Azure Monitor エージェントを使用してファイアウォール ログを収集する
Windows ファイアウォールは、インターネットからシステムに送信される情報をフィルター処理し、有害な可能性のあるプログラムをブロックする Microsoft Windows アプリケーションです。 Windows ファイアウォールのログは、クライアントとサーバーの両方のオペレーティング システムで生成されます。 これらのログは、破棄されたパケットや正常な接続など、ネットワーク トラフィックに関する貴重な情報を提供します。 Windows ファイアウォール ログ ファイルの解析を実行するには、Windows イベント転送 (WEF) などの方法を使用するか、Azure Sentinel などの SIEM 製品にログを転送します。 これをオンまたはオフにするには、Windows システムの次の手順に従います。
- [スタート] を選択し、[設定] を開きます。
- [更新とセキュリティ] で、[Windows セキュリティ]、[ファイアウォールとネットワーク保護] を選択します。
- ネットワーク プロファイル (ドメイン、プライベート、またはパブリック) を選択します。
- [Microsoft Defender ファイアウォール] で、設定を [オン] または [オフ] に切り替えます。
前提条件
この手順を完了するには、以下が必要です。
- 少なくとも共同作成者権限がある Log Analytics ワークスペース。
- データ収集エンドポイント。
- ワークスペースにデータ収集ルール オブジェクトを作成するためのアクセス許可。
- ファイアウォールを実行している仮想マシン、仮想マシン スケール セット、または Arc 対応オンプレミス マシン。
ファイアウォール テーブルを Log Analytics ワークスペースに追加する
LAW で既定で作成される他のテーブルとは異なり、Windows ファイアウォール テーブルは手動で作成する必要があります。 Security and Audit ソリューションを検索し、それを作成します。 以下のスクリーンショットをご覧ください。 テーブルが存在しない場合は、DCR デプロイ エラーが表示され、テーブルが LAW に存在しないことを示します。 作成されるファイアウォール テーブルのスキーマは、Windows ファイアウォール スキーマにあります
ファイアウォール ログを収集するデータ収集ルールを作成する
データ収集ルールでは、次を定義します。
- Azure Monitor エージェントが新しいイベントをスキャンするソース ログ ファイル。
- インジェスト中に Azure Monitor がイベントを変換する方法。
- Azure Monitor がデータを送信する宛先 Log Analytics ワークスペースとテーブル。
データ収集ルールを定義して、複数のマシンから 1 つの Log Analytics ワークスペース (異なるリージョンまたはテナントのワークスペースを含む) にデータを送信できます。 Analytics ワークスペースと "同じリージョン" にデータ収集ルールを作成します。
注意
テナント間でデータを送信するには、まず Azure Lighthouse を有効にする必要があります。
Azure portal でデータ収集ルールを作成するには、次を行います。
[モニター] メニューで、[データ収集ルール] を選択します。
[作成] を選択して、新しいデータ収集ルールと関連付けを作成します。
[ルール名] を入力し、[サブスクリプション]、[リソース グループ]、[リージョン]、および [プラットフォームの種類] を指定します。
- [リージョン] により、DCR が作成される場所を指定します。 仮想マシンとそれらの関連付けは、テナント内の任意のサブスクリプションまたはリソース グループに配置できます。
- [プラットフォームの種類] により、このルールを適用できるリソースの種類を指定します。 [カスタム] オプションにより、Windows と Linux の両方の種類が許可されます。 -データ 収集エンドポイント 以前に作成したデータ収集エンドポイントを選択します。
[リソース] タブで [+ リソースの追加] を選択し、データ収集ルールにリソースを関連付けます。 リソースは、Virtual Machines、Virtual Machine Scale Sets、Azure Arc for servers のいずれかです。 Azure portal は、まだインストールされていないリソースに Azure Monitor エージェントをインストールします。
重要
ポータルは、既存のユーザー割り当て ID と共に、ターゲット リソースでシステム割り当てマネージド ID を有効にします (該当する場合)。 既存のアプリケーションでは、ユーザー割り当て ID を要求で指定しない限り、マシンでは既定でシステム割り当て ID が代わりに使用されます。 プライベート リンクを使用したネットワークの分離が必要な場合は、それぞれのリソースに対して同じリージョンから既存のエンドポイントを選択するか、新しいエンドポイントを作成します。
[収集と配信] タブで、[データ ソースの追加] を選択して、データ ソースを追加し、送信先を設定します。
[ファイアウォール ログ] を選択します。
[送信先] タブで、データ ソースの送信先を追加します。
[確認と作成] を選択して、データ収集ルールの詳細と、一連の仮想マシンとの関連付けを確認します。
[作成] を選択してデータ収集ルールを作成します。
Note
データ収集ルールを作成した後、データが送信先に送信されるまでに最大で 5 分かかることがあります。
サンプル ログ クエリ
ホスト www.contoso.com の URL 別のファイアウォール ログ エントリの数。
WindowsFirewall
| take 10
トラブルシューティング
ファイアウォール ログ収集のトラブルシューティングを行うには、次の手順を使用します。
Azure Monitor エージェントのトラブルシューティング ツールを実行する
構成をテストし、Microsoft とログを共有するには、Azure Monitor エージェントのトラブルシューティング ツールを使用します。
ファイアウォール ログが受信されているかどうかを確認する
まず、Log Analytics で次のクエリを実行して、ファイアウォール ログのレコードが収集されているかどうかを確認します。 クエリでレコードが返されない場合は、他のセクションで考えられる原因を確認してください。 このクエリは過去 2 日間のエントリを検索しますが、別の時間範囲に変更できます。
WindowsFirewall
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
ファイアウォール ログが作成されていることを確認する
ログ ファイルのタイムスタンプを確認し、最新のものを開いて、ログ ファイルに最新のタイムスタンプが存在することを確認します。 ファイアウォール ログ ファイルの既定の場所は C:\windows\system32\logfiles\firewall\pfirewall.log です。
ログを有効にするには、次の手順に従います。
- gpedit {follow the picture}
- netsh advfirewall>set allprofiles logging allowedconnections enable
- netsh advfirewall>set allprofiles logging droppedconnections enable
次のステップ
各項目の詳細情報