Сбор журналов брандмауэра с помощью агента Azure Monitor

Брандмауэр Windows — это приложение Microsoft Windows, которое фильтрует сведения, поступающие в систему из Интернета, и блокирует потенциально опасные программы. Журналы брандмауэра Windows создаются как на клиентских, так и на серверных операционных системах. Эти журналы предоставляют ценные сведения о сетевом трафике, включая удаленные пакеты и успешные подключения. Анализ файлов журналов брандмауэра Windows можно сделать с помощью таких методов, как пересылка событий Windows (WEF) или перенаправление журналов в продукт SIEM, например Azure Sentinel. Вы можете включить или отключить его, выполнив следующие действия в любой системе Windows:

1. Нажмите кнопку "Пуск", а затем откройте параметры.
2. В разделе "Обновление и безопасность" выберите Безопасность Windows, Брандмауэр и защита сети.
3. Выберите сетевой профиль: домен, частный или общедоступный.
4. В брандмауэре Microsoft Defender переключите параметр "Вкл." или "Выкл.".

Необходимые компоненты

Чтобы выполнить эту процедуру, вам потребуется:

• Рабочая область Log Analytics, в которой у вас есть как минимум права участника.
• Конечная точка сбора данных.
• Разрешения на создание объектов правила сбора данных в рабочей области.
• Виртуальная машина, масштабируемый набор виртуальных машин или локальный компьютер с поддержкой Arc.

Добавьте таблицу брандмауэра в рабочую область Log Analytics

В отличие от других таблиц, созданных по умолчанию в LAW, таблица брандмауэра Windows должна быть создана вручную. Найдите решение "Безопасность и аудит" и создайте его. Просмотрите указанный ниже снимок экрана. Если таблица отсутствует, вы получите ошибку развертывания DCR, указывающую, что таблица отсутствует в LAW. Схема создаваемой таблицы брандмауэра находится здесь: схема брандмауэра Windows

Создайте правило сбора данных для сбора журналов брандмауэра

Правило сбора данных определяет следующее:

• Какие исходные файлы журналов агент Azure Monitor проверяет наличие новых событий.
• Как Azure Monitor преобразует события во время приема.
• Целевая рабочая область Log Analytics и таблица, в которую Azure Monitor отправляет данные.

Вы можете определить правило сбора данных для отправки данных с нескольких компьютеров в рабочие области Log Analytics, включая рабочую область в другом регионе или клиенте. Создайте правило сбора данных в том же регионе , что и рабочая область Analytics.

Примечание.

Чтобы отправлять данные между клиентами, необходимо сначала включить Azure Lighthouse.

Чтобы создать правило сбора данных в портал Azure, выполните следующие действия.

1. В меню "Монитор" выберите "Правила сбора данных".

2. Выберите "Создать", чтобы создать новое правило сбора данных и связи.

   

3. Введите имя правила и укажите подписку, группу ресурсов, регион и тип платформы:

   • Параметр Регион указывает, где будет создано правило сбора данных. Виртуальные машины и их связи могут находиться в любой подписке или группе ресурсов в клиенте.
   • Параметр Тип платформы указывает тип ресурсов, к которому применяется правило. Настраиваемый параметр позволяет использовать как типы Windows, так и Для Linux. -Конечная точка сбора данных выбирает ранее созданную конечную точку сбора данных.

   

4. На вкладке "Ресурсы" выберите и добавьте ресурсы и свяжите ресурсы с правилом сбора данных. Ресурсы могут быть Виртуальные машины, Масштабируемые наборы виртуальных машин и Azure Arc для серверов. Портал Azure устанавливает агент Azure Monitor на ресурсы, которые еще не установлены.

Внимание

Портал включает управляемое удостоверение, назначаемое системой, на целевом ресурсе, а также существующие удостоверения, назначенные пользователем, если есть. Если в запросе не указано удостоверение, назначаемое пользователем, компьютер по умолчанию использует удостоверение, назначаемое системой. Если требуется сетевая изоляция с помощью частных каналов, выберите существующие конечные точки из одного региона для соответствующих ресурсов или создайте новую конечную точку.

1. На вкладке Сбор и доставка нажмите Добавить источник данных, чтобы добавить источник данных и задать назначение.

2. Выберите журналы брандмауэра.

   

3. На вкладке "Назначение " добавьте место назначения для источника данных.

   

4. Выберите "Проверка и создание ", чтобы просмотреть сведения о правиле сбора данных и сопоставлении с набором виртуальных машин.

5. Выберите Создать, чтобы создать правило сбора данных.

Примечание.

После создания правила сбора данных может потребоваться до 5 минут.

Пример запросов журнала

Подсчитывать записи журнала брандмауэра по URL-адресу для www.contoso.com узла.

WindowsFirewall 
| take 10

Устранение неполадок

Чтобы устранить неполадки с коллекцией журналов брандмауэра, выполните следующие действия.

Запуск средства устранения неполадок агента Azure Monitor

Чтобы проверить конфигурацию и предоставить общий доступ к журналам с корпорацией Майкрософт , используйте средство устранения неполадок агента Azure Monitor.

Проверьте, были ли получены журналы брандмауэра.

Сначала проверьте, были ли записи собраны для журналов брандмауэра, выполнив следующий запрос в Log Analytics. Если запрос не возвращает записи, проверьте другие разделы, чтобы получить возможные причины. Этот запрос ищет записи за последние два дня, но вы можете изменить другой диапазон времени.

WindowsFirewall
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc

Убедитесь, что создаются журналы брандмауэра

Посмотрите метки времени файлов журналов и откройте последние, чтобы убедиться, что последние метки времени присутствуют в файлах журналов. Расположение по умолчанию для файлов журналов брандмауэра — C:\windows\system32\logfiles\firewall\pfirewall.log.

Чтобы включить ведение журнала, выполните следующие действия.

1. gpedit {следуйте рисунку}
2. netsh advfirewall>set allprofiles logging allowedconnections enable
3. netsh advfirewall>set allprofiles logging droppedconnections enable

Следующие шаги

Дополнительные сведения:

• Агент Azure Monitor.
• Правила сбора данных.
• Конечные точки сбора данных