Compartilhar via


Referência de dados de monitoramento do Firewall do Azure

Este artigo contém todas as informações de referência de monitoramento para este serviço.

Consulte Monitorar o Firewall do Azure para obter detalhes sobre os dados que você pode coletar para o Firewall do Azure e como usá-los.

Métricas

Esta seção lista todas as métricas da plataforma coletadas automaticamente para este serviço. Essas métricas também fazem parte da lista global de todas as métricas da plataforma com suporte no Azure Monitor.

Para obter informações sobre retenção de métricas, consulte Visão geral das métricas do Azure Monitor.

Métricas com suporte para Microsoft.Network/azureFirewalls

A tabela a seguir lista as métricas disponíveis para o tipo de recurso Microsoft.Network/azureFirewalls.

  • Nem todas as colunas podem estar presentes em todas as tabelas.
  • Algumas colunas podem estar além da área de visualização da página. Selecione Expandir tabela para exibir todas as colunas disponíveis.

Títulos de tabela

  • Categoria: o grupo ou classificação de métricas.
  • Métrica: o nome de exibição da métrica como aparece no portal do Azure.
  • Nome na API REST: o nome da métrica, conforme mencionado na API REST.
  • Unidade: unidade de medida
  • Agregação: o tipo de agregação padrão. Valores válidos: Médio (Méd.), Mínimo (Mín.), Máximo (Máx.), Total (Soma), Contagem.
  • Dimensões: as Dimensões disponíveis para a métrica.
  • Intervalos de agregação: os Intervalos em que a métrica é amostrada. Por exemplo, PT1M indica que a métrica é amostrada a cada minuto, PT30M a cada 30 minutos, PT1H a cada hora e assim por diante.
  • Exportação de DS: se a métrica é exportável para os Logs do Azure Monitor via configurações de diagnóstico. Para obter mais informações sobre exportação de métricas, consulte as Criar configurações de diagnóstico no Azure Monitor.
Métrica Nome na API REST Unidade Agregação Dimensões Granularidade de tempo Exportação de DS
Contagem de ocorrências das regras do aplicativo

Número de vezes que as regras de aplicativo ocorreram
ApplicationRuleHit Count Total (Soma) Status, Reason, Protocol PT1M Sim
Dados processados

Volume total de dados processados por esse firewall
DataProcessed Bytes Total (Soma) <none> PT1M Sim
Estado de integridade do firewall

Indica a integridade geral deste firewall
FirewallHealth Porcentagem Média Status, Reason PT1M Sim
Sonda de latência

Estimativa da latência média do Firewall, medido pela investigação de latência
FirewallLatencyPng Milissegundos Média <none> PT1M Sim
Contagem de ocorrências das regras de rede

Número de vezes que as regras de rede ocorreram
NetworkRuleHit Count Total (Soma) Status, Reason, Protocol PT1M Sim
Utilização da porta SNAT

Porcentagem de portas SNAT de saída em uso no momento
SNATPortUtilization Porcentagem Média, Máximo Protocol PT1M Sim
Taxa de transferência

Taxa de transferência processada por este firewall
Throughput BitsPerSecond Média <none> PT1M Não

Estado de integridade do firewall

Na tabela anterior, a métrica de estado de integridade do firewall tem duas dimensões:

  • Status: os valores possíveis são Íntegro, Degradado, Não íntegro.
  • Motivo: indica o motivo do status correspondente do firewall.

Se as portas SNAT forem usadas mais de 95%, elas serão consideradas esgotadas e a integridade será de 50% com status=Degraded e reason=SNAT port. O firewall mantém o tráfego de processamento, e as conexões existentes não são afetadas. No entanto, novas conexões podem não ser estabelecidas de forma intermitente.

Se as portas SNAT forem usadas com menos de 95%, o firewall será considerado íntegro, e a integridade será mostrada como 100%.

Se nenhum uso de portas SNAT for relatado, a integridade será mostrada como 0%.

Utilização da porta SNAT

Para a métrica de utilização da porta SNAT, quando você adiciona mais endereços IP públicos ao firewall, mais portas SNAT estão disponíveis, reduzindo a utilização das portas SNAT. Além disso, quando o firewall é dimensionado por diferentes motivos (por exemplo, CPU ou taxa de transferência), mais portas SNAT também ficam disponíveis.

Efetivamente, uma determinada porcentagem de utilização de portas SNAT pode ficar inativa sem que você adicione nenhum endereço IP público, apenas porque o serviço foi escalado horizontalmente. Você pode controlar diretamente o número de endereços IP públicos disponíveis para aumentar as portas disponíveis em seu firewall. No entanto, você não pode controlar diretamente a colocação em escala do firewall.

Se o firewall estiver em execução no esgotamento de porta SNAT, você deverá adicionar pelo menos cinco endereços IP públicos. Isso aumenta o número de portas SNAT disponíveis. Para obter mais informações, confira Recursos do Firewall do Azure.

Sonda de latência AZFW

A métrica de Investigação de Latência do AZFW mede a latência geral ou média do Firewall do Azure em milissegundos. Os administradores podem usar essa métrica para as seguintes finalidades:

  • Diagnosticar se Firewall do Azure é a causa da latência na rede
  • Monitore e alerte se houver problemas de latência ou desempenho, para que as equipes de TI possam se envolver proativamente.
  • Pode haver vários motivos que podem causar alta latência no Firewall do Azure. Por exemplo, alta utilização da CPU, alta taxa de transferência ou um possível problema de rede.

O que a métrica de sonda de latência AZFW mede (e não mede):

  • O que ele mede: a latência do Firewall do Azure na plataforma do Azure
  • O que não mede: a métrica não captura a latência de ponta a ponta para todo o caminho de rede. Em vez disso, ele reflete o desempenho dentro do firewall, em vez de quanta latência o Firewall do Azure introduz na rede.
  • Relatório de erros: se a métrica de latência não estiver funcionando corretamente, ela relatará um valor de 0 no painel de métricas, indicando uma falha ou interrupção da investigação.

Fatores que afetam a latência:

  • Alta utilização da CPU
  • Alta taxa de transferência ou carga de tráfego
  • Problemas de rede na plataforma do Azure

Sondas de latência: de ICMP para TCP A sonda de latência atualmente usa a tecnologia Ping Mesh da Microsoft, que é baseada no ICMP (Internet Control Message Protocol). O ICMP é adequado para verificações rápidas de integridade, como solicitações de ping, mas pode não representar com precisão o tráfego de aplicativos do mundo real, que normalmente se relaciona com o TCP. No entanto, as investigações ICMP priorizam de forma diferente na plataforma do Azure, o que pode resultar em variação entre SKUs. Para reduzir essas discrepâncias, o Firewall do Azure planeja fazer a transição para investigações baseadas em TCP.

  • Picos de latência: com sondas ICMP, os picos intermitentes são normais e fazem parte do comportamento padrão da rede host. Eles não devem ser mal interpretados como problemas de firewall, a menos que sejam persistentes.
  • Latência média: em média, espera-se que a latência do Firewall do Azure varie de 1 ms a 10 ms, dependendo do SKU do Firewall e do tamanho da implantação.

Práticas recomendadas para monitorar a latência

  • Defina uma linha de base: estabeleça uma linha de base de latência em condições de tráfego leve para comparações precisas durante o uso normal ou de pico.

  • Monitore padrões: espere picos de latência ocasionais como parte das operações normais. Se a alta latência persistir além dessas variações normais, isso pode indicar um problema mais profundo que requer investigação.

  • Limite de latência recomendado: uma diretriz recomendada é que a latência não deve exceder 3x a linha de base. Se esse limite for ultrapassado, recomenda-se uma investigação mais aprofundada.

  • Verifique o limite da regra: Certifique-se de que as regras de rede estejam dentro do limite da regra de 20K. Exceder esse limite pode afetar o desempenho.

  • Integração de novos aplicativos: verifique se há aplicativos recém-integrados que possam estar adicionando carga significativa ou causando problemas de latência.

  • Solicitação de suporte: se você observar uma degradação contínua da latência que não se alinha com o comportamento esperado, considere preencher um tíquete de suporte para obter mais assistência.

    Captura de tela mostrando a métrica da Sonda de Latência do Firewall do Azure.

Dimensões de métrica

Para obter mais informações sobre o que são dimensões de métrica, confira Métricas multidimensionais.

Este serviço tem as dimensões a seguir associadas a essas métricas.

  • Protocolo
  • Motivo
  • Status

Logs de recursos

Esta seção lista os tipos de logs de recursos que você pode coletar para o este serviço. A seção extrai da lista de todos os tipos de categoria de logs de recursos com suporte no Azure Monitor.

Logs de recursos com suporte para Microsoft.Network/azureFirewalls

Categoria Nome de exibição da categoria Tabela de log Com suporte a plano de log básico Com suporte a transformações de tempo-ingestão Consultas de exemplo Custos para exportar
AZFWApplicationRule Regra de Aplicativo de Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

Não Não Consultas Sim
AZFWApplicationRuleAggregation Agregação de regra de rede do Firewall do Azure (Análise de Política) AzureDiagnostics

Logs de vários recursos do Azure.

Não Não Consultas Sim
AZFWDnsQuery Consulta DNS do Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

Não Não Consultas Sim
AZFWFatFlow Log de fluxos Fat do Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

Não Não Consultas Sim
AZFWFlowTrace Log de rastreamento de fluxo de Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

Não Não Consultas Sim
AZFWFqdnResolveFailure Falha na resolução de FQDN do Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

Não Não Consultas Sim
AZFWIdpsSignature Assinatura LDPS do Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

Não Não Consultas Sim
AZFWNatRule Regra NAT do Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

Não Não Consultas Sim
AZFWNatRuleAggregation Agregação de regra NAT do Firewall do Azure (Análise de Política) AzureDiagnostics

Logs de vários recursos do Azure.

Não Não Consultas Sim
AZFWNetworkRule Regra de Rede de Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

Não Não Consultas Sim
AZFWNetworkRuleAggregation Agregação de regra de aplicativo do Firewall do Azure (Análise de Policy) AzureDiagnostics

Logs de vários recursos do Azure.

Não Não Consultas Sim
AZFWThreatIntel Inteligência contra ameaças do Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

Não Não Consultas Sim
AzureFirewallApplicationRule Regra de aplicativo do Firewall do Azure (Diagnóstico do Azure herdado) AzureDiagnostics

Logs de vários recursos do Azure.

Não Não Consultas Não
AzureFirewallDnsProxy Proxy DNS do Firewall do Azure (Diagnóstico do Azure herdado) AzureDiagnostics

Logs de vários recursos do Azure.

Não Não Consultas Não
AzureFirewallNetworkRule Regra de rede do Firewall do Azure (Diagnóstico do Azure herdado) AzureDiagnostics

Logs de vários recursos do Azure.

Não Não Consultas Não

O Firewall do Azure tem dois novos logs de diagnóstico que podem ajudar a monitorar seu firewall, mas esses logs atualmente não mostram detalhes da regra do aplicativo.

  • Principais fluxos
  • Rastreamento de fluxo

Principais fluxos

O log de fluxos principais é conhecido no setor como log de fluxo de gordura e, na tabela anterior, como Log de Fluxo de Gordura do Firewall do Azure. O log de fluxos principais mostra as principais conexões que estão contribuindo para a maior taxa de transferência por meio do firewall.

Dica

Só ative os logs de Principais fluxos ao solucionar um problema específico, para evitar o uso excessivo da CPU por parte do Firewall do Azure.

A taxa de fluxo é definida como a taxa de transmissão de dados em unidades de megabits por segundo. É uma medida da quantidade de dados digitais que podem ser transmitidos por uma rede em um período de tempo por meio do firewall. O protocolo Principais Fluxos é executado periodicamente a cada três minutos. O limite mínimo para ser considerado um Fluxo Principal é de 1 Mbps.

Habilite o log de fluxos principais usando os seguintes comandos do Azure PowerShell:

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall

Para desabilitar os logs, use o mesmo comando anterior do Azure PowerShell e defina o valor como False.

Por exemplo:

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall

Existem algumas maneiras de verificar se a atualização foi bem-sucedida, mas você pode ir para a Visão Geral do firewall e selecionar o Modo de exibição JSON no canto superior direito. Aqui está um exemplo:

Captura de tela do JSON mostrando uma verificação de log adicional.

Para criar uma configuração de diagnóstico e habilitar a Tabela Específica do Recurso, consulte Criar configurações de diagnóstico no Azure Monitor.

Rastreamento de fluxo

Os logs do firewall mostram o tráfego através do firewall na primeira tentativa de uma conexão TCP, conhecida como pacote SYN . No entanto, essa entrada não mostra a jornada completa do pacote no handshake TCP. Como resultado, será difícil solucionar problemas se um pacote for removido ou se um roteamento assimétrico tiver ocorrido. O Log de Rastreamento de Fluxo do Firewall do Azure aborda essa preocupação.

Dica

Para evitar o uso excessivo de disco causado pelos logs de Rastreamento de fluxo no Firewall do Azure com muitas conexões de curta duração, só ative os logs ao solucionar um problema específico para fins de diagnóstico.

As seguintes propriedades podem ser adicionadas:

  • SYN-ACK: Sinalizador ACK que indica a confirmação do pacote SYN.

  • FIN: sinalizador concluído do fluxo de pacotes original. Nenhum dado é transmitido no fluxo TCP.

  • FIN-ACK: Sinalizador ACK que indica a confirmação do pacote FIN.

  • RST: O sinalizador Redefinir indica que o remetente original não recebe mais dados.

  • INVALID (fluxos): indica que o pacote não pode ser identificado ou não tem nenhum estado.

    Por exemplo:

    • Um pacote TCP chega em uma instância dos Conjuntos de Dimensionamento de Máquinas Virtuais, que não tem nenhum histórico anterior desse pacote
    • Pacotes CheckSum incorretos
    • A entrada da tabela Acompanhamento de Conexão está cheia e novas conexões não podem ser aceitas
    • Pacotes ACK excessivamente atrasados

Habilite o log de rastreamento de fluxo usando os seguintes comandos do Azure PowerShell ou navegue no portal e pesquise Habilitar Log de Conexão TCP:

Connect-AzAccount 
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Pode levar vários minutos para que essa alteração entre em vigor. Depois que o recurso for registrado, considere a execução de uma atualização no Firewall do Azure para que a alteração entre em vigor imediatamente.

Para verificar o status do registro do AzResourceProvider, você pode executar o comando do Azure PowerShell:

Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"

Para desabilitar o log, você pode cancelar o registro dele usando o comando a seguir ou selecionar Cancelar Registro no exemplo anterior do portal.

Unregister-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network

Para criar uma configuração de diagnóstico e habilitar a Tabela Específica do Recurso, consulte Criar configurações de diagnóstico no Azure Monitor.

Tabelas de Logs do Azure Monitor

Esta seção lista todas as tabelas dos Logs do Azure Monitor relevantes para este serviço e disponíveis para consulta pela análise de logs usando o Kusto. As tabelas contêm dados de log de recursos e possivelmente mais, dependendo do que é coletado e roteado para elas.

Azure Firewall Microsoft.Network/azureFirewalls

Log de atividades

A tabela vinculada lista as operações que podem ser registradas no log de atividades desse serviço. Essas operações são um subconjunto de todas as operações do provedor de recursos possíveis no log de atividades.

Para obter mais informações sobre o esquema de entradas do log de atividades, confira Esquema do log de atividades.