使用 Azure Monitor 代理收集防火墙日志

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Windows 防火墙是一款 Microsoft Windows 应用程序，用于筛选从 Internet 传入系统的信息并阻止可能有害的程序。 在 Windows 10 版本 2004 及更高版本中，它也称为 Microsoft Defender 防火墙。 可按照以下步骤打开或关闭它：

如果要完成此过程，需要：

数据收集规则定义：

可以定义数据收集规则，以将数据从多台计算机发送到多个 Log Analytics 工作区，包括不同区域或租户中的工作区。 在 Analytics 工作区所在的同一区域中创建数据收集规则。

注意

若要跨租户发送数据，必须先启用 Azure Lighthouse。

若要在 Azure 门户中创建数据收集规则，请执行以下操作：

在的“监视”菜单中，选择“数据收集规则”。

选择“创建”，创建新的数据收集规则和关联。

输入“规则名称”并指定“订阅”、“资源组”、“区域”和“平台类型”：

在“资源”选项卡上：

选择“+ 添加资源”并将资源关联到数据收集规则。 资源可以是虚拟机、虚拟机规模集和 Azure Arc for servers。 Azure 门户将在尚未安装 Azure Monitor 代理的资源上安装 Azure Monitor 代理。

重要

门户可以在目标资源上启用系统分配的托管标识，还包括现有的用户分配的标识（如有）。 对于现有应用程序，除非在请求中指定用户分配的标识，否则计算机将默认使用系统分配的标识。

如果需要使用专用链接进行网络隔离，请为相应资源选择同一区域的现有终结点，或创建新的终结点。

选择“启用数据收集终结点”。

为与数据收集规则关联的每个资源选择数据收集终结点。

在“收集和传递”选项卡上，选择“添加数据源”以添加数据源并设置目标。

选择“防火墙日志”。

在“目标”选项卡上，为数据源添加一个或多个目标。 你可以选择多个相同或不同类型的目标。 例如，你可以选择多个 Log Analytics 工作区，这也称为多宿主。

选择“查看 + 创建”，查看数据收集规则的详细信息以及与虚拟机集的关联。

选择“创建”，创建数据收集规则。

注意

创建数据收集规则后，可能需要最多 5 分钟的时间来将数据发送到目标。

按主机的 URL (www.contoso.com) 统计防火墙日志条目的数量。

按照以下步骤排查防火墙日志收集问题。

若要测试配置并与 Microsoft 共享日志，请使用 Azure Monitor 代理疑难解答

首先在 Log Analytics 中运行以下查询，检查是否为防火墙日志收集了任何记录。 如果查询未返回任何记录，请查看其他部分以了解可能的原因。 此查询将查找过去两天的条目，但你也可修改为其他时间范围。

查看日志文件的时间戳，并打开最新的日志文件以查看其中是否存在最新的时间戳。 防火墙日志文件的默认位置为 C:\windows\system32\logfiles\firewall\pfirewall.log

了解有关以下方面的详细信息：