Azure Azure Firewall Azure Network

Azure Firewall Flow trace günlükleri Nedir ? Nasil Yapılandırılır ?

4 ay Once
by Emre Martin
82 min read
Avatar
Written by Emre Martin

Azure Firewall; Network, Application, threat intelligence traffic gibi çeşitli trafik için günlükler sağlar.

Bu günlükler, SYN paketi olarak da bilinen İletim Kontrol Protokolü (Transmission Control Protocol- TCP) bağlantısının ilk denemesinde güvenlik duvarından geçen trafiği göstermektedir. Ancak bu, paketin TCP el sıkışmasındaki tüm yolculuğunu göstermez. Güvenlik duvarından geçen her paketi izleme ve takip etme yeteneği, paket düşmelerini veya asimetrik rotaları tanımlamak için çok önemlidir.

Sonuç olarak, bir paketin güvenlik duvarından başarıyla geçip geçmediği veya asimetrik yönlendirme olup olmadığı Flow Trace’teki ek TCP el sıkışma günlüklerini (handshake logs) görüntüleyerek doğrulanabilir. Bunu yapmak için, ilk SYN paketini görüntülemek üzere ağ günlüklerini izleyebilir ve doğrulama için paketlerin geri kalanını görüntülemek üzere Flow Trace günlüklerini etkinleştirebilirsiniz.

Not: Azure Güvenlik Duvarı’nın aşırı Disk kullanımını önlemek için yalnızca belirli bir sorunu çözerken tanımlama amaclı bu günlükler etkinleştirilmelidir.

Flow trace günlüklerinin ayrıntıları:

  • SYN-ACK: SYN paketinin onaylandığını gösteren onay bayrağı.
  • FIN: Orijinal paket akışının tamamlandığını gösteren bayrak. TCP akışında artık veri iletilmez.
  • FIN-ACK: FIN paketinin onaylandığını gösteren onay bayrağı.
  • RST: Bayrağı sıfırla, orijinal gönderenin daha fazla veri almadığını gösterir.
  • INVALID: Paketin tanımlanamadığını veya herhangi bir durumu olmadığını belirtir.

Flow Trace günlükleri etkinleştirebilmek için Azure Firewall üzerinde yapılandırılmış günlüklerin (structured logs) etkinleştirilmiş olması gerekmektedir:

Screenshot showing log destination details.

Sonrasında aşağıdaki PowerShell komutlarını ile etkinleştirebilirsiniz:

  • Connect-AzAccount
  • Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
  • Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
  • Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Komutun başarılı olduğunu kontrol etmek için:

  • Get-AzProviderFeature -FeatureName “AFWEnableTcpConnectionLogging” -ProviderNamespace “Microsoft.Network”

Son olarak Azure Firewall -> Logs -> Monitoring sekmesinden Azure Firewall flow trace logs sorgusunu çalıştırabilirsiniz:

A screenshot of a computerDescription automatically generated

Daha fazlasi için:

https://learn.microsoft.com/en-ie/azure/firewall/enable-top-ten-and-flow-trace

 

Sizin için önerdiğimiz diğer yazılarımız...

Yazar Hakkında

Avatar

Emre Martin

Cloud Solutions Architect

Tüm Yazıları Göster