Referência de dados de monitoramento do Firewall do Azure
Este artigo contém todas as informações de referência de monitoramento para este serviço.
Consulte Monitorar o Firewall do Azure para obter detalhes sobre os dados que você pode coletar para o Firewall do Azure e como usá-los.
Métricas
Esta seção lista todas as métricas de plataforma coletadas automaticamente para este serviço. Essas métricas também fazem parte da lista global de todas as métricas de plataforma com suporte no Azure Monitor.
Para obter informações sobre retenção de métricas, consulte Visão geral do Azure Monitor Metrics.
Métricas suportadas para Microsoft.Network/azureFirewalls
A tabela a seguir lista as métricas disponíveis para o tipo de recurso Microsoft.Network/azureFirewalls.
- Nem todas as colunas podem estar presentes em todas as tabelas.
- Algumas colunas podem estar além da área de visualização da página. Selecione Expandir tabela para visualizar todas as colunas disponíveis.
Cabeçalhos de tabela
- Categoria - O grupo ou classificação de métricas.
- Métrica - O nome para exibição da métrica conforme aparece no portal do Azure.
- Nome na API REST - O nome da métrica conforme referido na API REST.
- Unidade - Unidade de medida.
- Agregação - O tipo de agregação padrão. Valores válidos: Média (Média), Mínima (Mín), Máxima (Máx), Total (Soma), Contagem.
- Dimensões - Dimensões disponíveis para a métrica.
- Intervalos de grãos de - tempo em que a métrica é amostrada. Por exemplo,
PT1M
indica que a métrica é amostrada a cada minuto,PT30M
a cada 30 minutos,PT1H
a cada hora e assim por diante. - DS Export- Se a métrica é exportável para os Logs do Azure Monitor por meio de configurações de diagnóstico. Para obter informações sobre como exportar métricas, consulte Criar configurações de diagnóstico no Azure Monitor.
Métrica | Nome na API REST | Unit | Agregação | Dimensões | Grãos de tempo | DS Exportação |
---|---|---|---|---|---|---|
Contagem de visitas das regras de aplicação Número de vezes que as regras de aplicação foram atingidas |
ApplicationRuleHit |
Count | Total (soma) | Status , Reason , Protocol |
PT1M | Sim |
Dados tratados Quantidade total de dados processados por este firewall |
DataProcessed |
Bytes | Total (soma) | <nenhum> | PT1M | Sim |
Estado de integridade do firewall Indica a integridade geral deste firewall |
FirewallHealth |
Percentagem | Média | Status , Reason |
PT1M | Sim |
Sonda de latência Estimativa da latência média do Firewall medida pela sonda de latência |
FirewallLatencyPng |
Milissegundos | Média | <nenhum> | PT1M | Sim |
Contagem de acessos das regras de rede Número de vezes que as regras de rede foram atingidas |
NetworkRuleHit |
Count | Total (soma) | Status , Reason , Protocol |
PT1M | Sim |
Utilização da porta SNAT Porcentagem de portas SNAT de saída atualmente em uso |
SNATPortUtilization |
Percentagem | Média, Máxima | Protocol |
PT1M | Sim |
Débito Taxa de transferência processada por este firewall |
Throughput |
BitsPerSecond | Média | <nenhum> | PT1M | Não |
Estado de integridade do firewall
Na tabela anterior, a métrica Estado de integridade do firewall tem duas dimensões:
- Estado: Os valores possíveis são Saudável, Degradado, Não Saudável.
- Motivo: indica o motivo do estado correspondente da firewall.
Se as portas SNAT forem usadas mais de 95%, elas serão consideradas esgotadas e a saúde será de 50% com status=Degradado e reason=porta SNAT. O firewall mantém o tráfego de processamento e as conexões existentes não são afetadas. No entanto, novas conexões podem não ser estabelecidas intermitentemente.
Se as portas SNAT tiverem uma utilização inferior a 95%, a firewall será considerada como estando em bom estado de funcionamento e o estado de funcionamento é mostrado como 100%.
Se não for reportada qualquer utilização da portas SNAT, o estado de funcionamento será mostrada como 0%.
Utilização da porta SNAT
Para a métrica de utilização da porta SNAT, quando você adiciona mais endereços IP públicos ao firewall, mais portas SNAT estão disponíveis, reduzindo a utilização das portas SNAT. Além disso, quando o firewall é expandido por diferentes motivos (por exemplo, CPU ou taxa de transferência), mais portas SNAT também ficam disponíveis.
Efetivamente, uma determinada porcentagem da utilização de portas SNAT pode cair sem que você adicione nenhum endereço IP público, apenas porque o serviço foi expandido. Você pode controlar diretamente o número de endereços IP públicos disponíveis para aumentar as portas disponíveis no firewall. Mas, você não pode controlar diretamente o dimensionamento do firewall.
Se o firewall estiver se esgotando na porta SNAT, você deve adicionar pelo menos cinco endereços IP públicos. Isso aumenta o número de portas SNAT disponíveis. Para obter mais informações, consulte Recursos do Firewall do Azure.
Sonda de latência AZFW
A métrica AZFW Latency Probe mede a latência geral ou média do Firewall do Azure em milissegundos. Os administradores podem usar essa métrica para as seguintes finalidades:
- Diagnosticar se o Firewall do Azure é a causa da latência na rede
- Monitore e alerte se houver algum problema de latência ou desempenho, para que as equipes de TI possam se envolver proativamente.
- Pode haver vários motivos que podem causar alta latência no Firewall do Azure. Por exemplo, alta utilização da CPU, alta taxa de transferência ou um possível problema de rede.
O que a métrica da sonda de latência AZFW mede (e não mede):
- O que mede: A latência do Firewall do Azure na plataforma Azure
- O que ele não mede: a métrica não captura latência de ponta a ponta para todo o caminho da rede. Em vez disso, ele reflete o desempenho dentro do firewall, em vez de quanta latência o Firewall do Azure introduz na rede.
- Relatório de erros: se a métrica de latência não estiver funcionando corretamente, ela relatará um valor de 0 no painel de métricas, indicando uma falha ou interrupção da sonda.
Fatores que afetam a latência:
- Utilização elevada da CPU
- Alta taxa de transferência ou carga de tráfego
- Problemas de rede na plataforma Azure
Sondas de latência: do ICMP ao TCP A sonda de latência atualmente usa a tecnologia Ping Mesh da Microsoft, que é baseada no ICMP (Internet Control Message Protocol). O ICMP é adequado para verificações rápidas de integridade, como solicitações de ping, mas pode não representar com precisão o tráfego de aplicativos do mundo real, que normalmente está relacionado ao TCP. No entanto, os testes ICMP priorizam de forma diferente na plataforma Azure, o que pode resultar em variação entre SKUs. Para reduzir essas discrepâncias, o Firewall do Azure planeja fazer a transição para testes baseados em TCP.
- Picos de latência: Com as sondas ICMP, os picos intermitentes são normais e fazem parte do comportamento padrão da rede host. Estes não devem ser mal interpretados como problemas de firewall, a menos que sejam persistentes.
- Latência média: em média, espera-se que a latência do Firewall do Azure varie de 1ms a 10 ms, dependendo da SKU do Firewall e do tamanho da implantação.
Práticas recomendadas para monitorar a latência
Definir uma linha de base: estabeleça uma linha de base de latência em condições de tráfego leve para comparações precisas durante o uso normal ou de pico.
Monitore padrões: espere picos de latência ocasionais como parte das operações normais. Se a latência alta persistir além dessas variações normais, isso pode indicar um problema mais profundo que requer investigação.
Limite de latência recomendado: Uma orientação recomendada é que a latência não deve exceder 3x a linha de base. Se este limiar for ultrapassado, recomenda-se uma investigação mais aprofundada.
Verifique o limite da regra: verifique se as regras de rede estão dentro do limite da regra de 20K. Exceder esse limite pode afetar o desempenho.
Integração de novos aplicativos: verifique se há aplicativos recém-integrados que possam estar adicionando carga significativa ou causando problemas de latência.
Solicitação de suporte: se você observar uma depuração de latência contínua que não esteja alinhada com o comportamento esperado, considere preencher um tíquete de suporte para obter mais assistência.
Dimensões métricas
Para obter informações sobre o que são dimensões métricas, consulte Métricas multidimensionais.
Este serviço tem as seguintes dimensões associadas às suas métricas.
- Protocolo
- Razão
- Status
Registos do recurso
Esta seção lista os tipos de logs de recursos que você pode coletar para este serviço. A seção extrai da lista de todos os tipos de categoria de logs de recursos com suporte no Azure Monitor.
Logs de recursos suportados para Microsoft.Network/azureFirewalls
Categoria | Nome de exibição da categoria | Tabela de registo | Suporta plano de log básico | Suporta a transformação do tempo de ingestão | Consultas de exemplo | Custos de exportação |
---|---|---|---|---|---|---|
AZFWApplicationRule |
Regra de Aplicativo do Firewall do Azure | AzureDiagnostics Logs de vários recursos do Azure. |
No | Não | Consultas | Sim |
AZFWApplicationRuleAggregation |
Agregação de Regras de Rede do Firewall do Azure (Policy Analytics) | AzureDiagnostics Logs de vários recursos do Azure. |
No | Não | Consultas | Sim |
AZFWDnsQuery |
Consulta DNS do Firewall do Azure | AzureDiagnostics Logs de vários recursos do Azure. |
No | Não | Consultas | Sim |
AZFWFatFlow |
Azure Firewall Fat Flow Log | AzureDiagnostics Logs de vários recursos do Azure. |
No | Não | Consultas | Sim |
AZFWFlowTrace |
Log de Rastreamento de Fluxo do Firewall do Azure | AzureDiagnostics Logs de vários recursos do Azure. |
No | Não | Consultas | Sim |
AZFWFqdnResolveFailure |
Falha de resolução do FQDN do Firewall do Azure | AzureDiagnostics Logs de vários recursos do Azure. |
No | Não | Consultas | Sim |
AZFWIdpsSignature |
Assinatura IDPS do Firewall do Azure | AzureDiagnostics Logs de vários recursos do Azure. |
No | Não | Consultas | Sim |
AZFWNatRule |
Regra Nat do Firewall do Azure | AzureDiagnostics Logs de vários recursos do Azure. |
No | Não | Consultas | Sim |
AZFWNatRuleAggregation |
Agregação de Regras Nat do Firewall do Azure (Policy Analytics) | AzureDiagnostics Logs de vários recursos do Azure. |
No | Não | Consultas | Sim |
AZFWNetworkRule |
Regra de Rede do Firewall do Azure | AzureDiagnostics Logs de vários recursos do Azure. |
No | Não | Consultas | Sim |
AZFWNetworkRuleAggregation |
Agregação de Regras de Aplicativo do Firewall do Azure (Policy Analytics) | AzureDiagnostics Logs de vários recursos do Azure. |
No | Não | Consultas | Sim |
AZFWThreatIntel |
Inteligência de ameaças do Firewall do Azure | AzureDiagnostics Logs de vários recursos do Azure. |
No | Não | Consultas | Sim |
AzureFirewallApplicationRule |
Regra de Aplicativo do Firewall do Azure (Diagnóstico do Azure herdado) | AzureDiagnostics Logs de vários recursos do Azure. |
No | Não | Consultas | Não |
AzureFirewallDnsProxy |
Proxy DNS do Firewall do Azure (Diagnóstico do Azure herdado) | AzureDiagnostics Logs de vários recursos do Azure. |
No | Não | Consultas | Não |
AzureFirewallNetworkRule |
Regra de Rede do Firewall do Azure (Diagnóstico do Azure herdado) | AzureDiagnostics Logs de vários recursos do Azure. |
No | Não | Consultas | Não |
O Firewall do Azure tem dois novos logs de diagnóstico que podem ajudar a monitorar seu firewall, mas esses logs atualmente não mostram detalhes da regra do aplicativo.
- Fluxos superiores
- Rastreio de fluxo
Fluxos superiores
O log de fluxos superiores é conhecido no setor como log de fluxo de gordura e na tabela anterior como log de fluxo de gordura do Firewall do Azure. O log de fluxos superiores mostra as principais conexões que estão contribuindo para a taxa de transferência mais alta através do firewall.
Gorjeta
Ative os logs de Fluxos superiores somente ao solucionar um problema específico para evitar o uso excessivo da CPU do Firewall do Azure.
A taxa de fluxo é definida como a taxa de transmissão de dados em unidades de megabits por segundo. É uma medida da quantidade de dados digitais que podem ser transmitidos através de uma rede em um período de tempo através do firewall. O protocolo Top Flows é executado periodicamente a cada três minutos. O limite mínimo para ser considerado um Top Flow é de 1 Mbps.
Habilite o log de Fluxos superiores usando os seguintes comandos do Azure PowerShell:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall
Para desabilitar os logs, use o mesmo comando anterior do Azure PowerShell e defina o valor como False.
Por exemplo:
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall
Há algumas maneiras de verificar se a atualização foi bem-sucedida, mas você pode navegar até Visão geral do firewall e selecionar Visualização JSON no canto superior direito. Veja o exemplo a seguir:
Para criar uma configuração de diagnóstico e habilitar a Tabela Específica de Recursos, consulte Criar configurações de diagnóstico no Azure Monitor.
Rastreio de fluxo
Os logs do firewall mostram o tráfego através do firewall na primeira tentativa de uma conexão TCP, conhecida como pacote SYN . No entanto, essa entrada não mostra a jornada completa do pacote no handshake TCP. Como resultado, é difícil solucionar problemas se um pacote for descartado ou se ocorrer roteamento assimétrico. O Log de Rastreamento de Fluxo do Firewall do Azure aborda essa preocupação.
Gorjeta
Para evitar o uso excessivo do disco causado por logs de rastreamento de fluxo no Firewall do Azure com muitas conexões de curta duração, ative os logs somente ao solucionar um problema específico para fins de diagnóstico.
As seguintes propriedades podem ser adicionadas:
SYN-ACK: ACK sinalizador que indica o reconhecimento do pacote SYN.
FIN: Sinalizador concluído do fluxo de pacotes original. Não são transmitidos mais dados no fluxo TCP.
FIN-ACK: ACK sinalizador que indica o reconhecimento do pacote FIN.
RST: O sinalizador Redefinir indica que o remetente original não recebe mais dados.
INVÁLIDO (fluxos): Indica que o pacote não pode ser identificado ou não tem nenhum estado.
Por exemplo:
- Um pacote TCP pousa em uma instância de Conjuntos de Escala de Máquina Virtual, que não tem nenhum histórico anterior para esse pacote
- Pacotes CheckSum incorretos
- A entrada da tabela Controlo de Ligações está cheia e não podem ser aceites novas ligações
- Pacotes ACK excessivamente atrasados
Habilite o log de rastreamento de fluxo usando os seguintes comandos do Azure PowerShell ou navegue no portal e procure Habilitar Log de Conexão TCP:
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
Pode demorar vários minutos até que esta alteração entre em vigor. Depois que o recurso for registrado, considere executar uma atualização no Firewall do Azure para que a alteração entre em vigor imediatamente.
Para verificar o status do registro AzResourceProvider, você pode executar o comando Azure PowerShell:
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
Para desativar o log, você pode cancelar o registro usando o comando a seguir ou selecionar cancelar o registro no exemplo de portal anterior.
Unregister-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Para criar uma configuração de diagnóstico e habilitar a Tabela Específica de Recursos, consulte Criar configurações de diagnóstico no Azure Monitor.
Tabelas de Logs do Azure Monitor
Esta seção lista as tabelas de Logs do Azure Monitor relevantes para este serviço, que estão disponíveis para consulta pelo Log Analytics usando consultas Kusto. As tabelas contêm dados de log de recursos e possivelmente mais, dependendo do que é coletado e roteado para elas.
Azure Firewall Microsoft.Network/azureFirewalls
- AZFWNetworkRule
- AZFWFatFlow
- AZFWFlowTrace
- AZFWApplicationRule
- AZFWThreatIntel
- AZFWNatRule
- AZFWIdpsSignature
- AZFWDnsQuery
- AZFWInternalFqdnResolutionFailure
- AZFWNetworkRuleAggregation
- AZFWApplicationRuleAggregation
- AZFWNatRuleAggregation
- AzureActivity
- AzureMetrics
- AzureDiagnostics
Registo de atividades
A tabela vinculada lista as operações que podem ser registradas no log de atividades desse serviço. Essas operações são um subconjunto de todas as operações possíveis do provedor de recursos no log de atividades.
Para obter mais informações sobre o esquema de entradas do log de atividades, consulte Esquema do log de atividades.
Conteúdos relacionados
- Consulte Monitorar o Firewall do Azure para obter uma descrição do monitoramento do Firewall do Azure.
- Consulte Monitorar recursos do Azure com o Azure Monitor para obter detalhes sobre o monitoramento de recursos do Azure.