通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure 防火墙工作簿

Azure 防火墙工作簿为 Azure 防火墙数据分析提供了灵活的画布。 可以使用它在 Azure 门户中创建丰富的视觉报表。 可以访问跨 Azure 部署的多个防火墙,并将其合并为统一的互动体验。

可以深入了解 Azure 防火墙事件、了解应用程序和网络规则,以及跨 URL、端口和地址查看防火墙活动的统计信息。 使用 Azure 防火墙工作簿可以筛选防火墙和资源组,并在调查日志中的问题时动态筛选每个类别,并轻松读取数据集。

先决条件

在开始之前,请通过 Azure 门户启用 Azure 结构化防火墙日志

重要

以下所有部分仅适用于防火墙结构化日志。

若要使用旧日志,可以使用 Azure 门户启用 诊断日志记录 。 然后转到 Azure 防火墙的 GitHub 工作簿 ,并按照页面上的说明进行作。

此外,请阅读 Azure 防火墙日志和指标 ,大致了解可用于 Azure 防火墙的诊断日志和指标。

开始

设置防火墙结构化日志后,即可使用以下步骤使用 Azure 防火墙嵌入式工作簿:

  1. 在门户中,导航到 Azure 防火墙资源。

  2. 监视下,选择工作簿

  3. 在画廊中,可以创建新工作簿或使用现有的 Azure 防火墙工作簿,如下所示:

    显示防火墙工作簿库的屏幕截图。

  4. 选择 Log Analytics 工作区以及想要在此工作簿中使用的一个或多个防火墙名称,如下所示:

    显示结构化日志的屏幕截图。

工作簿部分

Azure 防火墙工作簿有七个选项卡,每个选项卡都涉及服务的不同方面。 以下各节介绍每个选项卡。

概述

“概述”选项卡展示了与从各种日志记录类别聚合的所有类型的防火墙事件相关的图形和统计信息。 这包括网络规则、应用程序规则、DNS、入侵检测和防护系统(IDPS)、威胁情报等。 “概述”选项卡中的可用小组件包括:

  • 事件,按时间:显示一段时间内的事件频率。
  • 事件,按防火墙随时间推移分布:显示事件在一段时间内跨防火墙的分布情况。
  • 事件,按类别:分类和计数事件。
  • 事件类别,按时间:显示随时间推移的事件类别。
  • 防火墙流量的平均吞吐量:显示通过防火墙传递的平均数据。
  • SNAT 端口利用率:显示 SNAT 端口的使用情况。
  • 网络规则命中次数 (SUM):对网络规则触发计数
  • 应用规则命中计数(SUM):统计应用规则的触发次数。

Azure 防火墙工作簿概述

应用程序规则

“应用程序规则”选项卡显示与 Azure 防火墙策略中特定应用程序规则相关的第 7 层相关事件统计信息。 在应用规则选项卡中提供以下控件:

  • 应用程序规则用法:显示应用程序规则的使用情况。
  • 一段时间内被拒绝的 FQDN:显示一段时间内被拒绝的完全限定的域名 (FQDN)
  • 被拒绝的 FQDN 数(按计数列出):对被拒绝的 FQDN 进行计数
  • 随时间推移允许的 FQDN:显示一段时间内允许的 FQDN
  • 允许的 FQDN 数(按计数列出):对允许的 FQDN 进行计数
  • 允许的 Web 类别随时间变化:显示随着时间推移允许的 Web 类别。
  • 允许的 Web 类别数(按计数列出):对允许的 Web 类别进行计数
  • 被拒绝的 Web 类别随时间变化:显示随时间变化的被拒绝 Web 类别。
  • 被拒绝的 Web 类别计数:统计被拒绝的 Web 类别数量。

显示应用程序规则选项卡的屏幕截图。

网络规则

“网络规则”选项卡显示与 Azure 防火墙策略中特定网络规则相关的第 4 层相关事件统计信息。 在“网络规则”选项卡中可以使用以下控件:

  • 规则动作:显示由规则执行的动作。
  • 目标端口:显示网络流量中的目标端口。
  • DNAT动作:显示目标网络地址转换(DNAT)的动作。
  • GeoLocation:显示网络流量中涉及的地理位置。
  • 规则操作,按 IP 地址:显示按 IP 地址分类的规则操作。
  • 目标端口,按源 IP:显示按源 IP 地址分类的目标端口。
  • 一段时间内的 DNAT:显示一段时间内的 DNAT 操作
  • 地理位置随时间推移:显示一段时间内网络流量中涉及的地理位置。
  • 操作,按时间:显示随时间变化的网络操作。
  • 具有 GeoLocation 的所有 IP 地址事件:显示涉及 IP 地址的所有事件,按地理位置分类。

显示“网络规则”选项卡的屏幕截图。

DNS 代理

如果已将 Azure 防火墙设置为充当 DNS 代理,充当从客户端虚拟机到 DNS 服务器的 DNS 请求的中介,则此选项卡是相关的。 “DNS 代理”选项卡提供了各种可供您使用的控件。

  • DNS 代理流量按每个防火墙计数:显示每个防火墙的 DNS 代理流量计数。
  • 按请求名称对 DNS 代理计数:按请求名称对 DNS 代理请求进行计数。
  • 客户端 IP 的 DNS 代理请求计数:按客户端 IP 地址对 DNS 代理请求进行计数。
  • 客户端 IP 随时间推移的 DNS 代理请求:按客户端 IP 分类显示 DNS 代理请求。
  • DNS 代理信息:提供与 DNS 代理设置相关的日志信息。

显示“DNS 代理”选项卡的屏幕截图。

入侵检测和防护系统 (IDPS)

IDPS 日志统计信息选项卡提供恶意流量事件的摘要以及服务采取的预防措施。 在“IDPS”选项卡中,你将找到各种可以使用的小组件:

  • IDPS 动作计数:计算 IDPS 动作计数。
  • IDPS 协议计数:对 IDPS 检测到的协议进行计数。
  • IDPS SignatureID 计数:按签名 ID 对 IDPS 检测进行计数
  • IDPS SourceIP 计数:按源 IP 地址对 IDPS 检测进行计数。
  • 按计数筛选的IDPS操作:计数筛选的IDPS操作。
  • 按数目筛选的 IDPS 协议:对 IDPS 协议按照数目进行筛选。
  • 筛选的 IDPS SignatureID(按计数列出):按签名 ID 对筛选的 IDPS 检测进行计数
  • 被筛选的源IP:显示 IDPS 检测到的被筛选源IP。
  • Azure 防火墙 IDPS 计数随时间推移:显示一段时间内的 Azure 防火墙 IDPS 计数。
  • 使用 GeoLocation 的 Azure 防火墙 IDPS 日志:提供按地理位置分类的 Azure 防火墙 IDPS 日志。

显示 IDPS 选项卡的屏幕截图。

威胁情报 (TI)

此选项卡提供关于威胁情报活动的全面视角,重点突出最普遍的威胁、行动和协议。 它划分了前五个完全限定的域名 (FQDN) 和与这些威胁关联的 IP 地址,并展示随时间推移的威胁情报检测。 此外,还提供了 Azure 防火墙威胁情报的详细日志,用于全面分析。 在“威胁情报”标签页中,你会发现可以使用的各种部件:

  • 威胁情报动作计数:统计由威胁情报检测到的动作。
  • 威胁情报协议计数:统计由威胁情报识别的协议。
  • 前 5 个 FQDN 统计:显示出现次数最多的前五个完全限定域名(FQDN)。
  • 前 5 个 IP 计数:显示前五个最常见的 IP 地址。
  • 一段时间内的 Azure 防火墙威胁:显示一段时间内的 Azure 防火墙威胁情报检测结果
  • Azure 防火墙威胁情报:提供来自 Azure 防火墙威胁情报的日志。

显示威胁情报选项卡的屏幕截图。

调查

调查部分支持浏览和故障排除,提供其他详细信息,例如与启动或终止流量关联的虚拟机名称和网络接口名称。 它还在源 IP 地址、其尝试访问的完全限定域名(FQDN)以及流量的地理位置视图之间建立关联。 “调查”选项卡中提供的小组件:

  • FQDN 流量(按计数列出):按完全限定的域名 (FQDN) 对流量进行计数
  • 源 IP 地址计数:对源 IP 地址的出现次数进行计数。
  • 源 IP 地址资源查找:查找与源 IP 地址关联的资源。
  • FQDN 查找日志:提供来自 FQDN 查找的日志。
  • 具有地理位置的 Azure 防火墙高级版 – IDPS:显示 Azure 防火墙的入侵检测和防护系统 (IDPS) - 检测,按地理位置分类。

显示调查选项卡的屏幕截图。

后续步骤

  • Last updated on