Azure Firewall 監視データリファレンス
この記事には、このサービスに関するすべての監視リファレンス情報が含まれています。
Azure Firewall 用に収集できるデータとその使用方法の詳細については、「 Monitor Azure Firewall 」を参照してください。
メトリック
このセクションには、このサービスに関して自動的に収集されるすべてのプラットフォーム メトリックが一覧表示されています。 これらのメトリックは、Azure Monitor でサポートされているすべてのプラットフォーム メトリックのグローバル リストにも含まれています。
メトリックのリテンション期間の詳細については、「Azure Monitor メトリックの概要」を参照してください。
Microsoft.Network/azureFirewalls でサポートされているメトリック
次の表に、Microsoft.Network/azureFirewalls リソースの種類で使用できるメトリックを示します。
- すべての列がすべてのテーブルに存在しないことがあります。
- 一部の列がページの表示領域を超えている場合があります。 [テーブルの展開] を選択すると、使用可能なすべての列が表示されます。
テーブルの見出し
- カテゴリ - メトリック グループまたは分類。
- メトリック - Azure Portal に表示されるメトリックの表示名。
- REST API の名前 - REST API で参照されるメトリック名。
- 単位 - 測定単位。
- 集計 - 既定の集計の種類。 有効な値: 平均 (Avg)、最小 (Min)、最大 (Max)、合計 (Sum)、数。
- ディメンション - メトリックで使用できるディメンション。
- 時間グレイン - メトリックをサンプリングする間隔。 たとえば、
PT1M
は、メトリックを 1 分ごとに、PT30M
は 30 分ごとに、PT1H
は 1 時間ごとにサンプリングすることを示します。 - DS エクスポート - メトリックが診断設定を介して Azure Monitor ログにエクスポート可能かどうかを示します。 メトリックのエクスポートについては、「Azure Monitor で診断設定を作成する」を参照してください。
メトリック | REST API での名前 | 出荷単位 | 集計 | Dimensions | 期間粒度 | DS エクスポート |
---|---|---|---|---|---|---|
アプリケーション ルールヒット数 アプリケーション規則がヒットした回数 |
ApplicationRuleHit |
カウント | 合計 (和) | Status 、 Reason 、 Protocol |
PT1M | はい |
処理されたデータ ファイアウォールによって処理されたデータの総量 |
DataProcessed |
バイト | 合計 (和) | <なし> | PT1M | はい |
ファイアウォールの正常性状態 このファイアウォールの全体的な正常性を示します |
FirewallHealth |
Percent | Average | Status , Reason |
PT1M | はい |
待機時間プローブ 待機時間プローブによって測定されたファイアウォールの平均待機時間の見積もり |
FirewallLatencyPng |
ミリ秒 | Average | <なし> | PT1M | はい |
ネットワーク ルールヒット数 ネットワーク規則がヒットした回数 |
NetworkRuleHit |
カウント | 合計 (和) | Status 、 Reason 、 Protocol |
PT1M | はい |
SNAT ポート使用率 現在使用されている送信 SNAT ポートの割合 |
SNATPortUtilization |
パーセント | Average、Maximum | Protocol |
PT1M | はい |
スループット このファイアウォールによって処理されたスループット |
Throughput |
BitsPerSecond | Average | <なし> | PT1M | いいえ |
ファイアウォールの正常性状態
前の表では、 Firewall 正常性状態 メトリックには 2 つのディメンションがあります。
- 状態:値は [Healthy] (正常)、 [Degraded] (低下)、 [Unhealthy] (異常) のいずれかになります。
- 理由:ファイアウォールの対応する状態の理由を示します。
SNAT ポートが 95% より多く使用されている場合、それらは使い果たされたと見なされ、status=Degraded reason=SNAT ポートで正常性が 50% になります。 ファイアウォールによってトラフィックの処理が継続され、既存の接続に影響はありません。 ただし、新しい接続が断続的に確立されない場合があります。
SNAT ポートの使用率が 95% 未満の場合、ファイアウォールは正常と見なされ、正常性は 100% として表示されます。
SNAT ポートの使用が報告されない場合、正常性は 0% として表示されます。
SNAT ポート使用率
SNAT ポート使用率メトリックでは、ファイアウォールにパブリック IP アドレスを追加すると、SNAT ポートが増え、SNAT ポートの使用率が低下します。 さらに、さまざまな理由 (CPU やスループットなど) のためにファイアウォールがスケールアウトされると、より多くの SNAT ポートも使用できるようになります。
実際には、サービスがスケールアウトされたからといって、パブリック IP アドレスを追加しなくても、SNAT ポート使用率の特定の割合が低下する可能性があります。ファイアウォールで使用可能なポートを増やすために使用できるパブリック IP アドレスの数を直接制御できます。 ただし、ファイアウォールのスケーリングを直接制御することはできません。
ファイアウォールで SNAT ポートの枯渇が起きている場合は、少なくとも 5 つのパブリック IP アドレスを追加する必要があります。 これにより、使用可能な SNAT ポートの数が増えます。 詳細については、Azure Firewall の機能に関するページをご覧ください。
AZFW 待機時間プローブ
AZFW 待機時間プローブメトリックは、Azure Firewall の全体的または平均待機時間をミリ秒単位で測定します。 管理者は、次の目的でこのメトリックを使用できます。
- ネットワークの待機時間の原因が Azure Firewall にあるかどうかを診断する
- 待機時間やパフォーマンスの問題があるかどうかを監視してアラートを生成し、IT チームが積極的に関与できるようにする。
- Azure Firewall の待機時間が長くなる原因には、さまざまな理由が考えられます。 たとえば、CPU 使用率やスループットが高い、またはネットワークの問題が発生している可能性があります。
AZFW 待機時間プローブ メトリックの測定 (および測定しない):
- 測定対象: Azure プラットフォーム内の Azure Firewall の待機時間
- 測定されないもの: メトリックは、ネットワーク パス全体のエンドツーエンドの待機時間をキャプチャしません。 代わりに、Azure Firewall がネットワークに導入する待機時間ではなく、ファイアウォール内のパフォーマンスが反映されます。
- エラー報告: 待機時間メトリックが正しく機能していない場合は、メトリック ダッシュボードに値 0 が報告され、プローブの失敗または中断が示されます。
待機時間に影響を与える要因:
- 高い CPU 使用率
- 高スループットまたはトラフィック負荷
- Azure プラットフォーム内のネットワークの問題
待機時間プローブ: ICMP から TCP へ 待機時間プローブでは現在、ICMP (インターネット制御メッセージ プロトコル) に基づく Microsoft の Ping Mesh テクノロジが使用されています。 ICMP は ping 要求などの迅速な正常性チェックに適していますが、実際のアプリケーション トラフィック (通常は TCP に依存) を正確に表していない場合があります。ただし、ICMP プローブは Azure プラットフォーム間で優先順位が異なるため、SKU 間で変動する可能性があります。 これらの不一致を減らすために、Azure Firewall は TCP ベースのプローブに移行する予定です。
- 待機時間の急増: ICMP プローブでは、断続的なスパイクは正常であり、ホスト ネットワークの標準的な動作の一部です。 これらは、永続的でない限り、ファイアウォールの問題として誤って解釈しないでください。
- 平均待機時間: 平均すると、Azure Firewall の待機時間は、Firewall SKU とデプロイ サイズに応じて 1 ミリ秒から 10 ミリ秒の範囲になると予想されます。
待機時間を監視するためのベスト プラクティス
ベースラインの設定: 通常またはピーク時の正確な比較のために、軽いトラフィック条件下で待機時間のベースラインを確立します。
パターンを監視する: 通常の操作の一部として、待機時間が急上昇する場合があります。 これらの通常のバリエーションを超えて長い待機時間が続く場合は、調査が必要なより深い問題を示している可能性があります。
推奨される待機時間のしきい値: 推奨されるガイドラインは、待機時間がベースラインの 3 倍を超えないようにすることです。 このしきい値を超えた場合は、さらに調査することをお勧めします。
ルールの制限を確認します。ネットワーク ルールが 20,000 ルールの制限内にあることを確認します。 この制限を超えると、パフォーマンスに影響する可能性があります。
新しいアプリケーションのオンボード: 負荷が大幅に増加したり、待機時間の問題が発生したりする可能性がある、新しくオンボードされたアプリケーションを確認します。
サポート要求: 予想される動作と一致しない継続的な待機時間が発生する場合は、サポート チケットを提出してさらにサポートを受けてください。
メトリック ディメンション
メトリック ディメンションについては、「多次元メトリック」を参照してください。
このサービスでは、次のディメンションがそのメトリックに関連付けられています。
- プロトコル
- 理由
- 状態
リソース ログ
このセクションでは、このサービス用に収集できるリソース ログの種類を一覧表示します。 このセクションでは、Azure Monitor でサポートされているすべてのリソース ログ カテゴリの種類のリストからプルされます。
Microsoft.Network/azureFirewalls でサポートされているリソース ログ
カテゴリ | カテゴリの表示名 | ログ テーブル | 基本ログ プランをサポート | インジェスト時間変換をサポート | クエリの例 | エクスポートするコスト |
---|---|---|---|---|---|---|
AZFWApplicationRule |
Azure Firewall アプリケーション ルール | AzureDiagnostics 複数の Azure リソースからのログ。 |
いいえ | いいえ | クエリ | はい |
AZFWApplicationRuleAggregation |
Azure Firewall ネットワーク ルールの集計 (ポリシー分析) | AzureDiagnostics 複数の Azure リソースからのログ。 |
いいえ | いいえ | クエリ | はい |
AZFWDnsQuery |
Azure Firewall DNS クエリ | AzureDiagnostics 複数の Azure リソースからのログ。 |
いいえ | いいえ | クエリ | はい |
AZFWFatFlow |
Azure Firewall Fat Flow ログ | AzureDiagnostics 複数の Azure リソースからのログ。 |
いいえ | いいえ | クエリ | はい |
AZFWFlowTrace |
Azure Firewall フロー トレース ログ | AzureDiagnostics 複数の Azure リソースからのログ。 |
いいえ | いいえ | クエリ | はい |
AZFWFqdnResolveFailure |
Azure Firewall FQDN 解決エラー | AzureDiagnostics 複数の Azure リソースからのログ。 |
いいえ | いいえ | クエリ | はい |
AZFWIdpsSignature |
Azure Firewall IDPS シグネチャ | AzureDiagnostics 複数の Azure リソースからのログ。 |
いいえ | いいえ | クエリ | はい |
AZFWNatRule |
Azure Firewall Nat ルール | AzureDiagnostics 複数の Azure リソースからのログ。 |
いいえ | いいえ | クエリ | はい |
AZFWNatRuleAggregation |
Azure Firewall Nat ルールの集計 (ポリシー分析) | AzureDiagnostics 複数の Azure リソースからのログ。 |
いいえ | いいえ | クエリ | はい |
AZFWNetworkRule |
Azure Firewall ネットワーク ルール | AzureDiagnostics 複数の Azure リソースからのログ。 |
いいえ | いいえ | クエリ | はい |
AZFWNetworkRuleAggregation |
Azure Firewall アプリケーション ルールの集計 (ポリシー分析) | AzureDiagnostics 複数の Azure リソースからのログ。 |
いいえ | いいえ | クエリ | はい |
AZFWThreatIntel |
Azure Firewall 脅威インテリジェンス | AzureDiagnostics 複数の Azure リソースからのログ。 |
いいえ | いいえ | クエリ | はい |
AzureFirewallApplicationRule |
Azure Firewall アプリケーション ルール (レガシ Azure Diagnostics) | AzureDiagnostics 複数の Azure リソースからのログ。 |
いいえ | いいえ | クエリ | いいえ |
AzureFirewallDnsProxy |
Azure Firewall DNS プロキシ (レガシ Azure Diagnostics) | AzureDiagnostics 複数の Azure リソースからのログ。 |
いいえ | いいえ | クエリ | いいえ |
AzureFirewallNetworkRule |
Azure Firewall ネットワーク ルール (レガシ Azure Diagnostics) | AzureDiagnostics 複数の Azure リソースからのログ。 |
いいえ | いいえ | クエリ | いいえ |
Azure Firewall には、ファイアウォールの監視に役立つ 2 つの新しい診断ログがありますが、現在、これらのログにはアプリケーション ルールの詳細は表示されません。
- 上位のフロー
- フロー トレース
上位のフロー
トップ フロー ログは、業界では fat フロー ログ 前の表では Azure Firewall Fat Flow Log として知られています。 上位のフロー ログには、ファイアウォールを介した最高のスループットに寄与している上位の接続が表示されます。
ヒント
Azure Firewall によって CPU が過剰に使用されることを回避するため、上位のフロー ログは特定の問題のトラブルシューティングを行う場合にのみアクティブにします。
流量は、1 秒あたりのメガビット単位でのデータ伝送速度として定義されます。 これは、ファイアウォールを介して一定期間にネットワーク経由で送信できるデジタル データの量の尺度です。 上位フローのプロトコルは、3 分ごとに定期的に実行されます。 上位フローと見なされる最小しきい値は 1 Mbps です。
次の Azure PowerShell コマンドを使用して、トップ フロー ログを有効にします。
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $true
Set-AzFirewall -AzureFirewall $firewall
ログを無効にするには、前と同じ Azure PowerShell コマンドを使用して、値を False 設定します。
次に例を示します。
Set-AzContext -SubscriptionName <SubscriptionName>
$firewall = Get-AzFirewall -ResourceGroupName <ResourceGroupName> -Name <FirewallName>
$firewall.EnableFatFlowLogging = $false
Set-AzFirewall -AzureFirewall $firewall
更新が成功したことを確認するにはいくつかの方法がありますが、ファイアウォールの [概要] に移動し、右上隅にある [JSON ビュー] を選択できます。 次に例を示します。
診断設定を作成し、リソース固有のテーブルを有効にするには、「Azure Monitor での診断設定の作成を参照してください。
フロー トレース
ファイアウォール ログには、TCP 接続の最初の試行でファイアウォールを通過したトラフィック ( SYN パケットと呼ばれます) が表示されます。 ただし、このようなエントリでは、TCP ハンドシェイク内のパケットの完全な体験は表示されません。 その結果、パケットが破棄された場合や非対称ルーティングが発生した場合のトラブルシューティングが困難になります。 Azure Firewall フロー トレース ログは、この問題に対処します。
ヒント
短時間の接続が多く発生する Azure Firewall のフロー トレース ログによる過剰なディスク使用を避けるため、ログは診断目的で特定の問題をトラブルシューティングするときにのみアクティブにします。
次のプロパティを追加できます。
SYN-ACK: SYN パケットの受信確認を示す ACK フラグ。
FIN: 元のパケット フローのフラグが完了しました。 TCP フローで送信されるデータはこれ以上ありません。
FIN-ACK: FIN パケットの受信確認を示す ACK フラグ。
RST: リセット フラグは、元の送信者がそれ以上のデータを受信しないことを示します。
INVALID (フロー): パケットを識別できないか、状態がないことを示します。
次に例を示します。
- TCP パケットが Virtual Machine Scale Sets インスタンスに到着し、このパケットの以前の履歴がそこにない場合
- 不適切なチェックサムのパケット
- 接続の追跡テーブルのエントリがいっぱいで、新しい接続を受け入れることができない場合
- 過度に遅延した ACK パケット
次の Azure PowerShell コマンドを使用してフロー トレース ログを有効にするか、ポータル内を移動して、有効な TCP 接続ログを検索します
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
この変更が有効になるまで数分かかる場合があります。 この機能が登録されたら、変更をすぐに有効にするために、Azure Firewall に対して更新を実行することを検討してください。
AzResourceProvider 登録の状態を確認するには、Azure PowerShell コマンドを実行します。
Get-AzProviderFeature -FeatureName "AFWEnableTcpConnectionLogging" -ProviderNamespace "Microsoft.Network"
ログを無効にするには、次のコマンドを使用してその登録を解除するか、前のポータルの例で [登録解除] を選択します。
Unregister-AzProviderFeature -FeatureName AFWEnableTcpConnectionLogging -ProviderNamespace Microsoft.Network
診断設定を作成し、リソース固有のテーブルを有効にするには、「Azure Monitor での診断設定の作成を参照してください。
Azure Monitor ログ テーブル
このセクションでは、Kusto クエリを使用した Log Analytics によるクエリに使用できる、このサービスに関連するすべての Azure Monitor ログ テーブルを一覧表示します。 テーブルにはリソース ログ データが含まれており、収集されルーティングされる内容によっては、さらに多くのデータが含まれる場合があります。
Azure Firewall Microsoft.Network/azureFirewalls
- AZFWNetworkRule
- AZFWFatFlow
- AZFWFlowTrace
- AZFWApplicationRule
- AZFWThreatIntel
- AZFWNatRule
- AZFWIdpsSignature
- AZFWDnsQuery
- AZFWInternalFqdnResolutionFailure
- AZFWNetworkRuleAggregation
- AZFWApplicationRuleAggregation
- AZFWNatRuleAggregation
- AzureActivity
- AzureMetrics
- AzureDiagnostics
アクティビティ ログ
リンクされたテーブルには、このサービスのアクティビティ ログに記録できる操作が一覧表示されます。 これらの操作は、アクティビティ ログで使用可能なすべてのリソース プロバイダー操作のサブセットです。
アクティビティ ログ エントリのスキーマの詳細については、「アクティビティ ログのスキーマ」を参照してください。
関連するコンテンツ
- Azure Firewall の監視の詳細については、「 Monitor Azure Firewall 」を参照してください。
- Azure リソースの監視の詳細については、「Azure Monitor で Azure リソースを監視する」を参照してください。