使用 Azure 監視器代理程式收集防火牆記錄
Windows 防火牆是 Microsoft Windows 應用程式,可篩選從網際網路傳送給您系統的資訊,並封鎖潛在的有害程式。 Windows 防火牆記錄會在用戶端和伺服器作業系統上產生。 這些記錄提供有關網路流量的重要資訊,包括已卸除的封包和成功的連線。 您可以使用 Windows 事件轉送 (WEF) 之類的方法,或將記錄轉送至 Azure Sentinel 等 SIEM 產品,來剖析 Windows 防火牆記錄檔。 您可以在任何 Windows 系統上遵循下列步驟來開啟或關閉:
- 選取 [開始],然後開啟 [設定]。
- 在 [更新與安全性] 底下,選取 [Windows 安全性]、[防火牆與網路保護]。
- 選取網路設定檔:網域、私人或公用。
- 在 [Microsoft Defender 防火牆] 下,將設定切換為 [開啟] 或 [關閉]。
必要條件
為完成此程序,您需要:
- 您至少擁有參與者權限所在的 Log Analytics 工作區。
- 資料收集端點。
- 在工作區中建立資料收集規則物件的權限。
- 執行防火牆的虛擬機器、虛擬機器擴展集或已啟用Arc的內部部署機器。
將防火牆資料表新增至 Log Analytics 工作區
不同於在 LAW 中預設建立的其他資料表,Windows 防火牆資料表必須以手動方式建立。 搜尋安全性與稽核解決方案並加以建立。 請看下方的螢幕擷取畫面。 如果資料表不存在,您會收到 DCR 部署錯誤,指出該資料表不存在於 LAW 中。 所建立的防火牆資料表結構描述位於這裡:Windows 防火牆結構描述
建立資料收集規則以收集防火牆記錄
資料收集規則定義:
- Azure 監視器代理程式要掃描哪些來源記錄檔以找出新事件。
- Azure 監視器如何在擷取時轉換事件。
- 接收 Azure 監視器資料傳送的目的地 Log Analytics 工作區和資料表。
您可以定義資料收集規則,將資料從多部電腦傳送至 Log Analytics 工作區,包括不同區域或租用戶的工作區。 在與 Analytics 工作區相同的區域中建立資料收集端點。
注意
若要跨租用戶傳送資料,您必須先啟用 Azure Lighthouse。
若要在 Azure 入口網站中建立資料收集規則:
在 [監視器] 功能表上,選取 [資料收集規則]。
選取 [建立],以建立新的資料收集規則與關聯。
![顯示 [資料收集規則] 畫面上 [建立] 按鈕的螢幕擷取畫面。](media/data-collection-firewall-log/data-collection-rules-updated.png)
輸入 [規則名稱],並指定 [訂用帳戶]、[資源群組]、[區域] 和 [平台類型]:
- [區域] 會指定將建立 DCR 的位置。 虛擬機器與其關聯可位於租用戶的任何訂用帳戶或資源群組中。
- [平台類型] 會指定此規則可套用的目標資源類型。 [自訂] 選項同時允許 Windows 和 Linux 類型。 -資料收集端點選取先前建立的資料集合端點。
![螢幕擷取畫面:顯示 [資料收集規則] 畫面的 [基本] 索引標籤。](media/data-collection-firewall-log/data-collection-rule-basics-updated.png)
在 [資源] 索引標籤上:選取 [+ 新增資源],並將資源與資料收集規則產生關聯。 資源可以是虛擬機器、虛擬機器擴展集,以及適用於伺服器的 Azure Arc。 Azure 入口網站會在尚未安裝 Azure 監視器代理程式的資源上安裝該代理程式。
![顯示 [資料收集規則] 畫面上 [建立] 按鈕的螢幕擷取畫面。](media/data-collection-firewall-log/data-collection-rules-updated.png#lightbox)
![螢幕擷取畫面:顯示 [資料收集規則] 畫面的 [基本] 索引標籤。](media/data-collection-firewall-log/data-collection-rule-basics-updated.png#lightbox)
重要
除了現有的使用者指派身分識別以外 (若有),入口網站也會在目標資源上啟用系統指派的受控識別。 針對現有應用程式,除非您在要求中指定使用者指派的身分識別,否則機器預設會改用系統指派的身分識別。 若必須使用私人連結的網路隔離,各資源應分別選取相同區域的現有端點,或建立新端點。
在 [收集並傳遞] 索引標籤上,選取 [新增資料來源],以新增資料來源並設定目的地。
選取 [防火牆記錄檔]。
在 [目的地] 索引標籤上,為資料來源新增目的地。
選取 [檢閱 + 建立],以檢閱資料收集規則的詳細資料,以及與虛擬機器集的關聯。
選取 [建立] 以建立資料收集規則。
注意
建立資料收集規則後,最多可能需要 5 分鐘的時間,資料才會傳送至目的地。
記錄查詢範例
依據主機 URL www.contoso.com 的防火牆記錄項目計數。
WindowsFirewall
| take 10
疑難排解
使用下列步驟來對防火牆記錄的收集進行疑難排解。
執行 Azure 監視器代理程式疑難排解
若要測試設定並與 Microsoft 共用記錄,請使用 Azure 監視器代理程式疑難排解員。
檢查是否已收到任何防火牆記錄
首先,在 Log Analytics 中執行下列查詢,以檢查是否已收集防火牆記錄的任何記錄。 如果查詢未傳回任何記錄,請檢查其他區段以了解可能的原因。 此查詢會尋找過去兩天內的項目,但您可以修改以取得另一個時間範圍。
WindowsFirewall
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
驗證防火牆記錄正在建立
查看記錄檔的時間戳記,並開啟最新的記錄檔,以確定記錄檔中有最新的時間戳記。 防火牆記錄檔的預設位置為 C:\windows\system32\logfiles\firewall\pfirewall.log。
若要開啟記錄,請遵循下列步驟。
- gpedit {按照圖片}
- netsh advfirewall>set allprofiles logging allowedconnections enable
- netsh advfirewall>set allprofiles logging droppedconnections enable
下一步
深入了解: