Delen via

Firewalllogboeken verzamelen met Azure Monitor-agent

  • Artikel

Windows Firewall is een Microsoft Windows-toepassing die informatie filtert die afkomstig is van internet naar uw systeem en mogelijk schadelijke programma's blokkeert. Windows Firewall-logboeken worden gegenereerd op zowel client- als serverbesturingssystemen. Deze logboeken bieden waardevolle informatie over netwerkverkeer, waaronder verwijderde pakketten en geslaagde verbindingen. Het parseren van Windows Firewall-logboekbestanden kan worden uitgevoerd met behulp van methoden zoals Windows Event Forwarding (WEF) of het doorsturen van logboeken naar een SIEM-product, zoals Azure Sentinel. U kunt het in- of uitschakelen door deze stappen uit te voeren op elk Windows-systeem:

  1. Selecteer Start en open Instellingen.
  2. Selecteer onder Update & Security Windows-beveiliging, Firewall en netwerkbeveiliging.
  3. Selecteer een netwerkprofiel: domein, privé of openbaar.
  4. Schakel onder Microsoft Defender Firewall de instelling in of uit.

Vereisten

U hebt het volgende nodig om deze procedure te voltooien:

Firewall-tabel aan Log Analytics-werkruimte toevoegen

In tegenstelling tot andere tabellen die standaard in LAW worden gemaakt, moet de Windows Firewall-tabel handmatig worden gemaakt. Zoek de oplossing Beveiliging en controle en maak deze. Zie de onderstaande schermafbeelding. Als de tabel niet aanwezig is, krijgt u een DCR-implementatiefout met de mededeling dat de tabel niet aanwezig is in LAW. Het schema voor de firewalltabel die wordt gemaakt, bevindt zich hier: Windows Firewall-schema

Schermopname van het toevoegen van de beveiligings- en controleoplossing.

Een regel voor gegevensverzameling maken om firewalllogboeken te verzamelen

De regel voor gegevensverzameling definieert:

  • Welke bronlogboekbestanden azure Monitor Agent scant op nieuwe gebeurtenissen.
  • Hoe Azure Monitor gebeurtenissen transformeert tijdens opname.
  • De log analytics-doelwerkruimte en -tabel waarnaar Azure Monitor de gegevens verzendt.

U kunt een regel voor gegevensverzameling definiëren om gegevens van meerdere computers naar een Log Analytics-werkruimte te verzenden, inclusief werkruimten in een andere regio of tenant. Maak de regel voor gegevensverzameling in dezelfde regio als uw Analytics-werkruimte.

Notitie

Als u gegevens wilt verzenden tussen tenants, moet u eerst Azure Lighthouse inschakelen.

De regel voor gegevensverzameling maken in Azure Portal:

  1. Selecteer gegevensverzamelingsregels in het menu Bewaken.

  2. Selecteer Maken om een nieuwe regel en koppelingen voor gegevensverzameling te maken.

    Schermopname van de knop Maken op het scherm Regels voor gegevensverzameling.

  3. Voer een regelnaam in en geef een abonnement, resourcegroep, regio en platformtype op:

    • Regio geeft aan waar de DCR wordt gemaakt. De virtuele machines en de bijbehorende koppelingen kunnen zich in elk abonnement of elke resourcegroep in de tenant bevinden.
    • Platformtype geeft het type resources op waarop deze regel kan worden toegepast. Met de optie Aangepast kunt u zowel Windows- als Linux-typen gebruiken. -Eindpunt voor gegevensverzameling selecteer een eerder gemaakt eindpunt voor gegevensverzameling.

    Schermopname van het tabblad Basisbeginselen van het scherm Regel voor gegevensverzameling.

  4. Op het tabblad Resources : Selecteer + Resources toevoegen en koppel resources aan de regel voor gegevensverzameling. Resources kunnen virtuele machines, virtuele-machineschaalsets en Azure Arc voor servers zijn. Azure Portal installeert Azure Monitor Agent op resources waarop deze nog niet is geïnstalleerd.

Belangrijk

De portal maakt door het systeem toegewezen beheerde identiteit mogelijk voor de doelbronnen, samen met bestaande door de gebruiker toegewezen identiteiten, indien aanwezig. Voor bestaande toepassingen, tenzij u de door de gebruiker toegewezen identiteit in de aanvraag opgeeft, wordt de computer standaard ingesteld op het gebruik van door het systeem toegewezen identiteit. Als u netwerkisolatie met behulp van privékoppelingen nodig hebt, selecteert u bestaande eindpunten uit dezelfde regio voor de respectieve resources of maakt u een nieuw eindpunt.

  1. Selecteer op het tabblad Verzamelen en leveren de optie Gegevensbron toevoegen om een gegevensbron toe te voegen en een bestemming in te stellen.

  2. Selecteer firewalllogboeken.

    Schermopname van het formulier Azure Portal om firewalllogboeken te selecteren in een regel voor gegevensverzameling.

  3. Voeg op het tabblad Bestemming een bestemming toe voor de gegevensbron.

    Schermopname van het formulier Azure Portal om een gegevensbron toe te voegen in een regel voor gegevensverzameling.

  4. Selecteer Beoordelen en maken om de details van de regel voor gegevensverzameling en de koppeling met de set virtuele machines te bekijken.

  5. Selecteer Maken om de regel voor gegevensverzameling te maken.

Notitie

Het kan tot vijf minuten duren voordat gegevens naar de bestemmingen worden verzonden nadat u de regel voor het verzamelen van gegevens hebt gemaakt.

Voorbeeld van logboekquery's

Tel de vermeldingen in het firewalllogboek per URL voor de host www.contoso.com.

WindowsFirewall 
| take 10

Schermopname van de resultaten van een firewalllogboekquery.

Problemen oplossen

Gebruik de volgende stappen om problemen met de verzameling firewalllogboeken op te lossen.

Probleemoplosser voor Azure Monitor-agent uitvoeren

Gebruik de probleemoplosser voor de Azure Monitor-agent om uw configuratie te testen en logboeken te delen met Microsoft.

Controleren of er firewalllogboeken zijn ontvangen

Controleer eerst of er records zijn verzameld voor uw firewalllogboeken door de volgende query uit te voeren in Log Analytics. Als de query geen records retourneert, controleert u de andere secties op mogelijke oorzaken. Deze query zoekt naar vermeldingen in de afgelopen twee dagen, maar u kunt dit wijzigen voor een ander tijdsbereik.

WindowsFirewall
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc

Controleer of firewalllogboeken worden gemaakt

Bekijk de tijdstempels van de logboekbestanden en open de meest recente tijdstempels om te zien dat de laatste tijdstempels aanwezig zijn in de logboekbestanden. De standaardlocatie voor firewalllogboekbestanden is C:\windows\system32\logfiles\firewall\pfirewall.log.

Schermopname van firewalllogboeken op een lokale schijf.

Volg deze stappen om logboekregistratie in te schakelen.

  1. gpedit {volg de afbeelding}
  2. netsh advfirewall>set allprofiles logging allowedconnections enable
  3. netsh advfirewall>set allprofiles logging droppedconnections enable

Schermopname met alle stappen voor het inschakelen van logboekregistratie.

Volgende stappen

Meer informatie over: