Azure Güvenlik Duvarı izleme verileri başvurusu

Bu makale, bu hizmetin tüm izleme başvuru bilgilerini içerir.

Azure Güvenlik Duvarı için toplayabileceğiniz veriler ve bu verilerin nasıl kullanılacağı hakkında ayrıntılı bilgi için bkz. İzleme Azure Güvenlik Duvarı.

Ölçümler

Bu bölümde, bu hizmet için otomatik olarak toplanan tüm platform ölçümleri listelenir. Bu ölçümler, Azure İzleyici'de desteklenen tüm platform ölçümlerinin genel listesinin de bir parçasıdır.

Ölçüm saklama hakkında bilgi için bkz . Azure İzleyici Ölçümlerine genel bakış.

Microsoft.Network/azureFirewalls için desteklenen ölçümler

Aşağıdaki tabloda Microsoft.Network/azureFirewalls kaynak türü için kullanılabilen ölçümler listelanmaktadır.

  • Tüm sütunlar her tabloda mevcut olmayabilir.
  • Bazı sütunlar sayfanın görüntüleme alanının dışında olabilir. Kullanılabilir tüm sütunları görüntülemek için Tabloyu genişlet'i seçin.

Tablo başlıkları

  • Kategori - Ölçüm grubu veya sınıflandırma.
  • Ölçüm - Azure portalında göründüğü şekilde ölçüm görünen adı.
  • REST API'deki ad - REST API'de bahsedilen ölçüm adı.
  • Birim - Ölçü birimi.
  • Toplama - Varsayılan toplama türü. Geçerli değerler: Ortalama (Ortalama), Minimum (Min), Maksimum (Maksimum), Toplam (Toplam), Sayı.
  • - Ölçüm için kullanılabilen Boyutlar Boyutları.
  • Ölçümün örneklendiği Zaman Dilimleri - Aralıkları. Örneğin, PT1M ölçümün dakikada bir, 30 dakikada bir, PT30M PT1H saatte bir vb. örneklendiğini gösterir.
  • DS Dışarı Aktarma- Ölçümün tanılama ayarları aracılığıyla Azure İzleyici Günlüklerine aktarılıp aktarılmayacağı. Ölçümleri dışarı aktarma hakkında bilgi için bkz . Azure İzleyici'de tanılama ayarları oluşturma.
Metric REST API'de ad Unit Toplama Boyutlar Zaman Dilimleri DS Dışarı Aktarma
Uygulama kuralları isabet sayısı

Uygulama kurallarının isabet sayısı
ApplicationRuleHit Sayı Toplam (Toplam) Status, Reason, Protocol PT1M Yes
İşlenen veriler

Bu güvenlik duvarı tarafından işlenen toplam veri miktarı
DataProcessed Bayt Toplam (Toplam) <none> PT1M Yes
Güvenlik duvarı sistem durumu

Bu güvenlik duvarının genel durumunu gösterir
FirewallHealth Yüzde Ortalama Status, Reason PT1M Yes
Gecikme Yoklaması

Güvenlik Duvarı'nın gecikme süresi araştırması tarafından ölçülen ortalama gecikme süresi tahmini
FirewallLatencyPng Milisaniye Ortalama <none> PT1M Yes
Ağ kuralları isabet sayısı

Ağ kurallarının isabet sayısı
NetworkRuleHit Sayı Toplam (Toplam) Status, Reason, Protocol PT1M Yes
SNAT bağlantı noktası kullanımı

Şu anda kullanımda olan giden SNAT bağlantı noktalarının yüzdesi
SNATPortUtilization Yüzde Ortalama, Maksimum Protocol PT1M Yes
İşlem hızı

Bu güvenlik duvarı tarafından işlenen aktarım hızı
Throughput BitsPerSecond Ortalama <none> PT1M Hayır

Güvenlik duvarı sistem durumu

Yukarıdaki tabloda Güvenlik duvarı sistem durumu ölçümü iki boyuta sahiptir:

  • Durum: Olası değerler sağlıklı, düzeyi düşürülmüş, iyi durumda değil.
  • Neden: Güvenlik duvarının ilgili durumunun nedenini belirtir.

SNAT bağlantı noktaları %95'ten fazla kullanılıyorsa tükenmiş kabul edilir ve durum=Düzeyi düşürülmüş ve reason=SNAT bağlantı noktası ile sistem durumu %50 olur. Güvenlik duvarı trafiği işlemeye devam eder ve mevcut bağlantılar etkilenmez. Ancak, yeni bağlantılar aralıklı olarak kurulamayabilir.

SNAT bağlantı noktalarının kullanım oranı %95'ten daha az olduğunda güvenlik duvarının iyi durumda olduğu kabul edilir ve durum %100 olarak gösterilir.

SNAT bağlantı noktası kullanımı bildirilmezse sistem durumu %0 olarak gösterilir.

SNAT bağlantı noktası kullanımı

SNAT bağlantı noktası kullanım ölçümü için, güvenlik duvarınıza daha fazla genel IP adresi eklediğinizde, SNAT bağlantı noktası kullanımını azaltarak daha fazla SNAT bağlantı noktası kullanılabilir. Ayrıca, güvenlik duvarının ölçeği farklı nedenlerle (cpu veya aktarım hızı gibi) genişletildiğinde daha fazla SNAT bağlantı noktası da kullanılabilir hale gelir.

SNAT bağlantı noktası kullanımının belirli bir yüzdesi, hizmetin ölçeği genişletildiği için herhangi bir genel IP adresi eklemeden kapanabilir. Güvenlik duvarınızda kullanılabilir bağlantı noktalarını artırmak için kullanılabilir genel IP adreslerinin sayısını doğrudan denetleyebilirsiniz. Ancak, güvenlik duvarı ölçeklendirmesini doğrudan denetleyemezsiniz.

Güvenlik duvarınız SNAT bağlantı noktası tükenmesi ile karşılanıyorsa en az beş genel IP adresi eklemeniz gerekir. Bu, kullanılabilir SNAT bağlantı noktası sayısını artırır. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı özellikleri.

AZFW Gecikme Yoklaması

AZFW Gecikme Yoklaması ölçümü, Azure Güvenlik Duvarı genel veya ortalama gecikme süresini milisaniye cinsinden ölçer. Yöneticiler bu ölçümü aşağıdaki amaçlarla kullanabilir:

  • Ağdaki gecikme süresinin nedeninin Azure Güvenlik Duvarı olup olmadığını tanılama
  • BT ekiplerinin proaktif olarak etkileşim kurabilmesi için gecikme veya performans sorunları olup olmadığını izleyin ve uyarın.
  • Azure Güvenlik Duvarı yüksek gecikme süresine neden olabilecek çeşitli nedenler olabilir. Örneğin, yüksek CPU kullanımı, yüksek aktarım hızı veya olası bir ağ sorunu.

AZFW Gecikme Yoklaması Ölçüm Ölçüleri (ve Yoklamaları):

  • Neleri ölçer: Azure platformundaki Azure Güvenlik Duvarı gecikme süresi
  • Neleri sağlamaz: Ölçüm, ağ yolunun tamamı için uçtan uca gecikme süresi yakalamaz. Bunun yerine, Azure Güvenlik Duvarı ağa ne kadar gecikme süresi Azure Güvenlik Duvarı güvenlik duvarı içindeki performansı yansıtır.
  • Hata raporlama: Gecikme ölçümü doğru çalışmıyorsa ölçüm panosunda yoklama hatası veya kesinti olduğunu gösteren 0 değerini bildirir.

Gecikme süresini etkileyen faktörler:

  • Yüksek CPU kullanımı
  • Yüksek aktarım hızı veya trafik yükü
  • Azure platformundaki ağ sorunları

Gecikme Yoklamaları: ICMP'den TCP'ye Gecikme yoklaması şu anda Microsoft'un ICMP 'yi (İnternet Denetim İletisi Protcol) temel alan Ping Mesh teknolojisini kullanır. ICMP, ping istekleri gibi hızlı sistem durumu denetimleri için uygundur, ancak genellikle TCP'de yeniden mutlu olan gerçek dünya uygulama trafiğini doğru şekilde temsil etmeyebilir. Ancak ICMP yoklamaları, Azure platformunda farklı önceliklere sahip olur ve bu da SKU'lar arasında değişime neden olabilir. Bu tutarsızlıkları azaltmak için Azure Güvenlik Duvarı TCP tabanlı yoklamalara geçiş yapmayı planlayın.

  • Gecikme ani artışları: ICMP yoklamalarında aralıklı ani artışlar normaldir ve konak ağının standart davranışının bir parçasıdır. Bunlar kalıcı olmadığı sürece güvenlik duvarı sorunları olarak yanlış yorumlanmamalıdır.
  • Ortalama gecikme süresi: Ortalama olarak, Azure Güvenlik Duvarı gecikme süresinin 1 ms ile 10 ms arasında, Güvenlik Duvarı SKU'su ve dağıtım boyutuna göre sabit olması beklenir.

Gecikme Süresini İzlemek için En İyi Yöntemler

  • Temel ayarlama: Normal veya yoğun kullanım sırasında doğru karşılaştırmalar için hafif trafik koşullarında bir gecikme süresi temeli oluşturun.

  • Desenleri izleme: Normal işlemlerin bir parçası olarak zaman zaman gecikme ani artışları bekleyebilirsiniz. Yüksek gecikme süresi bu normal varyasyonların ötesinde devam ederse, araştırma gerektiren daha derin bir soruna işaret edebilir.

  • Önerilen gecikme süresi eşiği: Önerilen bir kılavuz, gecikme süresinin taban çizgisinin 3 katını aşmaması gerektiğidir. Bu eşik aşılırsa daha fazla araştırma yapmanız önerilir.

  • Kural sınırını denetleyin: Ağ kurallarının 20.000 kural sınırı içinde olduğundan emin olun. Bu sınırın aşılması performansı etkileyebilir.

  • Yeni uygulama ekleme: Önemli yük ekleyebilecek veya gecikme sorunlarına neden olabilecek yeni eklenen uygulamaları denetleyin.

  • Destek isteği: Beklenen davranışla uyumlu olmayan sürekli gecikme süresi düşüşü gözlemlerseniz daha fazla yardım için bir destek bileti göndermeyi göz önünde bulundurun.

    Azure Güvenlik Duvarı Gecikme Yoklaması ölçümünü gösteren ekran görüntüsü.

Ölçüm boyutları

Ölçüm boyutlarının ne olduğu hakkında bilgi için bkz . Çok boyutlu ölçümler.

Bu hizmet, ölçümleriyle ilişkilendirilmiş aşağıdaki boyutlara sahiptir.

  • Protokol
  • Nedeni
  • Durum

Kaynak günlükleri

Bu bölümde, bu hizmet için toplayabileceğiniz kaynak günlükleri türleri listelenmiştir. bölümü, Azure İzleyici'de desteklenen tüm kaynak günlükleri kategori türleri listesinden çekilir.

Microsoft.Network/azureFirewalls için desteklenen kaynak günlükleri

Kategori Kategori görünen adı Günlük tablosu Temel günlük planını destekler Alım zamanı dönüşümlerini destekler Örnek sorgular Dışarı aktarma maliyetleri
AZFWApplicationRule uygulama kuralını Azure Güvenlik Duvarı AZFWApplicationRule

Tüm Uygulama kuralı günlük verilerini içerir. Veri düzlemi ile Uygulama kuralı arasındaki her eşleşme, veri düzlemi paketi ve eşleşen kuralın öznitelikleriyle bir günlük girdisi oluşturur.

Hayır Hayır Sorgular Yes
AZFWApplicationRuleAggregation Azure Güvenlik Duvarı Ağ Kuralı Toplama (İlke Analizi) AZFWApplicationRuleAggregation

İlke Analizi için toplanan Uygulama kuralı günlük verilerini içerir.

Hayır Hayır Evet
AZFWDnsQuery DNS sorgusu Azure Güvenlik Duvarı AZFWDnsQuery

Tüm DNS Proxy olay günlüğü verilerini içerir.

Hayır Hayır Sorgular Yes
AZFWFatFlow Azure Güvenlik Duvarı Yağ Akış Günlüğü AZFWFatFlow

Bu sorgu, Azure Güvenlik Duvarı örnekleri arasında en çok kullanılan akışları döndürür. Günlük akış bilgilerini, tarih iletim hızını (saniyedeki Megabit cinsinden) ve akışların kaydedilildiği süreyi içerir. En iyi akış günlüğünü etkinleştirmek ve nasıl kaydedildiğinden ayrıntılı bilgi almak için lütfen belgeleri izleyin.

Hayır Hayır Sorgular Yes
AZFWFlowTrace akış izleme günlüğünü Azure Güvenlik Duvarı AZFWFlowTrace

Azure Güvenlik Duvarı örnekleri arasında akış günlükleri. Günlük akış bilgilerini, bayrakları ve akışların kaydedilildiği zaman aralığını içerir. Akış izleme günlüğünü etkinleştirmek ve nasıl kaydedildiğinden ayrıntılı bilgi almak için lütfen belgeleri izleyin.

Yes Hayır Sorgular Yes
AZFWFqdnResolveFailure Azure Güvenlik Duvarı FQDN Çözümleme Hatası Hayır Hayır Evet
AZFWIdpsSignature IDPS İmzası Azure Güvenlik Duvarı AZFWIdpsSignature

Bir veya daha fazla IDPS imzasıyla eşleşen tüm veri düzlemi paketlerini içerir.

Hayır Hayır Sorgular Yes
AZFWNatRule Azure Güvenlik Duvarı Nat Kuralı AZFWNatRule

Tüm DNAT (Hedef Ağ Adresi Çevirisi) olay günlüğü verilerini içerir. Veri düzlemi ile DNAT kuralı arasındaki her eşleşme, veri düzlemi paketi ve eşleşen kuralın öznitelikleriyle bir günlük girişi oluşturur.

Hayır Hayır Sorgular Yes
AZFWNatRuleAggregation Azure Güvenlik Duvarı Nat Kuralı Toplama (İlke Analizi) AZFWNatRuleAggregation

İlke Analizi için toplanan NAT Kuralı günlük verilerini içerir.

Hayır Hayır Evet
AZFWNetworkRule ağ kuralını Azure Güvenlik Duvarı AZFWNetworkRule

Tüm Ağ Kuralı günlük verilerini içerir. Veri düzlemi ile ağ kuralı arasındaki her eşleşme, veri düzlemi paketi ve eşleşen kuralın öznitelikleriyle bir günlük girdisi oluşturur.

Hayır Hayır Sorgular Yes
AZFWNetworkRuleAggregation Azure Güvenlik Duvarı Uygulama Kuralı Toplama (İlke Analizi) AZFWNetworkRuleAggregation

İlke Analizi için toplanan Ağ kuralı günlük verilerini içerir.

Hayır Hayır Evet
AZFWThreatIntel Azure Güvenlik Duvarı Tehdit Bilgileri AZFWThreatIntel

Tüm Tehdit Bilgileri olaylarını içerir.

Hayır Hayır Sorgular Yes
AzureFirewallApplicationRule Azure Güvenlik Duvarı Uygulama Kuralı (Eski Azure Tanılama) AzureDiagnostics

Birden çok Azure kaynağından günlükler.

Hayır Hayır Sorgular Hayır
AzureFirewallDnsProxy Azure Güvenlik Duvarı DNS Ara Sunucusu (Eski Azure Tanılama) AzureDiagnostics

Birden çok Azure kaynağından günlükler.

Hayır Hayır Sorgular Hayır
AzureFirewallNetworkRule Azure Güvenlik Duvarı Ağ Kuralı (Eski Azure Tanılama) AzureDiagnostics

Birden çok Azure kaynağından günlükler.

Hayır Hayır Sorgular Hayır

Azure Güvenlik Duvarı güvenlik duvarınızı izlemeye yardımcı olabilecek iki yeni tanılama günlüğü vardır, ancak bu günlükler şu anda uygulama kuralı ayrıntılarını göstermiyor.

  • En iyi akışlar
  • Akış izleme

En iyi akışlar

En üst akış günlüğü, sektörde yağ akış günlüğü olarak ve önceki tabloda Azure Güvenlik Duvarı Yağ Akış Günlüğü olarak bilinir. Üst akış günlüğü, güvenlik duvarı aracılığıyla en yüksek aktarım hızına katkıda bulunan en iyi bağlantıları gösterir.

İpucu

Üst akış günlüklerini yalnızca Azure Güvenlik Duvarı aşırı CPU kullanımını önlemek için belirli bir sorunu giderirken etkinleştirin.

Akış hızı, saniyedeki megabit cinsinden veri iletim hızı olarak tanımlanır. Bu, güvenlik duvarı üzerinden belirli bir süre içinde bir ağ üzerinden iletilebilen dijital veri miktarının ölçüsüdür. Top Flows protokolü her üç dakikada bir düzenli aralıklarla çalışır. Üst Akış olarak kabul edilecek minimum eşik 1 Mb/sn'dir.

Aşağıdaki Azure PowerShell komutlarını kullanarak En iyi akışlar günlüğünü etkinleştirin:

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall

Günlükleri devre dışı bırakmak için önceki Azure PowerShell komutunu kullanın ve değeri False olarak ayarlayın.

Örneğin:

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall

Güncelleştirmenin başarılı olduğunu doğrulamanın birkaç yolu vardır, ancak güvenlik duvarına Genel Bakış'a gidip sağ üst köşedeki JSON görünümünü seçebilirsiniz. Örnek:

Ek günlük doğrulamayı gösteren JSON ekran görüntüsü.

Tanılama ayarı oluşturmak ve Kaynağa Özgü Tablo'yı etkinleştirmek için bkz . Azure İzleyici'de tanılama ayarları oluşturma.

Akış izleme

Güvenlik duvarı günlükleri, SYN paketi olarak bilinen bir TCP bağlantısının ilk denemesinde güvenlik duvarı üzerinden gelen trafiği gösterir. Ancak, böyle bir giriş TCP el sıkışmasında paketin tüm yolculuğunu göstermez. Sonuç olarak, bir paket bırakılırsa veya asimetrik yönlendirme oluştuysa sorun gidermek zordur. Azure Güvenlik Duvarı Akış İzleme Günlüğü bu sorunu giderir.

İpucu

Çok sayıda kısa süreli bağlantıya sahip Azure Güvenlik Duvarı Akış izleme günlüklerinin neden olduğu aşırı disk kullanımını önlemek için günlükleri yalnızca tanılama amacıyla belirli bir sorunu giderirken etkinleştirin.

Aşağıdaki özellikler eklenebilir:

  • SYN-ACK: SYN paketinin onaylandığını gösteren ACK bayrağı.

  • FIN: Özgün paket akışının tamamlanmış bayrağı. TCP akışında başka veri iletilmiyor.

  • FIN-ACK: FIN paketinin onaylandığını gösteren ACK bayrağı.

  • RST: Sıfırlama bayrağı, özgün gönderenin daha fazla veri almadığı gösterir.

  • GEÇERSİz (akışlar): Paket tanımlanamıyor veya herhangi bir duruma sahip değil gösterir.

    Örneğin:

    • TCP paketi, bu paket için önceden geçmişe sahip olmayan bir Sanal Makine Ölçek Kümeleri örneğine iner
    • Hatalı Denetim Toplamı paketleri
    • Bağlantı İzleme tablosu girdisi dolu ve yeni bağlantılar kabul edilemiyor
    • Aşırı gecikmeli ACK paketleri

Aşağıdaki Azure PowerShell komutlarını kullanarak Akış izleme günlüğünü etkinleştirin veya portalda gezinin ve TCP Bağlantı Günlüğünü Etkinleştir'i arayın:

Connect-AzAccount 
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Bu değişikliğin etkili olması birkaç dakika sürebilir. Özellik kaydedildikten sonra, değişikliğin hemen geçerli olması için Azure Güvenlik Duvarı bir güncelleştirme gerçekleştirmeyi göz önünde bulundurun.

AzResourceProvider kaydının durumunu denetlemek için Azure PowerShell komutunu çalıştırabilirsiniz:

Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"

Günlüğü devre dışı bırakmak için aşağıdaki komutu kullanarak kaydı kaldırabilir veya önceki portal örneğinde kaydı kaldır'ı seçebilirsiniz.

Unregister-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network

Tanılama ayarı oluşturmak ve Kaynağa Özgü Tablo'yı etkinleştirmek için bkz . Azure İzleyici'de tanılama ayarları oluşturma.

Azure İzleyici Günlükleri tabloları

Bu bölümde, Kusto sorguları kullanılarak Log Analytics tarafından sorgulanabilen bu hizmetle ilgili Azure İzleyici Günlükleri tabloları listelenmektedir. Tablolar, toplanan ve bunlara yönlendirilenlere bağlı olarak kaynak günlüğü verilerini ve büyük olasılıkla daha fazlasını içerir.

Microsoft.Network/azureFirewalls Azure Güvenlik Duvarı

Etkinlik günlüğü

Bağlı tablo, bu hizmetin etkinlik günlüğüne kaydedilebilecek işlemleri listeler. Bu işlemler, etkinlik günlüğündeki tüm olası kaynak sağlayıcısı işlemlerinin bir alt kümesidir.

Etkinlik günlüğü girdilerinin şeması hakkında daha fazla bilgi için bkz . Etkinlik Günlüğü şeması.

  • İzleme Azure Güvenlik Duvarı açıklaması için bkz. İzleme Azure Güvenlik Duvarı.
  • Azure kaynaklarını izleme hakkında ayrıntılı bilgi için bkz . Azure İzleyici ile Azure kaynaklarını izleme.