Referenční informace k datům monitorování služby Azure Firewall
Tento článek obsahuje všechny referenční informace o monitorování pro tuto službu.
Metriky
V této části jsou uvedeny všechny automaticky shromážděné metriky platformy pro tuto službu. Tyto metriky jsou také součástí globálního seznamu všech metrik platformy podporovaných ve službě Azure Monitor.
Informace o uchovávání metrik najdete v přehledu metrik služby Azure Monitor.
Podporované metriky pro Microsoft.Network/azureFirewalls
Následující tabulka uvádí metriky dostupné pro typ prostředku Microsoft.Network/azureFirewalls.
- Všechny sloupce nemusí být v každé tabulce.
- Některé sloupce můžou být mimo oblast zobrazení stránky. Výběrem možnosti Rozbalit tabulku zobrazíte všechny dostupné sloupce.
Záhlaví tabulky
- Kategorie – skupina metrik nebo klasifikace.
- Metrika – zobrazovaný název metriky, jak se zobrazuje na webu Azure Portal.
- Název v rozhraní REST API – název metriky, který se označuje v rozhraní REST API.
- Jednotka – měrná jednotka .
- Agregace – výchozí typ agregace . Platné hodnoty: Průměr (Průměr), Minimum (Minimum), Maximum (Maximum), Celkem (Součet), Počet.
- - Dimenze dostupné pro metriku
- Intervaly časových zrn - , ve kterých se metrika vzorkuje. Například označuje,
PT1Mže se metrika vzorkuje každou minutu,PT30Mkaždých 30 minut,PT1Hkaždou hodinu atd. - DS Export – určuje, jestli je metrika exportovatelná do protokolů služby Azure Monitor prostřednictvím nastavení diagnostiky. Informace o exportu metrik najdete v tématu Vytvoření nastavení diagnostiky ve službě Azure Monitor.
| Metrika | Název v rozhraní REST API | Unit | Agregace | Dimenze | Časová zrnka | DS Export |
|---|---|---|---|---|---|---|
| Počet přístupů pravidel aplikace Kolikrát došlo k dosažení pravidel aplikace |
ApplicationRuleHit |
Počet | Celkem (součet) | Status, , ReasonProtocol |
PT1M | Ano |
| Zpracovávaná data Celkový objem dat zpracovaných touto bránou firewall |
DataProcessed |
Přijaté | Celkem (součet) | <žádné> | PT1M | Ano |
| Stav brány firewall Označuje celkový stav této brány firewall. |
FirewallHealth |
Procenta | Průměr | Status, Reason |
PT1M | Ano |
| Sonda latence Odhad průměrné latence brány firewall měřené sondou latence |
FirewallLatencyPng |
Milisekundy | Průměr | <žádné> | PT1M | Ano |
| Počet přístupů pravidel sítě Kolikrát došlo k dosažení pravidel sítě |
NetworkRuleHit |
Počet | Celkem (součet) | Status, , ReasonProtocol |
PT1M | Ano |
| Využití portů SNAT Procento aktuálně používaných odchozích portů SNAT |
SNATPortUtilization |
Procenta | Průměr, Maximum | Protocol |
PT1M | Ano |
| Propustnost Propustnost zpracovávaná touto bránou firewall |
Throughput |
BitsPerSecond | Průměr | <žádné> | PT1M | No |
Stav brány firewall
V předchozí tabulce má metrika stavu brány firewall dvě dimenze:
- Stav: Možné hodnoty jsou V pořádku, Snížený výkon, Není v pořádku.
- Důvod: Uvádí důvod příslušného stavu brány firewall.
Pokud se porty SNAT používají více než 95 %, považují se za vyčerpání a stav je 50 % se stavem =Degraded a reason=SNAT port. Brána firewall udržuje zpracování provozu a stávající připojení nejsou ovlivněná. Nová připojení se ale nemusí navazovat přerušovaně.
Pokud je využití portů SNAT nižší než 95 %, předpokládá se, že je brána firewall v pořádku, a zobrazí se 100% stav.
Pokud se nehlásí žádné využití portů SNAT, zobrazí se 0% stav.
Využití portů SNAT
Pro metriku využití portů SNAT při přidávání dalších veřejných IP adres do brány firewall je k dispozici více portů SNAT, což snižuje využití portů SNAT. Navíc, když se brána firewall škáluje z různých důvodů (například z procesoru nebo propustnosti), bude k dispozici také více portů SNAT.
Dané procento využití portů SNAT se může efektivně snížit, aniž byste museli přidávat jakékoli veřejné IP adresy, jenom proto, že služba škálovala kapacitu. Počet veřejných IP adres, které jsou k dispozici, můžete přímo řídit, abyste zvýšili dostupné porty ve vaší bráně firewall. Nemůžete ale přímo řídit škálování brány firewall.
Pokud u brány firewall dochází k vyčerpání portů SNAT, měli byste přidat aspoň pět veřejných IP adres. Tím se zvýší počet dostupných portů SNAT. Další informace najdete v tématu Funkce služby Azure Firewall.
Sonda latence AZFW
Metrika sondy latence AZFW měří celkovou nebo průměrnou latenci služby Azure Firewall v milisekundách. Správci můžou tuto metriku použít pro následující účely:
- Diagnostika, jestli je příčinou latence sítě Azure Firewall
- Monitorování a upozorňování, pokud dojde k problémům s latencí nebo výkonem, aby se it týmy mohly aktivně zapojit.
- Může to být z různých důvodů, které můžou způsobit vysokou latenci ve službě Azure Firewall. Například vysoké využití procesoru, vysoká propustnost nebo možný problém se sítí.
Co měří metrika sondy latence AZFW (a ne):
- Co měří: Latence služby Azure Firewall v rámci platformy Azure
- Neměří se: Metrika nezachytává celkovou latenci pro celou síťovou cestu. Místo toho odráží výkon v rámci brány firewall místo toho, kolik latence azure Firewall do sítě zavádí.
- Hlášení chyb: Pokud metrika latence nefunguje správně, na řídicím panelu metrik hlásí hodnotu 0, což značí selhání nebo přerušení sondy.
Faktory, které ovlivňují latenci:
- Vysoké využití procesoru
- Vysoká propustnost nebo zatížení provozu
- Problémy se sítěmi v rámci platformy Azure
Sondy latence: Od PROTOKOLU ICMP po TCP Sonda latence v současné době používá technologii Ping Mesh od Microsoftu, která je založená na protokolu ICMP (Internet Control Message Protocol). PROTOKOL ICMP je vhodný pro rychlé kontroly stavu, jako jsou požadavky ping, ale nemusí přesně představovat provoz aplikací z reálného světa, který obvykle relisuje protokol TCP. Sondy ICMP ale upřednostňují různou prioritu napříč platformou Azure, což může vést k variaci napříč skladovými jednotkami. Aby se tyto nesrovnalosti snížily, Azure Firewall plánuje přechod na sondy založené na protokolu TCP.
- Špičky latence: Při sondách PROTOKOLU ICMP jsou občasné špičky normální a jsou součástí standardního chování hostitelské sítě. Ty by neměly být nesprávně interpretovány jako problémy s bránou firewall, pokud nejsou trvalé.
- Průměrná latence: V průměru se očekává, že latence služby Azure Firewall bude v závislosti na velikosti skladové položky brány firewall a velikosti nasazení v rozsahu od 1 ms do 10 ms.
Osvědčené postupy pro monitorování latence
Nastavení směrného plánu: Nastavte směrný plán latence za světelných dopravních podmínek pro přesné porovnání během normálního nebo špičkového využití.
Monitorování vzorů: V rámci normálních operací můžete očekávat občasné špičky latence. Pokud vysoká latence přetrvává nad rámec těchto normálních variací, může to znamenat hlubší problém vyžadující šetření.
Doporučená prahová hodnota latence: Doporučeným vodítkem je, že latence by neměla překročit 3x směrný plán. Pokud se tato prahová hodnota překročí, doporučujeme provést další šetření.
Zkontrolujte limit pravidel: Ujistěte se, že jsou pravidla sítě v limitu 20 tisíc pravidel. Překročení tohoto limitu může ovlivnit výkon.
Onboarding nové aplikace: Zkontrolujte všechny nově nasazené aplikace, které by mohly přidávat značné zatížení nebo způsobovat problémy s latencí.
Žádost o podporu: Pokud sledujete průběžné degrování latence, které neodpovídá očekávanému chování, zvažte vytvoření lístku podpory a požádejte o další pomoc.
Rozměry metrik
Informace o rozměrech metrik najdete v tématu Vícerozměrné metriky.
Tato služba má přidružené následující dimenze ke svým metrikám.
- Protokol
- Důvod
- Stav
Protokoly prostředků
Tato část obsahuje seznam typů protokolů prostředků, které můžete pro tuto službu shromažďovat. Oddíl načítá ze seznamu všech typů protokolů prostředků podporovaných ve službě Azure Monitor.
Podporované protokoly prostředků pro Microsoft.Network/azureFirewalls
| Kategorie | Zobrazovaný název kategorie | Tabulka protokolů | Podporuje základní plán protokolu. | Podporuje transformaci v čase příjmu dat. | Vzorové dotazy | Náklady na export |
|---|---|---|---|---|---|---|
AZFWApplicationRule |
Pravidlo aplikace služby Azure Firewall | AzureDiagnostics Protokoly z několika prostředků Azure. |
No | Ne | Dotazy | Ano |
AZFWApplicationRuleAggregation |
Agregace pravidel sítě služby Azure Firewall (Policy Analytics) | AzureDiagnostics Protokoly z několika prostředků Azure. |
No | Ne | Dotazy | Ano |
AZFWDnsQuery |
Dotaz DNS služby Azure Firewall | AzureDiagnostics Protokoly z několika prostředků Azure. |
No | Ne | Dotazy | Ano |
AZFWFatFlow |
Protokol toku fatu služby Azure Firewall | AzureDiagnostics Protokoly z několika prostředků Azure. |
No | Ne | Dotazy | Ano |
AZFWFlowTrace |
Protokol trasování toku služby Azure Firewall | AzureDiagnostics Protokoly z několika prostředků Azure. |
No | Ne | Dotazy | Ano |
AZFWFqdnResolveFailure |
Selhání řešení plně kvalifikovaného názvu domény služby Azure Firewall | AzureDiagnostics Protokoly z několika prostředků Azure. |
No | Ne | Dotazy | Ano |
AZFWIdpsSignature |
Podpis IDPS služby Azure Firewall | AzureDiagnostics Protokoly z několika prostředků Azure. |
No | Ne | Dotazy | Ano |
AZFWNatRule |
Pravidlo nat služby Azure Firewall | AzureDiagnostics Protokoly z několika prostředků Azure. |
No | Ne | Dotazy | Ano |
AZFWNatRuleAggregation |
Agregace pravidla nat služby Azure Firewall (Policy Analytics) | AzureDiagnostics Protokoly z několika prostředků Azure. |
No | Ne | Dotazy | Ano |
AZFWNetworkRule |
Pravidlo sítě brány Azure Firewall | AzureDiagnostics Protokoly z několika prostředků Azure. |
No | Ne | Dotazy | Ano |
AZFWNetworkRuleAggregation |
Agregace pravidel aplikace služby Azure Firewall (Policy Analytics) | AzureDiagnostics Protokoly z několika prostředků Azure. |
No | Ne | Dotazy | Ano |
AZFWThreatIntel |
Analýza hrozeb služby Azure Firewall | AzureDiagnostics Protokoly z několika prostředků Azure. |
No | Ne | Dotazy | Ano |
AzureFirewallApplicationRule |
Pravidlo aplikace služby Azure Firewall (starší verze diagnostiky Azure) | AzureDiagnostics Protokoly z několika prostředků Azure. |
No | Ne | Dotazy | No |
AzureFirewallDnsProxy |
Proxy DNS služby Azure Firewall (starší verze diagnostiky Azure) | AzureDiagnostics Protokoly z několika prostředků Azure. |
No | Ne | Dotazy | No |
AzureFirewallNetworkRule |
Pravidlo sítě služby Azure Firewall (starší verze diagnostiky Azure) | AzureDiagnostics Protokoly z několika prostředků Azure. |
No | Ne | Dotazy | No |
Azure Firewall obsahuje dva nové diagnostické protokoly, které vám můžou pomoct monitorovat bránu firewall, ale tyto protokoly v současné době nezobrazují podrobnosti o pravidlech aplikace.
- Hlavní toky
- Trasování toku
Hlavní toky
Protokol hlavních toků se v odvětví označuje jako protokol toku tuku a v předchozí tabulce jako protokol toku fatu služby Azure Firewall. Protokol horních toků zobrazuje nejlepší připojení, která přispívají k nejvyšší propustnosti přes bránu firewall.
Tip
Aktivujte protokoly hlavních toků jenom při řešení konkrétního problému, abyste se vyhnuli nadměrnému využití procesoru služby Azure Firewall.
Rychlost toku je definována jako rychlost přenosu dat v megabitech za sekundu. Je to míra množství digitálních dat, která se dají přenášet přes síť v určitém časovém období přes bránu firewall. Protokol Top Flow se pravidelně spouští každé tři minuty. Minimální prahová hodnota, která se má považovat za top flow, je 1 Mb/s.
Pomocí následujících příkazů Azure PowerShellu povolte protokol top toků:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall
Pokud chcete protokoly zakázat, použijte stejný předchozí příkaz Azure PowerShellu a nastavte hodnotu Na False.
Příklad:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall
Existuje několik způsobů, jak ověřit, jestli aktualizace proběhla úspěšně, ale můžete přejít na přehled brány firewall a vybrat zobrazení JSON v pravém horním rohu. Tady je příklad:
Pokud chcete vytvořit nastavení diagnostiky a povolit tabulku specifickou pro prostředky, přečtěte si téma Vytvoření nastavení diagnostiky ve službě Azure Monitor.
Trasování toku
Protokoly brány firewall zobrazují provoz přes bránu firewall při prvním pokusu o připojení TCP, kterému se říká paket SYN . Taková položka ale nezobrazuje úplnou cestu paketu v protokolu TCP handshake. V důsledku toho je obtížné řešit potíže s vyřazením paketu nebo asymetrickým směrováním. Tento problém řeší protokol trasování toku služby Azure Firewall.
Tip
Pokud se chcete vyhnout nadměrnému využití disku způsobeným protokoly trasování toku ve službě Azure Firewall s mnoha krátkodobými připojeními, aktivujte protokoly pouze při řešení konkrétního problému pro účely diagnostiky.
Můžete přidat následující vlastnosti:
SYN-ACK: Příznak ACK, který označuje potvrzení paketu SYN.
FIN: Dokončený příznak původního toku paketu. V toku PROTOKOLU TCP se nepřenesou žádná další data.
FIN-ACK: Příznak ACK, který označuje potvrzení paketu FIN.
RST: Příznak Resetovat označuje, že původní odesílatel neobdrží další data.
NEPLATNÉ (toky): Označuje, že paket nelze identifikovat nebo nemá žádný stav.
Příklad:
- Paket TCP se přistane na instanci škálovací sady virtuálních počítačů, která nemá pro tento paket žádnou předchozí historii.
- Chybné pakety CheckSum
- Položka tabulky Sledování připojení je plná a nová připojení nelze přijmout.
- Zpožděné pakety ACK
Pomocí následujících příkazů Azure PowerShellu nebo na portálu povolte protokol trasování toku a vyhledejte povolení protokolování připojení TCP:
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
Může trvat několik minut, než se tato změna projeví. Po registraci funkce zvažte provedení aktualizace ve službě Azure Firewall, aby se změna projevila okamžitě.
Pokud chcete zkontrolovat stav registrace AzResourceProvider, můžete spustit příkaz Azure PowerShellu:
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
Pokud chcete protokol zakázat, můžete ho zrušit jeho registraci pomocí následujícího příkazu nebo vybrat zrušení registrace v předchozím příkladu portálu.
Unregister-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Pokud chcete vytvořit nastavení diagnostiky a povolit tabulku specifickou pro prostředky, přečtěte si téma Vytvoření nastavení diagnostiky ve službě Azure Monitor.
Tabulky protokolů služby Azure Monitor
Tato část uvádí tabulky protokolů služby Azure Monitor relevantní pro tuto službu, které jsou k dispozici pro dotazování službou Log Analytics pomocí dotazů Kusto. Tabulky obsahují data protokolu prostředků a případně i více v závislosti na tom, co se na nich shromažďuje a směruje.
Azure Firewall Microsoft.Network/azureFirewalls
- AzFWNetworkRule
- AZFWFatFlow
- AZFWFlowTrace
- AzFWApplicationRule
- AZFWThreatIntel
- AZFWNatRule
- AZFWIdpsSignature
- AZFWDnsQuery
- AZFWInternalFqdnResolutionFailure
- AZFWNetworkRuleAggregation
- AZFWApplicationRuleAggregation
- AZFWNatRuleAggregation
- AzureActivity
- AzureMetrics
- AzureDiagnostics
Protokol aktivit
Propojená tabulka uvádí operace, které lze zaznamenat v protokolu aktivit pro tuto službu. Tyto operace jsou podmnožinou všech možných operací poskytovatele prostředků v protokolu aktivit.
Další informace o schématu položek protokolu aktivit naleznete v tématu Schéma protokolu aktivit.
Související obsah
- Popis monitorování služby Azure Firewall najdete v tématu Monitorování služby Azure Firewall .
- Podrobnosti o monitorování prostředků Azure najdete v tématu Monitorování prostředků Azure pomocí služby Azure Monitor .