Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera wszystkie informacje referencyjne dotyczące monitorowania tej usługi.
Zobacz Monitorowanie usługi Azure Firewall, aby uzyskać szczegółowe informacje na temat danych, które można zbierać dla usługi Azure Firewall i sposobu ich używania.
Metrics
W tej sekcji wymieniono wszystkie automatycznie zebrane metryki platformy dla tej usługi. Te metryki są również częścią globalnej listy wszystkich metryk platformy obsługiwanych w usłudze Azure Monitor.
Aby uzyskać informacje na temat przechowywania metryk, zobacz Omówienie metryk usługi Azure Monitor.
Obsługiwane metryki dla usługi Microsoft.Network/azureFirewalls
W poniższej tabeli wymieniono metryki dostępne dla typu zasobu Microsoft.Network/azureFirewalls.
- Wszystkie kolumny mogą nie być obecne w każdej tabeli.
- Niektóre kolumny mogą wykraczać poza obszar wyświetlania strony. Wybierz pozycję Rozwiń tabelę , aby wyświetlić wszystkie dostępne kolumny.
Nagłówki tabel
- Kategoria — grupa metryk lub klasyfikacja.
- Metryka — nazwa metryki, jak jest wyświetlana w portalu Azure.
- Nazwa w interfejsie API REST — nazwa metryki określona w interfejsie API REST.
- Jednostka — jednostka miary.
- Agregacja — domyślny typ agregacji. Prawidłowe wartości: Średnia (średnia), Minimalna (Minimalna), Maksymalna (Maksymalna), Łączna (Suma), Liczba.
- Wymiary - Wymiary dostępne dla tej metryki.
-
Ziarna czasu - Interwały, w których próbkowana jest metryka. Na przykład wskazuje,
PT1Mże metryka jest próbkowana co minutę,PT30Mco 30 minut,PT1Hco godzinę itd. - DS Eksportowanie — określa, czy metryka może być eksportowana do dzienników usługi Azure Monitor za pośrednictwem ustawień diagnostycznych. Aby uzyskać informacje na temat eksportowania metryk, zobacz Tworzenie ustawień diagnostycznych w usłudze Azure Monitor.
| Metric | Nazwa w interfejsie API REST | Unit | Aggregation | Dimensions | Granulki czasu | DS Eksport |
|---|---|---|---|---|---|---|
|
Liczba trafień reguł aplikacji Liczba trafień reguł aplikacji |
ApplicationRuleHit |
Count | Suma (Całkowita) |
Status, , ReasonProtocol |
PT1M | Yes |
|
Przetworzone dane Łączna ilość danych przetwarzanych przez tę zaporę |
DataProcessed |
Bytes | Suma (Całkowita) | <żadne> | PT1M | Yes |
|
Stan kondycji zapory Wskazuje ogólną kondycję tej zapory |
FirewallHealth |
Percent | Average |
Status, Reason |
PT1M | Yes |
|
Sonda opóźnienia (wersja zapoznawcza) Szacowanie średniego opóźnienia zapory mierzonego przez sondę opóźnienia |
FirewallLatencyPng |
Milliseconds | Average | <żadne> | PT1M | Yes |
|
Liczba trafień reguł sieciowych Liczba trafień reguł sieci |
NetworkRuleHit |
Count | Suma (Całkowita) |
Status, Reason |
PT1M | Yes |
|
Obserwowane jednostki pojemności Zgłoszona liczba jednostek pojemności dla usługi Azure Firewall |
ObservedCapacity |
Nieokreślony | Średnia, Minimalna, Maksymalna | <żadne> | PT1M | Yes |
|
Wykorzystanie portów SNAT Procent obecnie używanych portów wychodzących SNAT |
SNATPortUtilization |
Percent | Średnia, Maksimum | Protocol |
PT1M | Yes |
|
Throughput Przepływność przetworzona przez tę zaporę |
Throughput |
BitsPerSecond | Average | <żadne> | PT1M | No |
Obserwowana pojemność
Metryka Obserwowana pojemność jest podstawowym narzędziem do zrozumienia sposobu skalowania zapory w praktyce.
Najlepsze rozwiązania dotyczące korzystania z obserwowanej pojemności
- Zweryfikuj konfigurację przedskalowania: Upewnij się, że zapora stale utrzymuje zdefiniowaną wartość minCapacity.
- Śledzenie zachowania skalowania w czasie rzeczywistym: Użyj agregacji Avg (Średnia agregacja), aby wyświetlić jednostki pojemności czasu rzeczywistego.
- Prognozowanie przyszłych potrzeb: Połącz historyczną obserwowaną pojemność z trendami ruchu (na przykład miesięcznymi skokami lub wydarzeniami sezonowymi), aby uściślić planowanie pojemności.
- Ustawianie proaktywnych alertów: Skonfiguruj alerty usługi Azure Monitor dotyczące obserwowanych progów pojemności (na przykład alert, gdy skalowanie przekracza 80% maksymalnej wydajności).
- Skoreluj z metrykami wydajności: Para obserwowana pojemność z przepływnością, sondą opóźnienia i użyciem portów SNAT, aby zdiagnozować, czy skalowanie utrzymuje się na bieżąco z zapotrzebowaniem.
Stan kondycji zapory
W poprzedniej tabeli metryka stanu kondycji zapory ma dwa wymiary:
- Stan: Możliwe wartości są w dobrej kondycji, obniżone, w złej kondycji.
- Powód: wskazuje przyczynę odpowiadającego mu stanu zapory.
Jeśli porty SNAT są używane więcej niż 95%, są uznawane za wyczerpane, a kondycja wynosi 50% ze status=Obniżona wydajność i przyczyna=Port SNAT. Zapora nadal przetwarza ruch i istniejące połączenia nie mają wpływu. Jednak nowe połączenia mogą nie być ustanawiane sporadycznie.
Jeśli porty SNAT są wykorzystane w mniej niż 95%, kondycja zapory jest uznawana za dobrą i jej wartość wynosi 100%.
Jeśli nie zgłoszono żadnego użycia portów SNAT, dla kondycji jest wyświetlana wartość 0%.
Wykorzystanie portów SNAT
W przypadku metryki wykorzystania portów SNAT po dodaniu większej liczby publicznych adresów IP do zapory dostępnych jest więcej portów SNAT, co zmniejsza wykorzystanie portów SNAT. Ponadto, gdy zapora jest skalowana w poziomie z różnych powodów (na przykład procesor CPU lub przepływność), coraz więcej portów SNAT również staje się dostępne.
W rzeczywistości określony procent wykorzystania portów SNAT może spaść bez dodawania publicznych adresów IP, tylko dlatego, że usługa została skalowana w poziomie. Możesz bezpośrednio kontrolować liczbę dostępnych publicznych adresów IP, aby zwiększyć liczbę dostępnych portów w zaporze. Nie można jednak bezpośrednio kontrolować skalowania zapory.
Jeśli zapora jest uruchomiona w wyczerpaniu portów SNAT, należy dodać co najmniej pięć publicznych adresów IP. Zwiększa to liczbę dostępnych portów SNAT. Aby uzyskać więcej informacji, zobacz Funkcje usługi Azure Firewall.
Sonda opóźnienia AZFW
Metryka sondy opóźnienia AZFW mierzy ogólne lub średnie opóźnienie usługi Azure Firewall w milisekundach. Administratorzy mogą używać tej metryki do następujących celów:
- Diagnozowanie, czy usługa Azure Firewall powoduje opóźnienie w sieci
- Monitorowanie i zgłaszanie alertów dotyczących problemów z opóźnieniami lub wydajnością, dzięki czemu zespoły IT mogą aktywnie współpracować
- Identyfikowanie różnych czynników, które mogą powodować duże opóźnienia w usłudze Azure Firewall, takie jak wysokie wykorzystanie procesora CPU, wysoka przepływność lub problemy z siecią
Jaka jest metryka sondy opóźnienia AZFW
- Środki: Opóźnienie usługi Azure Firewall na platformie Azure
- Nie mierzy: Kompleksowe opóźnienie całej ścieżki sieciowej. Metryka odzwierciedla wydajność w zaporze, a nie opóźnienie wprowadzone w usłudze Azure Firewall do sieci
- Raportowanie błędów: Jeśli metryka opóźnienia nie działa poprawnie, zgłasza wartość 0 na pulpicie nawigacyjnym metryk wskazującą niepowodzenie sondy lub przerwę
Czynniki wpływające na opóźnienie
Kilka czynników może mieć wpływ na opóźnienie zapory:
- Wysoki poziom wykorzystania procesora
- Wysoka przepływność lub obciążenie ruchem
- Problemy z siecią na platformie Azure
Sondy opóźnienia: z protokołu ICMP do TCP
Sonda opóźnienia używa obecnie technologii Ping Mesh firmy Microsoft, która jest oparta na protokole ICMP (Internet Control Message Protocol). Protokół ICMP jest odpowiedni do przeprowadzania szybkich kontroli kondycji, takich jak żądania ping, ale może nie być dokładnie reprezentowany rzeczywisty ruch aplikacji, który zwykle opiera się na protokole TCP. Jednak sondy ICMP różnią się priorytetem w obrębie platformy Azure, co może spowodować różnice między jednostkami SKU. Aby zmniejszyć te rozbieżności, usługa Azure Firewall planuje przejście do sond opartych na protokole TCP.
Ważne zagadnienia:
- Skoki opóźnień: W przypadku sond ICMP sporadyczne skoki są normalne i częścią standardowego zachowania sieci hosta. Nie należy błędnie interpretować tych skoków jako problemów z zaporą, chyba że będą się powtarzać.
- Średnie opóźnienie: Średnio opóźnienie usługi Azure Firewall waha się od 1 ms do 10 ms w zależności od jednostki SKU zapory i rozmiaru wdrożenia.
Najlepsze rozwiązania dotyczące monitorowania opóźnienia
Ustaw punkt odniesienia: ustanów punkt odniesienia opóźnienia w warunkach ruchu lekkiego, aby uzyskać dokładne porównania podczas normalnego lub szczytowego użycia.
Note
Podczas ustanawiania punktu odniesienia spodziewaj się okazjonalnych skoków metryk z powodu ostatnich zmian infrastruktury. Te tymczasowe skoki są normalne i wynikają z korekt raportowania metryk, a nie rzeczywistych problemów. Prześlij wniosek o pomoc techniczną tylko wtedy, gdy skoki będą się powtarzać w czasie.
Monitorowanie wzorców: spodziewaj się okazjonalnych skoków opóźnień w ramach normalnych operacji. Jeśli duże opóźnienie utrzymuje się poza tymi normalnymi odmianami, może to wskazywać na głębszy problem wymagający badania.
Zalecany próg opóźnienia: zalecaną wskazówką jest to, że opóźnienie nie powinno przekraczać 3 razy w punkcie odniesienia. Jeśli ten próg zostanie przekroczony, zalecane jest dalsze badanie.
Sprawdź limit reguł: upewnij się, że reguły sieci znajdują się w limicie reguły 20 0000. Przekroczenie tego limitu może mieć wpływ na wydajność.
Dołączanie nowej aplikacji: sprawdź, czy nie ma nowo dołączonych aplikacji, które mogą dodawać znaczne obciążenie lub powodować problemy z opóźnieniami.
Wniosek o pomoc techniczną: jeśli obserwujesz ciągłe obniżenie opóźnienia, które nie jest zgodne z oczekiwanym zachowaniem, rozważ złożenie biletu pomocy technicznej, aby uzyskać dalszą pomoc.
Metryczne wymiary
Aby uzyskać informacje na temat wymiarów metryk, zobacz Metryki wielowymiarowe.
Ta usługa ma następujące wymiary skojarzone z jej metrykami.
- Protocol
- Reason
- Status
Dzienniki zasobów
W tej sekcji wymieniono typy dzienników zasobów, które można zbierać dla tej usługi. Sekcja pobiera z listy wszystkich typów kategorii dzienników zasobów obsługiwanych w usłudze Azure Monitor.
Obsługiwane dzienniki zasobów dla usługi Microsoft.Network/azureFirewalls
| Category | Nazwa wyświetlana kategorii | Tabela logów | Obsługuje podstawowy plan dziennika | Obsługuje transformację czasu pozyskiwania | Przykłady zapytań | Koszty eksportowania |
|---|---|---|---|---|---|---|
AZFWApplicationRule |
Reguła aplikacji usługi Azure Firewall |
AZFWApplicationRule Zawiera wszystkie dane dziennika reguł aplikacji. Każde dopasowanie między płaszczyzną danych a regułą aplikacji tworzy wpis dziennika z pakietem płaszczyzny danych i atrybutami dopasowanej reguły. |
Yes | Yes | Queries | Yes |
AZFWApplicationRuleAggregation |
Agregacja reguł sieci usługi Azure Firewall (analiza zasad) |
AZFWApplicationRuleAggregation Zawiera zagregowane dane dziennika reguł aplikacji na potrzeby analizy zasad. |
Yes | Yes | Yes | |
AZFWDnsAdditional |
Dziennik śledzenia przepływu DNS usługi Azure Firewall |
AzureDiagnostics Dzienniki z wielu zasobów platformy Azure. |
No | No | Queries | Yes |
AZFWDnsQuery |
Zapytanie DNS usługi Azure Firewall |
AZFWDnsQuery Zawiera wszystkie dane dziennika zdarzeń serwera proxy DNS. |
Yes | Yes | Queries | Yes |
AZFWFatFlow |
Dziennik przepływu tłuszczu usługi Azure Firewall |
AZFWFatFlow To zapytanie zwraca najważniejsze przepływy w wystąpieniach usługi Azure Firewall. Dziennik zawiera informacje o przepływie, szybkość transmisji dat (w megabitach na sekundę) i okres, w którym zarejestrowano przepływy. Postępuj zgodnie z dokumentacją, aby włączyć logowanie przepływów głównych oraz uzyskać szczegółowe informacje dotyczące sposobu rejestrowania. |
Yes | Yes | Queries | Yes |
AZFWFlowTrace |
Dziennik śledzenia przepływu usługi Azure Firewall |
AZFWFlowTrace Dzienniki przepływu w instancjach Azure Firewall. Dziennik zawiera informacje o przepływie, flagi i okres, w którym zarejestrowano przepływy. Postępuj zgodnie z dokumentacją, aby włączyć rejestrowanie śledzenia przepływu oraz uzyskać szczegółowe informacje na temat tego procesu. |
Yes | Yes | Queries | Yes |
AZFWFqdnResolveFailure |
Niepowodzenie rozpoznawania nazwy FQDN usługi Azure Firewall | No | No | Yes | ||
AZFWIdpsSignature |
Podpis IDPS usługi Azure Firewall |
AZFWIdpsSignature Zawiera wszystkie pakiety płaszczyzny danych, które odpowiadały co najmniej jednej sygnaturze IDPS. |
Yes | Yes | Queries | Yes |
AZFWNatRule |
Reguła nat usługi Azure Firewall |
AZFWNatRule Zawiera wszystkie dane dziennika zdarzeń dotyczące DNAT (przekierowania adresów docelowych w sieci). Każde dopasowanie między płaszczyzną danych a regułą DNAT tworzy wpis dziennika z pakietem płaszczyzny danych i atrybutami dopasowanej reguły. |
Yes | Yes | Queries | Yes |
AZFWNatRuleAggregation |
Agregacja reguł nat usługi Azure Firewall (analiza zasad) |
AZFWNatRuleAggregation Zawiera zagregowane dane dzienników reguł NAT dla analizy polityki. |
Yes | Yes | Yes | |
AZFWNetworkRule |
Reguła sieci usługi Azure Firewall |
AZFWNetworkRule Zawiera wszystkie dane dziennika reguł sieci. Każde dopasowanie między płaszczyzną danych a regułą sieciową tworzy wpis dziennika z pakietem płaszczyzny danych i atrybutami dopasowanej reguły. |
Yes | Yes | Queries | Yes |
AZFWNetworkRuleAggregation |
Agregacja reguły aplikacji usługi Azure Firewall (analiza zasad) |
AZFWNetworkRuleAggregation Zawiera zagregowane dane dziennika reguł sieci dla analizy polityki. |
Yes | Yes | Yes | |
AZFWThreatIntel |
Analiza zagrożeń w usłudze Azure Firewall |
AZFWThreatIntel Zawiera wszystkie zdarzenia analizy zagrożeń. |
Yes | Yes | Queries | Yes |
AzureFirewallApplicationRule |
Reguła aplikacji usługi Azure Firewall (starsza wersja Diagnostyka Azure) |
AzureDiagnostics Dzienniki z wielu zasobów platformy Azure. |
No | No | Queries | No |
AzureFirewallDnsProxy |
Serwer proxy DNS usługi Azure Firewall (starsza wersja Diagnostyka Azure) |
AzureDiagnostics Dzienniki z wielu zasobów platformy Azure. |
No | No | Queries | No |
AzureFirewallNetworkRule |
Reguła sieci usługi Azure Firewall (starsza wersja Diagnostyka Azure) |
AzureDiagnostics Dzienniki z wielu zasobów platformy Azure. |
No | No | Queries | No |
Dzienniki śledzenia przepływu DNS
Dzienniki śledzenia przepływu DNS zapewniają lepszy wgląd w aktywność DNS, pomagając administratorom rozwiązywać problemy i weryfikować zachowanie ruchu.
Wcześniej rejestrowanie serwera proxy DNS było ograniczone do:
- AZFWDNSQuery — początkowe zapytanie klienta
- AZFWInternalFqdnResolutionFailure — błędy rozpoznawania nazw FQDN
Dzięki dziennikom śledzenia przepływu DNS administratorzy mogą śledzić pełny przepływ rozpoznawania nazw DNS z zapytania klienta za pośrednictwem usługi Azure Firewall jako serwera proxy DNS, do zewnętrznego serwera DNS i z powrotem do klienta.
Etapy rozpoznawania nazw DNS
Dzienniki przechwytują następujące etapy:
- Zapytanie klienta: początkowe zapytanie DNS wysyłane przez klienta
- Zapytanie usługi przesyłania dalej: usługa Azure Firewall przekazuje zapytanie do zewnętrznego serwera DNS (jeśli nie jest buforowany)
- Odpowiedź usługi przesyłania dalej: odpowiedź serwera DNS na usługę Azure Firewall
- Odpowiedź klienta: ostateczna rozwiązana odpowiedź z usługi Azure Firewall z powrotem do klienta
Na poniższym diagramie przedstawiono wizualną reprezentację wysokiego poziomu przepływu zapytań DNS:
Te dzienniki zapewniają cenne szczegółowe informacje, takie jak:
- Odpytywane przez serwer DNS
- Rozpoznane adresy IP
- Czy używana była pamięć podręczna usługi Azure Firewall
Włączanie dzienników śledzenia przepływu DNS
Przed skonfigurowaniem dzienników śledzenia przepływu DNS należy najpierw włączyć tę funkcję przy użyciu programu Azure PowerShell.
Włączanie dzienników (wymaganie wstępne)
Uruchom następujące polecenia w programie Azure PowerShell, zastępując symbole zastępcze wartościami:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableDnstapLogging = $true
Set-AzFirewall -AzureFirewall $firewall
Wyłączanie dzienników (opcjonalnie)
Aby wyłączyć dzienniki, użyj tego samego poprzedniego polecenia programu Azure PowerShell i ustaw wartość False:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableDnstapLogging = $false
Set-AzFirewall -AzureFirewall $firewall
Konfigurowanie dzienników śledzenia przepływu dns i serwera proxy DNS
Wykonaj następujące kroki, aby skonfigurować serwer proxy DNS i włączyć dzienniki śledzenia przepływu DNS:
Włącz serwer proxy DNS:
- Przejdź do ustawień dns usługi Azure Firewall i włącz serwer proxy DNS.
- Skonfiguruj niestandardowy serwer DNS lub użyj domyślnej usługi Azure DNS.
- Przejdź do ustawień DNS sieci wirtualnej i ustaw prywatny adres IP zapory jako podstawowy serwer DNS.
Włącz dzienniki śledzenia przepływu DNS:
- Przejdź do usługi Azure Firewall w witrynie Azure Portal.
- Wybierz pozycję Ustawienia diagnostyczne w obszarze Monitorowanie.
- Wybierz istniejące ustawienie diagnostyczne lub utwórz nowe.
- W sekcji Dziennik wybierz pozycję Dzienniki śledzenia przepływu DNS.
- Wybierz docelowy cel (analiza logów lub konto magazynowe).
Note
Logi śledzenia przepływu DNS nie są obsługiwane w przypadku Event Hub jako miejsca docelowego.
- Zapisz ustawienia.
Testowanie konfiguracji:
- Generowanie zapytań DNS od klientów i weryfikowanie dzienników w wybranym miejscu docelowym.
Omówienie dzienników
Każdy wpis dziennika odpowiada określonemu etapowi w procesie rozpoznawania nazw DNS. W poniższej tabeli opisano typy dzienników i pola kluczy:
| Typ | Description | Pola kluczy |
|---|---|---|
Client Query |
Początkowe zapytanie DNS wysyłane przez klienta. |
SourceIp: wewnętrzny adres IP klienta wysyłający żądanie DNS: QueryMessagepełny ładunek zapytania DNS, w tym żądana domena |
Forwarder Query |
Usługa Azure Firewall przekazuje zapytanie DNS do zewnętrznego serwera DNS (jeśli nie jest buforowany). |
ServerIp: Adres IP zewnętrznego serwera DNS, który odbiera zapytanie, QueryMessage: Ładunek zapytania DNS przesłany dalej, identyczny lub oparty na żądaniu klienta |
Forwarder Response |
Odpowiedź serwera DNS na usługę Azure Firewall. |
ServerMessage: Ładunek odpowiedzi DNS z serwera zewnętrznego., AnswerSection: zawiera rozpoznane adresy IP, CAME i wszystkie wyniki weryfikacji protokołu DNSSEC (jeśli dotyczy). |
Client Response |
Ostatnia rozwiązana odpowiedź z usługi Azure Firewall z powrotem do klienta. |
ResolvedIp: Adres IP (lub adresy) rozpoznany dla żądanej domeny., ResponseTime: całkowity czas potrzebny na rozwiązanie zapytania, mierzony z żądania klienta na zwróconą odpowiedź |
Powyższe pola są tylko podzbiorem dostępnych pól w każdym wpisie dziennika.
Najważniejsze uwagi:
- Jeśli jest używana pamięć podręczna DNS, generowane są tylko wpisy zapytania klienta i odpowiedzi klienta .
- Dzienniki obejmują standardowe metadane, takie jak znaczniki czasu, źródłowe/docelowe adresy IP, protokoły i zawartość komunikatów DNS.
- Aby uniknąć nadmiernego woluminu dziennika w środowiskach z wieloma krótkotrwałymi zapytaniami, włącz dodatkowe dzienniki serwera proxy DNS tylko wtedy, gdy wymagane jest dokładniejsze rozwiązywanie problemów z systemem DNS.
Najważniejsze przepływy
Dziennik najważniejszych przepływów jest znany w branży jako dziennik przepływu tłuszczu i w poprzedniej tabeli jako dziennik przepływu fat flow usługi Azure Firewall. W górnym dzienniku przepływów są wyświetlane najważniejsze połączenia, które przyczyniają się do najwyższej przepływności przez zaporę.
Tip
Aktywuj dzienniki najważniejszych przepływów tylko podczas rozwiązywania określonego problemu, aby uniknąć nadmiernego użycia procesora CPU w usłudze Azure Firewall.
Szybkość przepływu jest definiowana jako szybkość transmisji danych w megabitach na sekundę. Jest to miara ilości danych cyfrowych, które mogą być przesyłane przez sieć w danym okresie przez zaporę. Protokół Top Flows jest uruchamiany okresowo co trzy minuty. Minimalny próg, który ma zostać uznany za górny przepływ, wynosi 1 Mb/s.
Włącz najważniejsze dzienniki przepływów
Użyj następujących poleceń programu Azure PowerShell, aby włączyć najważniejsze dzienniki przepływów:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall
Wyłącz najważniejsze dzienniki przepływów
Aby wyłączyć dzienniki, użyj tego samego polecenia programu Azure PowerShell i ustaw wartość false. Przykład:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall
Sprawdzanie konfiguracji
Istnieje wiele sposobów sprawdzania, czy aktualizacja zakończyła się pomyślnie. Przejdź do pozycji Przegląd zapory i wybierz widok JSON w prawym górnym rogu. Oto przykład:
Aby utworzyć ustawienie diagnostyczne i włączyć tabelę specyficzną dla zasobów, zobacz Tworzenie ustawień diagnostycznych w usłudze Azure Monitor.
Ślad przepływu
Dzienniki zapory pokazują ruch przez zaporę w pierwszej próbie połączenia TCP, znanego jako pakiet SYN . Jednak taki wpis nie pokazuje pełnej podróży pakietu w uzgadnianiu TCP. W związku z tym trudno jest rozwiązać problem, jeśli pakiet został porzucony lub wystąpił routing asymetryczny. Dziennik śledzenia przepływu usługi Azure Firewall rozwiązuje ten problem.
Tip
Aby uniknąć nadmiernego użycia dysku spowodowanego dziennikami śledzenia usługi Flow w usłudze Azure Firewall z wieloma krótkotrwałymi połączeniami, aktywuj dzienniki tylko podczas rozwiązywania określonego problemu w celach diagnostycznych.
Właściwości śledzenia przepływu
Można dodać następujące właściwości:
SYN-ACK: flaga ACK wskazująca potwierdzenie pakietu SYN.
FIN: Zakończono flagę oryginalnego przepływu pakietów. W przepływie TCP nie są przesyłane żadne dane.
FIN-ACK: flaga ACK wskazująca potwierdzenie pakietu FIN.
RST: flaga Resetowanie wskazuje, że oryginalny nadawca nie odbiera większej ilości danych.
INVALID (przepływy): wskazuje, że nie można zidentyfikować pakietu lub nie ma żadnego stanu.
Przykład:
- Pakiet TCP ląduje w wystąpieniu usługi Virtual Machine Scale Sets, które nie ma żadnej wcześniejszej historii dla tego pakietu
- Nieprawidłowe pakiety CheckSum
- Wpis tabeli Śledzenie połączeń jest pełny i nie można zaakceptować nowych połączeń
- Nadmiernie opóźnione pakiety usługi ACK
Włączanie dzienników śledzenia usługi Flow
Użyj następujących poleceń programu Azure PowerShell, aby włączyć dzienniki śledzenia usługi Flow. Alternatywnie przejdź w portalu i wyszukaj pozycję Włącz rejestrowanie połączeń TCP:
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
Zastosowanie tej zmiany może potrwać kilka minut. Po zarejestrowaniu funkcji rozważ przeprowadzenie aktualizacji w usłudze Azure Firewall, aby zmiana została wpisana natychmiast.
Sprawdzanie stanu rejestracji
Aby sprawdzić stan rejestracji azResourceProvider, uruchom następujące polecenie programu Azure PowerShell:
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
Wyłączanie dzienników śledzenia przepływu
Aby wyłączyć dziennik, użyj następujących poleceń programu Azure PowerShell:
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableTcpConnectionLogging = $false
Set-AzFirewall -AzureFirewall $firewall
Aby utworzyć ustawienie diagnostyczne i włączyć tabelę specyficzną dla zasobów, zobacz Tworzenie ustawień diagnostycznych w usłudze Azure Monitor.
Tabele dzienników usługi Azure Monitor
W tej sekcji wymieniono tabele dzienników usługi Azure Monitor dotyczące tej usługi, które są dostępne do wykonywania zapytań przez usługę Log Analytics przy użyciu zapytań Kusto. Tabele zawierają dane dziennika zasobów i prawdopodobnie więcej w zależności od tego, co jest zbierane i kierowane do nich.
Azure Firewall Microsoft.Network/azureFirewalls
- AZFWNetworkRule
- AZFWFatFlow
- AZFWFlowTrace
- AZFWApplicationRule
- AZFWThreatIntel
- AZFWNatRule
- AZFWIdpsSignature
- AZFWDnsQuery
- AZFWInternalFqdnResolutionFailure
- AZFWNetworkRuleAggregation
- AZFWApplicationRuleAggregation
- AZFWNatRuleAggregation
- AzureActivity
- AzureMetrics
- AzureDiagnostics
Dziennik aktywności
Tabela połączona zawiera listę operacji, które można zarejestrować w dzienniku aktywności dla tej usługi. Te operacje są podzbiorem wszystkich możliwych operacji dostawcy zasobów w dzienniku aktywności.
Aby uzyskać więcej informacji na temat schematu wpisów dziennika aktywności, zobacz Schemat dziennika aktywności.
Treści powiązane
- Aby uzyskać opis monitorowania usługi Azure Firewall, zobacz Monitorowanie usługi Azure Firewall .
- Zobacz Śledzenie zmian zestawu reguł , aby uzyskać szczegółowe zapytania usługi Azure Resource Graph, aby śledzić modyfikacje reguł zapory.
- Aby uzyskać szczegółowe informacje na temat monitorowania zasobów platformy Azure, zobacz Monitorowanie zasobów platformy Azure za pomocą usługi Azure Monitor .