Azure 防火墙日志和指标概述

可以使用 Azure 防火墙日志和指标来监视防火墙内的流量和操作。 这些日志和指标有几个基本用途,包括:

  • 流量分析:使用日志检查和分析通过防火墙的流量。 这包括检查允许和拒绝的流量、检查源和目标 IP 地址、URL、端口号、协议等。 这些见解对于了解流量模式、识别潜在安全威胁和解决连接问题至关重要。

  • 性能和健康状况指标:Azure 防火墙指标提供性能和健康状况指标,例如已处理的数据、吞吐量、规则命中计数和延迟。 监控这些指标以评估防火墙的整体健康状况、识别性能瓶颈并检测任何异常情况。

  • 审核跟踪:活动日志可以审核与防火墙资源相关的操作,捕获创建、更新或删除防火墙规则和策略等操作。 查看活动日志有助于维护配置更改的历史记录,并确保符合安全和审核要求。

查看和存储

可以通过 Azure 门户访问日志和指标,其中包含多个存储和分析选项:

  • Log Analytics 工作区(由 Azure Monitor 提供支持):将 Azure 防火墙日志和指标集中在 Log Analytics 工作区中,以进行高级分析、自定义仪表板创建以及根据特定指标阈值设置警报。

  • 存储帐户:将日志存储在 Azure 存储帐户中,以便长期保留并与外部日志分析工具集成。

  • 事件中心:将 Azure 防火墙日志流式传输到 Azure 事件中心,以进行实时处理、分析或与第三方 SIEM 解决方案集成。

  • 合作伙伴解决方案:将 Azure 防火墙日志发送到第三方合作伙伴解决方案,以进行进一步分析并与其他安全数据关联。

Azure 防火墙的日志和指标配置设置通常通过 Azure 门户完成。 这使你可以指定日志和指标的目标,并设置适合组织监控和安全要求的保留和警报配置。

结构化日志

使用结构化日志监视 Azure 防火墙,该日志使用预定义的架构来构造日志数据,以便于搜索、筛选和分析。 这些日志包括源和目标 IP 地址、协议、端口号和防火墙操作等信息。 优先使用资源特定表而不是现有的 AzureDiagnostics 表将结构化日志设置为主要日志类型。 若要启用这些日志并探索日志类别,请参阅 Azure 结构化防火墙日志

旧版 Azure 诊断日志

旧版 Azure 诊断日志是原始 Azure 防火墙日志查询,以非结构化或自由格式文本格式输出日志数据。 Azure 防火墙旧日志类别使用 Azure 诊断模式,收集 AzureDiagnostics 表中的全部数据。 如果同时需要结构化日志和诊断日志,则每个防火墙至少需要创建两个诊断设置。

指标

Azure Monitor 中的指标是描述特定时间系统各方面的数值。 这些指标每分钟收集一次,由于采样频繁,因此可用于发出警报。 使用相对简单的逻辑快速配置警报。 有关 Azure 防火墙的可用指标和配置警报,请参阅 Azure 防火墙指标和警报

活动日志

默认情况下会收集活动日志条目,可在 Azure 门户中查看它们。 使用 Azure 活动日志(以前称为操作日志和审核日志)查看提交到 Azure 订阅的所有操作。

后续步骤