Dela via

Samla in Firewall-loggar med Azure Monitor-agenten

  • Artikel

Windows Firewall är ett Microsoft Windows-program som filtrerar information som kommer till systemet från Internet och blockerar potentiellt skadliga program. Windows Firewall-loggar genereras på både klientens och serverns operativsystem. Dessa loggar ger värdefull information om nätverkstrafik, inklusive borttagna paket och lyckade anslutningar. Parsning av Loggfiler för Windows-brandväggen kan göras med metoder som Vidarebefordran av Windows-händelser (WEF) eller vidarebefordra loggar till en SIEM-produkt som Azure Sentinel. Du kan aktivera eller inaktivera det genom att följa dessa steg i alla Windows-system:

  1. Välj Start och öppna sedan Inställningar.
  2. Under Uppdatera och säkerhet väljer du Windows-säkerhet, Brandvägg och nätverksskydd.
  3. Välj en nätverksprofil: domän, privat eller offentlig.
  4. Under Microsoft Defender-brandväggen växlar du inställningen till På eller Av.

Förutsättningar

För att slutföra den här proceduren behöver du:

Lägg till en Firewall-tabell i Log Analytics-arbetsytan

Till skillnad från andra tabeller som skapas som standard i LAW måste windows-brandväggstabellen skapas manuellt. Sök efter säkerhets- och granskningslösningen och skapa den. Se skärmbilden nedan. Om tabellen inte finns får du ett DCR-distributionsfel som anger att tabellen inte finns i LAW. Schemat för brandväggstabellen som skapas finns här: Windows-brandväggsschema

Skärmbild som visar hur du lägger till säkerhets- och granskningslösningen.

Skapa en datainsamlingsregel för att samla in Firewall-loggar

Datainsamlingsregeln definierar:

  • Vilka källloggfiler Azure Monitor Agent söker efter nya händelser.
  • Hur Azure Monitor transformerar händelser under inmatning.
  • Log Analytics-målarbetsytan och tabellen som Azure Monitor skickar data till.

Du kan definiera en datainsamlingsregel för att skicka data från flera datorer till en Log Analytics-arbetsyta, inklusive arbetsyta i en annan region eller klientorganisation. Skapa datainsamlingsregeln i samma region som din Analytics-arbetsyta.

Kommentar

Om du vill skicka data mellan klienter måste du först aktivera Azure Lighthouse.

Så här skapar du datainsamlingsregeln i Azure Portal:

  1. På menyn Övervaka väljer du Regler för datainsamling.

  2. Välj Skapa för att skapa en ny regel och associationer för datainsamling.

    Skärmbild som visar knappen Skapa på skärmen Datainsamlingsregler.

  3. Ange ett regelnamn och ange en prenumeration, resursgrupp, region och plattformstyp:

    • Region anger var DCR ska skapas. De virtuella datorerna och deras associationer kan finnas i valfri prenumeration eller resursgrupp i klientorganisationen.
    • Plattformstyp anger vilken typ av resurser som den här regeln kan tillämpas på. Alternativet Anpassad tillåter både Windows- och Linux-typer. -Slutpunkt för datainsamling väljer en tidigare skapad slutpunkt för datainsamling.

    Skärmbild som visar fliken Grundläggande på skärmen Datainsamlingsregel.

  4. På fliken Resurser : Välj + Lägg till resurser och associera resurser med datainsamlingsregeln. Resurser kan vara virtuella datorer, VM-skalningsuppsättningar och Azure Arc för servrar. Azure Portal installerar Azure Monitor Agent på resurser som inte redan har den installerad.

Viktigt!

Portalen aktiverar systemtilldelad hanterad identitet på målresurserna, tillsammans med befintliga användartilldelade identiteter, om det finns några. För befintliga program, såvida du inte anger den användartilldelade identiteten i begäran, använder datorn som standard systemtilldelad identitet i stället. Om du behöver nätverksisolering med privata länkar väljer du befintliga slutpunkter från samma region för respektive resurser eller skapar en ny slutpunkt.

  1. På fliken Samla in och leverera väljer du Lägg till datakälla för att lägga till en datakälla och ange ett mål.

  2. Välj Brandväggsloggar.

    Skärmbild som visar Azure Portal formulär för att välja brandväggsloggar i en datainsamlingsregel.

  3. På fliken Mål lägger du till ett mål för datakällan.

    Skärmbild som visar Azure Portal formulär för att lägga till en datakälla i en datainsamlingsregel.

  4. Välj Granska + skapa för att granska informationen om datainsamlingsregeln och associationen med uppsättningen virtuella datorer.

  5. Välj Skapa för att skapa datainsamlingsregeln.

Kommentar

Det kan ta upp till 5 minuter innan data skickas till målen när du har skapat datainsamlingsregeln.

Exempelloggfrågor

Räkna brandväggsloggposterna efter URL för värden www.contoso.com.

WindowsFirewall 
| take 10

Skärmbild som visar resultatet av en brandväggsloggfråga.

Felsöka

Använd följande steg för att felsöka insamlingen av brandväggsloggar.

Köra felsökaren för Azure Monitor Agent

Om du vill testa konfigurationen och dela loggar med Microsoft använder du felsökaren för Azure Monitor-agenten.

Kontrollera om några brandväggsloggar har tagits emot

Börja med att kontrollera om några poster har samlats in för brandväggsloggarna genom att köra följande fråga i Log Analytics. Om frågan inte returnerar poster kontrollerar du de andra avsnitten efter möjliga orsaker. Den här frågan söker efter poster under de senaste två dagarna, men du kan ändra för ett annat tidsintervall.

WindowsFirewall
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc

Kontrollera att brandväggsloggar skapas

Titta på tidsstämplarna för loggfilerna och öppna det senaste för att se att de senaste tidsstämplarna finns i loggfilerna. Standardplatsen för brandväggsloggfiler är C:\windows\system32\logfiles\firewall\pfirewall.log.

Skärmbild som visar brandväggsloggar på en lokal disk.

Aktivera loggning genom att följa dessa steg.

  1. gpedit {följ bilden}
  2. netsh advfirewall>set allprofiles logging allowedconnections enable
  3. netsh advfirewall>set allprofiles logging droppedconnections enable

Skärmbild som visar alla steg för att aktivera loggning.

Nästa steg

Läs mer om: