牆 Microsoft.Network/azureFirewalls
- AZFWNetworkRule
- AZFWFatFlow
- AZFWFlowTrace
- AZFWApplicationRule
- AZFWThreatIntel
- AZFWNatRule
- AZFWIdpsSignature
- AZFWDnsQuery
- AZFWInternalFqdnResolutionFailure
- AZFWNetworkRuleAggregation
- AZFWApplicationRuleAggregation
- AZFWNatRuleAggregation
- AzureActivity
- AzureMetrics
- AzureDiagnostics
活動記錄檔
連結的資料表會列出此服務活動記錄檔中可記錄的操作。 這些操作是活動記錄中的所有可能資源提供者操作的子集。
如需活動記錄項目結構描述的詳細資訊,請參閱活動記錄結構描述。
相關內容
- 如需監視 Azure 防火牆 的描述,請參閱監視 Azure 防火牆。
- 如需監視 Azure 資源的詳細資訊,請參閱使用 Azure 監視器來監視 Azure 資源。