使用 Azure Monitor 代理收集防火墙日志 | 您所在的位置:网站首页 › windows更新检查 › 使用 Azure Monitor 代理收集防火墙日志 |
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。 使用 Azure Monitor 代理收集防火墙日志(预览版) 项目 06/03/2023Windows 防火墙是一款 Microsoft Windows 应用程序,用于筛选从 Internet 传入系统的信息并阻止可能有害的程序。 在 Windows 10 版本 2004 及更高版本中,它也称为 Microsoft Defender 防火墙。 可按照以下步骤打开或关闭它: 选择“开始”,然后打开“设置” 在“更新和安全”下,选择“Windows 安全中心”>“防火墙和网络保护”。 选择网络配置文件:域、专用或公用。 在“Microsoft Defender 防火墙”下,将设置切换到“开”或“关”。 先决条件如果要完成此过程,需要: Log Analytics 工作区,你在其中至少拥有参与者权限。 数据收集终结点。 在工作区中创建数据收集规则对象的权限。 运行防火墙的虚拟机、虚拟机规模集或已启用 Arc 的本地计算机。 创建用于收集防火墙日志的数据收集规则数据收集规则定义: Azure Monitor 代理扫描哪些源日志文件以查找新事件。 Azure Monitor 如何在引入期间转换事件。 Azure Monitor 将数据发送到的目标 Log Analytics 工作区和表。可以定义数据收集规则,以将数据从多台计算机发送到多个 Log Analytics 工作区,包括不同区域或租户中的工作区。 在 Analytics 工作区所在的同一区域中创建数据收集规则。 注意 若要跨租户发送数据,必须先启用 Azure Lighthouse。 若要在 Azure 门户中创建数据收集规则,请执行以下操作: 在的“监视”菜单中,选择“数据收集规则”。 选择“创建”,创建新的数据收集规则和关联。 输入“规则名称”并指定“订阅”、“资源组”、“区域”和“平台类型”: “区域”指定将在其中创建 DCR 的位置。 虚拟机及其关联可以处于租户中的任何订阅或资源组中。 “平台类型”指定此规则可应用到的资源类型。 “自定义”选项允许 Windows 和 Linux 两种类型。 -Data Collection End Point select a previously created data collection end point.在“资源”选项卡上: 选择“+ 添加资源”并将资源关联到数据收集规则。 资源可以是虚拟机、虚拟机规模集和 Azure Arc for servers。 Azure 门户将在尚未安装 Azure Monitor 代理的资源上安装 Azure Monitor 代理。 重要 门户可以在目标资源上启用系统分配的托管标识,还包括现有的用户分配的标识(如有)。 对于现有应用程序,除非在请求中指定用户分配的标识,否则计算机将默认使用系统分配的标识。 如果需要使用专用链接进行网络隔离,请为相应资源选择同一区域的现有终结点,或创建新的终结点。 选择“启用数据收集终结点”。 为与数据收集规则关联的每个资源选择数据收集终结点。 在“收集和传递”选项卡上,选择“添加数据源”以添加数据源并设置目标。 选择“防火墙日志”。 在“目标”选项卡上,为数据源添加一个或多个目标。 你可以选择多个相同或不同类型的目标。 例如,你可以选择多个 Log Analytics 工作区,这也称为多宿主。 选择“查看 + 创建”,查看数据收集规则的详细信息以及与虚拟机集的关联。 选择“创建”,创建数据收集规则。 注意 创建数据收集规则后,可能需要最多 5 分钟的时间来将数据发送到目标。 示例日志查询按主机的 URL (www.contoso.com) 统计防火墙日志条目的数量。 WindowsFirewall | where csHost=="www.contoso.com" | summarize count() by csUriStem 疑难解答按照以下步骤排查防火墙日志收集问题。 运行 Azure Monitor 代理疑难解答若要测试配置并与 Microsoft 共享日志,请使用 Azure Monitor 代理疑难解答 检查是否已收到任何防火墙日志首先在 Log Analytics 中运行以下查询,检查是否为防火墙日志收集了任何记录。 如果查询未返回任何记录,请查看其他部分以了解可能的原因。 此查询将查找过去两天的条目,但你也可修改为其他时间范围。 WindowsFirewall | where TimeGenerated > ago(48h) | order by TimeGenerated desc 验证是否正在创建防火墙日志查看日志文件的时间戳,并打开最新的日志文件以查看其中是否存在最新的时间戳。 防火墙日志文件的默认位置为 C:\windows\system32\logfiles\firewall\pfirewall.log 后续步骤了解有关以下方面的详细信息: Azure Monitor 代理。 数据收集规则。 数据收集终结点 |
CopyRight 2018-2019 实验室设备网 版权所有 |