Partilhar via


Referência de dados de monitoramento do Firewall do Azure

Este artigo contém todas as informações de referência de monitoramento para este serviço.

Consulte Monitorar o Firewall do Azure para obter detalhes sobre os dados que você pode coletar para o Firewall do Azure e como usá-los.

Métricas

Esta seção lista todas as métricas de plataforma coletadas automaticamente para este serviço. Essas métricas também fazem parte da lista global de todas as métricas de plataforma com suporte no Azure Monitor.

Para obter informações sobre retenção de métricas, consulte Visão geral do Azure Monitor Metrics.

Métricas suportadas para Microsoft.Network/azureFirewalls

A tabela a seguir lista as métricas disponíveis para o tipo de recurso Microsoft.Network/azureFirewalls.

  • Nem todas as colunas podem estar presentes em todas as tabelas.
  • Algumas colunas podem estar além da área de visualização da página. Selecione Expandir tabela para visualizar todas as colunas disponíveis.

Cabeçalhos de tabela

  • Categoria - O grupo ou classificação de métricas.
  • Métrica - O nome para exibição da métrica conforme aparece no portal do Azure.
  • Nome na API REST - O nome da métrica conforme referido na API REST.
  • Unidade - Unidade de medida.
  • Agregação - O tipo de agregação padrão. Valores válidos: Média (Média), Mínima (Mín), Máxima (Máx), Total (Soma), Contagem.
  • Dimensões - Dimensões disponíveis para a métrica.
  • Intervalos de grãos de - tempo em que a métrica é amostrada. Por exemplo, PT1M indica que a métrica é amostrada a cada minuto, PT30M a cada 30 minutos, PT1H a cada hora e assim por diante.
  • DS Export- Se a métrica é exportável para os Logs do Azure Monitor por meio de configurações de diagnóstico. Para obter informações sobre como exportar métricas, consulte Criar configurações de diagnóstico no Azure Monitor.
Métrica Nome na API REST Unit Agregação Dimensões Grãos de tempo DS Exportação
Contagem de visitas das regras de aplicação

Número de vezes que as regras de aplicação foram atingidas
ApplicationRuleHit Count Total (soma) Status, Reason, Protocol PT1M Sim
Dados tratados

Quantidade total de dados processados por este firewall
DataProcessed Bytes Total (soma) <nenhum> PT1M Sim
Estado de integridade do firewall

Indica a integridade geral deste firewall
FirewallHealth Percentagem Média Status, Reason PT1M Sim
Sonda de latência

Estimativa da latência média do Firewall medida pela sonda de latência
FirewallLatencyPng Milissegundos Média <nenhum> PT1M Sim
Contagem de acessos das regras de rede

Número de vezes que as regras de rede foram atingidas
NetworkRuleHit Count Total (soma) Status, Reason, Protocol PT1M Sim
Utilização da porta SNAT

Porcentagem de portas SNAT de saída atualmente em uso
SNATPortUtilization Percentagem Média, Máxima Protocol PT1M Sim
Débito

Taxa de transferência processada por este firewall
Throughput BitsPerSecond Média <nenhum> PT1M Não

Estado de integridade do firewall

Na tabela anterior, a métrica Estado de integridade do firewall tem duas dimensões:

  • Estado: Os valores possíveis são Saudável, Degradado, Não Saudável.
  • Motivo: indica o motivo do estado correspondente da firewall.

Se as portas SNAT forem usadas mais de 95%, elas serão consideradas esgotadas e a saúde será de 50% com status=Degradado e reason=porta SNAT. O firewall mantém o tráfego de processamento e as conexões existentes não são afetadas. No entanto, novas conexões podem não ser estabelecidas intermitentemente.

Se as portas SNAT tiverem uma utilização inferior a 95%, a firewall será considerada como estando em bom estado de funcionamento e o estado de funcionamento é mostrado como 100%.

Se não for reportada qualquer utilização da portas SNAT, o estado de funcionamento será mostrada como 0%.

Utilização da porta SNAT

Para a métrica de utilização da porta SNAT, quando você adiciona mais endereços IP públicos ao firewall, mais portas SNAT estão disponíveis, reduzindo a utilização das portas SNAT. Além disso, quando o firewall é expandido por diferentes motivos (por exemplo, CPU ou taxa de transferência), mais portas SNAT também ficam disponíveis.

Efetivamente, uma determinada porcentagem da utilização de portas SNAT pode cair sem que você adicione nenhum endereço IP público, apenas porque o serviço foi expandido. Você pode controlar diretamente o número de endereços IP públicos disponíveis para aumentar as portas disponíveis no firewall. Mas, você não pode controlar diretamente o dimensionamento do firewall.

Se o firewall estiver se esgotando na porta SNAT, você deve adicionar pelo menos cinco endereços IP públicos. Isso aumenta o número de portas SNAT disponíveis. Para obter mais informações, consulte Recursos do Firewall do Azure.

Sonda de latência AZFW

A métrica AZFW Latency Probe mede a latência geral ou média do Firewall do Azure em milissegundos. Os administradores podem usar essa métrica para as seguintes finalidades:

  • Diagnosticar se o Firewall do Azure é a causa da latência na rede
  • Monitore e alerte se houver algum problema de latência ou desempenho, para que as equipes de TI possam se envolver proativamente.
  • Pode haver vários motivos que podem causar alta latência no Firewall do Azure. Por exemplo, alta utilização da CPU, alta taxa de transferência ou um possível problema de rede.

O que a métrica da sonda de latência AZFW mede (e não mede):

  • O que mede: A latência do Firewall do Azure na plataforma Azure
  • O que ele não mede: a métrica não captura latência de ponta a ponta para todo o caminho da rede. Em vez disso, ele reflete o desempenho dentro do firewall, em vez de quanta latência o Firewall do Azure introduz na rede.
  • Relatório de erros: se a métrica de latência não estiver funcionando corretamente, ela relatará um valor de 0 no painel de métricas, indicando uma falha ou interrupção da sonda.

Fatores que afetam a latência:

  • Utilização elevada da CPU
  • Alta taxa de transferência ou carga de tráfego
  • Problemas de rede na plataforma Azure

Sondas de latência: do ICMP ao TCP A sonda de latência atualmente usa a tecnologia Ping Mesh da Microsoft, que é baseada no ICMP (Internet Control Message Protocol). O ICMP é adequado para verificações rápidas de integridade, como solicitações de ping, mas pode não representar com precisão o tráfego de aplicativos do mundo real, que normalmente está relacionado ao TCP. No entanto, os testes ICMP priorizam de forma diferente na plataforma Azure, o que pode resultar em variação entre SKUs. Para reduzir essas discrepâncias, o Firewall do Azure planeja fazer a transição para testes baseados em TCP.

  • Picos de latência: Com as sondas ICMP, os picos intermitentes são normais e fazem parte do comportamento padrão da rede host. Estes não devem ser mal interpretados como problemas de firewall, a menos que sejam persistentes.
  • Latência média: em média, espera-se que a latência do Firewall do Azure varie de 1ms a 10 ms, dependendo da SKU do Firewall e do tamanho da implantação.

Práticas recomendadas para monitorar a latência

  • Definir uma linha de base: estabeleça uma linha de base de latência em condições de tráfego leve para comparações precisas durante o uso normal ou de pico.

  • Monitore padrões: espere picos de latência ocasionais como parte das operações normais. Se a latência alta persistir além dessas variações normais, isso pode indicar um problema mais profundo que requer investigação.

  • Limite de latência recomendado: Uma orientação recomendada é que a latência não deve exceder 3x a linha de base. Se este limiar for ultrapassado, recomenda-se uma investigação mais aprofundada.

  • Verifique o limite da regra: verifique se as regras de rede estão dentro do limite da regra de 20K. Exceder esse limite pode afetar o desempenho.

  • Integração de novos aplicativos: verifique se há aplicativos recém-integrados que possam estar adicionando carga significativa ou causando problemas de latência.

  • Solicitação de suporte: se você observar uma depuração de latência contínua que não esteja alinhada com o comportamento esperado, considere preencher um tíquete de suporte para obter mais assistência.

    Captura de tela mostrando a métrica da Sonda de Latência do Firewall do Azure.

Dimensões métricas

Para obter informações sobre o que são dimensões métricas, consulte Métricas multidimensionais.

Este serviço tem as seguintes dimensões associadas às suas métricas.

  • Protocolo
  • Razão
  • Status

Registos do recurso

Esta seção lista os tipos de logs de recursos que você pode coletar para este serviço. A seção extrai da lista de todos os tipos de categoria de logs de recursos com suporte no Azure Monitor.

Logs de recursos suportados para Microsoft.Network/azureFirewalls

Categoria Nome de exibição da categoria Tabela de registo Suporta plano de log básico Suporta a transformação do tempo de ingestão Consultas de exemplo Custos de exportação
AZFWApplicationRule Regra de Aplicativo do Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

No Não Consultas Sim
AZFWApplicationRuleAggregation Agregação de Regras de Rede do Firewall do Azure (Policy Analytics) AzureDiagnostics

Logs de vários recursos do Azure.

No Não Consultas Sim
AZFWDnsQuery Consulta DNS do Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

No Não Consultas Sim
AZFWFatFlow Azure Firewall Fat Flow Log AzureDiagnostics

Logs de vários recursos do Azure.

No Não Consultas Sim
AZFWFlowTrace Log de Rastreamento de Fluxo do Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

No Não Consultas Sim
AZFWFqdnResolveFailure Falha de resolução do FQDN do Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

No Não Consultas Sim
AZFWIdpsSignature Assinatura IDPS do Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

No Não Consultas Sim
AZFWNatRule Regra Nat do Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

No Não Consultas Sim
AZFWNatRuleAggregation Agregação de Regras Nat do Firewall do Azure (Policy Analytics) AzureDiagnostics

Logs de vários recursos do Azure.

No Não Consultas Sim
AZFWNetworkRule Regra de Rede do Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

No Não Consultas Sim
AZFWNetworkRuleAggregation Agregação de Regras de Aplicativo do Firewall do Azure (Policy Analytics) AzureDiagnostics

Logs de vários recursos do Azure.

No Não Consultas Sim
AZFWThreatIntel Inteligência de ameaças do Firewall do Azure AzureDiagnostics

Logs de vários recursos do Azure.

No Não Consultas Sim
AzureFirewallApplicationRule Regra de Aplicativo do Firewall do Azure (Diagnóstico do Azure herdado) AzureDiagnostics

Logs de vários recursos do Azure.

No Não Consultas Não
AzureFirewallDnsProxy Proxy DNS do Firewall do Azure (Diagnóstico do Azure herdado) AzureDiagnostics

Logs de vários recursos do Azure.

No Não Consultas Não
AzureFirewallNetworkRule Regra de Rede do Firewall do Azure (Diagnóstico do Azure herdado) AzureDiagnostics

Logs de vários recursos do Azure.

No Não Consultas Não

O Firewall do Azure tem dois novos logs de diagnóstico que podem ajudar a monitorar seu firewall, mas esses logs atualmente não mostram detalhes da regra do aplicativo.

  • Fluxos superiores
  • Rastreio de fluxo

Fluxos superiores

O log de fluxos superiores é conhecido no setor como log de fluxo de gordura e na tabela anterior como log de fluxo de gordura do Firewall do Azure. O log de fluxos superiores mostra as principais conexões que estão contribuindo para a taxa de transferência mais alta através do firewall.

Gorjeta

Ative os logs de Fluxos superiores somente ao solucionar um problema específico para evitar o uso excessivo da CPU do Firewall do Azure.

A taxa de fluxo é definida como a taxa de transmissão de dados em unidades de megabits por segundo. É uma medida da quantidade de dados digitais que podem ser transmitidos através de uma rede em um período de tempo através do firewall. O protocolo Top Flows é executado periodicamente a cada três minutos. O limite mínimo para ser considerado um Top Flow é de 1 Mbps.

Habilite o log de Fluxos superiores usando os seguintes comandos do Azure PowerShell:

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall

Para desabilitar os logs, use o mesmo comando anterior do Azure PowerShell e defina o valor como False.

Por exemplo:

Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall

Há algumas maneiras de verificar se a atualização foi bem-sucedida, mas você pode navegar até Visão geral do firewall e selecionar Visualização JSON no canto superior direito. Veja o exemplo a seguir:

Captura de tela do JSON mostrando a verificação de log adicional.

Para criar uma configuração de diagnóstico e habilitar a Tabela Específica de Recursos, consulte Criar configurações de diagnóstico no Azure Monitor.

Rastreio de fluxo

Os logs do firewall mostram o tráfego através do firewall na primeira tentativa de uma conexão TCP, conhecida como pacote SYN . No entanto, essa entrada não mostra a jornada completa do pacote no handshake TCP. Como resultado, é difícil solucionar problemas se um pacote for descartado ou se ocorrer roteamento assimétrico. O Log de Rastreamento de Fluxo do Firewall do Azure aborda essa preocupação.

Gorjeta

Para evitar o uso excessivo do disco causado por logs de rastreamento de fluxo no Firewall do Azure com muitas conexões de curta duração, ative os logs somente ao solucionar um problema específico para fins de diagnóstico.

As seguintes propriedades podem ser adicionadas:

  • SYN-ACK: ACK sinalizador que indica o reconhecimento do pacote SYN.

  • FIN: Sinalizador concluído do fluxo de pacotes original. Não são transmitidos mais dados no fluxo TCP.

  • FIN-ACK: ACK sinalizador que indica o reconhecimento do pacote FIN.

  • RST: O sinalizador Redefinir indica que o remetente original não recebe mais dados.

  • INVÁLIDO (fluxos): Indica que o pacote não pode ser identificado ou não tem nenhum estado.

    Por exemplo:

    • Um pacote TCP pousa em uma instância de Conjuntos de Escala de Máquina Virtual, que não tem nenhum histórico anterior para esse pacote
    • Pacotes CheckSum incorretos
    • A entrada da tabela Controlo de Ligações está cheia e não podem ser aceites novas ligações
    • Pacotes ACK excessivamente atrasados

Habilite o log de rastreamento de fluxo usando os seguintes comandos do Azure PowerShell ou navegue no portal e procure Habilitar Log de Conexão TCP:

Connect-AzAccount 
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Pode demorar vários minutos até que esta alteração entre em vigor. Depois que o recurso for registrado, considere executar uma atualização no Firewall do Azure para que a alteração entre em vigor imediatamente.

Para verificar o status do registro AzResourceProvider, você pode executar o comando Azure PowerShell:

Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"

Para desativar o log, você pode cancelar o registro usando o comando a seguir ou selecionar cancelar o registro no exemplo de portal anterior.

Unregister-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network

Para criar uma configuração de diagnóstico e habilitar a Tabela Específica de Recursos, consulte Criar configurações de diagnóstico no Azure Monitor.

Tabelas de Logs do Azure Monitor

Esta seção lista as tabelas de Logs do Azure Monitor relevantes para este serviço, que estão disponíveis para consulta pelo Log Analytics usando consultas Kusto. As tabelas contêm dados de log de recursos e possivelmente mais, dependendo do que é coletado e roteado para elas.

Azure Firewall Microsoft.Network/azureFirewalls

Registo de atividades

A tabela vinculada lista as operações que podem ser registradas no log de atividades desse serviço. Essas operações são um subconjunto de todas as operações possíveis do provedor de recursos no log de atividades.

Para obter mais informações sobre o esquema de entradas do log de atividades, consulte Esquema do log de atividades.