Azure 结构化防火墙日志

结构化日志是一种以特定格式组织的日志数据。 它们使用预定义的架构来构建日志数据,使其易于搜索、筛选和分析。 与由自由格式文本组成的非结构化日志不同,结构化日志具有计算机可以解析和分析的一致格式。

Azure 防火墙的结构化日志提供了防火墙事件的更详细的视图。 其中包括源和目标 IP 地址、协议、端口号以及防火墙执行的操作等信息。 它们还包括更多元数据,例如事件时间和 Azure 防火墙实例的名称。

目前,以下诊断日志类别适用于 Azure 防火墙:

  • 应用程序规则日志
  • 网络规则日志
  • DNS 代理日志

这些日志类别使用 Azure 诊断模式。 在此模式下,来自任何诊断设置的所有数据都将收集到 AzureDiagnostics 表中。

借助结构化日志,你可以选择使用特定于资源的表,以替代现有的 AzureDiagnostics 表。 如果需要这两组日志,则每个防火墙至少需要创建两个诊断设置。

“特定于资源”模式

在“特定于资源”模式下,将会根据在诊断设置中选择的每个类别,在所选工作区中创建各个表。 建议使用此方法,因为它:

  • 可以将总体日志记录成本降低高达 80%。
  • 大大简化日志查询中的数据处理程序
  • 简化发现架构及其结构的过程
  • 可改进引入延迟和查询时间方面的性能
  • 允许对特定表授予 Azure RBAC 权限

现在,“诊断设置”中提供了新的特定于资源的表,可以让你利用以下类别:

  • 网络规则日志 - 包含所有网络规则日志数据。 数据平面和网络规则之间的每个匹配项都会创建一个日志条目,其中包含数据平面数据包和所匹配规则的属性。
  • NAT 规则日志 - 包含所有 DNAT(目标网络地址转换)事件日志数据。 数据平面和 DNAT 规则之间的每个匹配项都会创建一个日志条目,其中包含数据平面数据包和所匹配规则的属性。
  • 应用程序规则日志 - 包含所有应用程序规则日志数据。 数据平面和应用程序规则之间的每个匹配项都会创建一个日志条目,其中包含数据平面数据包和所匹配规则的属性。
  • 威胁情报日志 - 包含所有威胁情报事件。
  • IDPS 日志 - 包含与一个或多个 IDPS 签名匹配的所有数据平面数据包。
  • DNS 代理日志 - 包含所有 DNS 代理事件日志数据。
  • 内部 FQDN 解析失败日志 - 包含导致失败的所有内部防火墙 FQDN 解析请求。
  • 应用程序规则聚合日志 - 包含用于策略分析的聚合应用程序规则日志数据。
  • 网络规则聚合日志 - 包含用于策略分析的聚合网络规则日志数据。
  • NAT 规则聚合日志 - 包含用于策略分析的聚合 NAT 规则日志数据。

启用结构化日志

若要启用 Azure 防火墙结构化日志,必须先在 Azure 订阅中配置 Log Analytics 工作区。 此工作区用于存储 Azure 防火墙生成的结构化日志。

配置了 Log Analytics 工作区后,可以导航到 Azure 门户中的防火墙诊断设置页,启用 Azure 防火墙中的结构化日志。 必须在此处选择特定于资源目标表,然后选择要记录的事件类型。

注意

无需使用功能标志或 Azure PowerShell 命令启用此功能。

“诊断设置”页的屏幕截图。

结构化日志查询

Azure 门户中提供了预定义查询的列表。 此列表具有针对每个类别的预定义 KQL(Kusto 查询语言)日志查询,以及在单个视图中显示整个 Azure 防火墙日志记录事件的联接查询。

显示 Azure 防火墙查询的屏幕截图。

Azure 防火墙工作簿

Azure 防火墙工作簿为 Azure 防火墙数据分析提供了一个灵活的画布。 该画布可用于在 Azure 门户中创建丰富的视觉对象报表。 你可以利用跨 Azure 部署的多个防火墙,并将它们组合成统一的交互式体验。

若要部署使用 Azure 防火墙结构化日志的新工作簿,请参阅适用于 Azure 防火墙的 Azure Monitor 工作簿

后续步骤