使用 Azure Monitor 从虚拟机收集 Windows 防火墙日志

Windows 防火墙是一款 Microsoft Windows 应用程序，用于筛选从 Internet 传入系统的信息并阻止可能有害的程序。 Windows 防火墙日志在客户端和服务器操作系统上生成。 这些日志提供有关网络流量的重要信息，包括丢弃的数据包和成功的连接。 可以使用 Windows 事件转发 (WEF) 等方法或将日志转发到 Azure Sentinel 等 SIEM 产品来解析 Windows 防火墙日志文件。

有关创建 DCR 的详细信息，请参阅 使用 Azure Monitor 从 VM 客户端收集数据。 本文提供有关 Windows 防火墙数据源类型的更多详细信息。

先决条件

除了 使用 Azure Monitor 从虚拟机客户端收集数据的先决条件之外，还需要安装 安全和审核 解决方案，以便在 Log Analytics 工作区中创建 WindowsFirewall 表。

在 Azure 门户中，搜索 安全和审核 ，并从市场中选择解决方案。 出现提示时，请指定要在其中发送防火墙日志数据的 资源组 和 Log Analytics 工作区 。

配置防火墙日志数据源

通过使用 Azure Monitor 从虚拟机客户端收集数据中的流程创建 DCR。 在 DCR 的“收集和传递”选项卡上，从“数据源类型”下拉列表中选择“防火墙日志”。 选择要收集的每个网络配置文件。

添加目标

防火墙日志只能发送到存储在 事件 表中的 Log Analytics 工作区。 添加 Azure Monitor 日志 类型的目标并选择 Log Analytics 工作区。 只能将单个工作区添加到防火墙日志数据源的 DCR。 如果需要多个目标，请创建多个 DCR。 请注意，这会向每个接收方发送重复数据，从而导致额外的成本。

验证数据收集

若要验证是否正在收集数据，请检查表中的记录 WindowsFirewall 。 在虚拟机或 Azure 门户中的 Log Analytics 工作区中，选择 “日志 ”，然后单击“ 表 ”按钮。 在“安全和审核”类别下，单击 WindowsFirewall 旁边的“运行”。 如果此部分或表未显示在列表中，请检查 “故障排除 ”，了解解决问题的步骤。

故障排除

按照以下步骤排查防火墙日志收集问题。

验证是否已启用 Windows 防火墙

在 Windows 计算机上执行以下步骤：

1. 选择“ 开始”，然后打开 “设置”。
2. 在 “更新和安全”下，选择 “Windows 安全性”，然后选择 “防火墙”和“网络保护”。
3. 选择网络配置文件： 域、 专用或 公用。
4. 验证 Microsoft Defender 防火墙 设置是否已切换到 On。

验证是否正在创建防火墙日志

首先检查日志文件的时间戳并打开最新时间戳，以查看日志文件中是否存在最新的时间戳。 防火墙日志文件的默认位置为 C：\windows\system32\logfiles\firewall\pfirewall.log。

若要验证和修改日志记录设置，请按照 Windows 计算机上的以下步骤作：

1. 在 “防火墙和网络保护 ”页中，选择“ 高级设置”。

2. 选择“监视”并检查每个配置文件的日志记录设置。

   

3. 若要更改日志记录设置，请在左窗格中右键单击 Windows Defender 防火墙 ，然后选择“ 属性”。 选择“日志记录”旁边的“自定义”，并修改每个配置文件的任何设置。

   

可以使用以下命令行为所有配置文件启用日志功能：

netsh advfirewall set allprofiles logging allowedconnections enable​
netsh advfirewall set allprofiles logging droppedconnections enable​

运行 Azure Monitor 代理疑难解答

若要测试配置并与Microsoft共享日志，请使用 Azure Monitor 代理疑难解答。

后续步骤

了解有关以下方面的详细信息：

• Azure Monitor 代理。
• 数据收集规则。
• 数据收集终结点