Azure Firewall の ログ
Azure Firewall は、仮想ネットワーク から インターネット へのアクセスを集中制御できます。
ハード機器の Firewall であれば、コマンドでログインして すぐにログを見る事ができたりしますが、 Azure Firewall の場合は、すぐにログは見れません。
Azure Firewall を通過しようとしたパケットを 許可したのか、ブロックしたのか は アクティビティログでは見る事ができません。そのようなログを見るためには、リソースログを Log Analytics と連携する必要があります。そのための手順を 次章 以降で説明しています。
Azure Firewall の 既定のログ
なお、既定で Azure Portal から参照できるログは、アクティビティ ログ のみです。
アクティビティ ログは、リソースを 追加・削除・変更 などを いつ・誰が実施したのかを確認できますが、それだけです。
アクティビティログを Log Analytics に保存する場合は、本手順とは別に 以下の記事の手順を実施する必要があります。
3. Azure Firewall ログを Log Analytics に保存する
通常は、Azure Portal から参照できない、Firewall のアクセスログを参照できるようにする手順です。
3-1. 前提事項
事前に、以下の記事の手順を参照して Log Analytics ワークスペースをデプロイします。
3-2. Azure Firewall の診断設定
続いて、以下の手順を実施します。
- Azure Firewall のリソースのページを開き、左ペインの 監視 を開き 診断設定 を選択します。続いて 診断設定を追加する をクリックします。
- 以下の順に設定を行います。
① 取得するログのカテゴリを決めます(図で 選択している項目が推奨)
② ログの宛先として Log Analytics ワークスペースへの送信 にチェックを入れます。
続いて、出力先のワークスペース名を指定し、リソース固有 を選択します。
③ 診断設定の名称(任意)を指定します。
④ 保存 ボタンを押します。
以下の通知が表示されれば、OK です。
以下の公開情報でも説明されていますが、Azure Diagnostics は古い方式。
リソース固有 が新しい方式で、おススメです。
公開情報
https://learn.microsoft.com/ja-jp/azure/firewall/firewall-structured-logs
4. ワークスペースに保存された Azure Firewall ログ の参照
保存されたログは、以下の操作で参照できます。
① 左ペインの ログ を選択します。
② 時間の範囲 を適切な範囲に設定します。
③ KQL を入力します。 AZFWApplicationRule と入力することで、アプリケーションルール によって制御された際のログが表示されます。
④ 実行 を押すと、KQL 命令が実行された結果が表示されます。
⑤ 表示されたログは、赤枠 をクリックすると 内容を開いて参照できます。
AZFWApplicationRule と入力すると、以下のように表示されます。
そのあと 実行 を押すと、エラーになります。
エラーの原因は、2行目の | です。 | は、続けて命令を書く時に必要がですが、続きの命令が無い場合には、削除してから実行する必要があります。
この他にも、以下の KQL を入力することで 該当のログを参照することができます。
KQL AZFW 関連のリファレンス
左ペインを切替える事で、リファレンスを参照できます。
5. ブックの利用
ブックを活用すると、ログを元に 以下のような グラフィカル な分析結果を参照する事ができるようになります。
ブックの参照方法
概要
アプリケーション規則
ネットワーク規則
調査
参考情報
以下の記事で AVD が利用する通信を Azure Firewall で制御して、ログも取得した例を記載しています。制御の掛け方や、どういうログが取れるのか 参考になると思います。
以下は、フロートレースログの解説をしてくれているので、後で研究してみようと思い、リンクを記録しておきました。