Microsoft Azure – 来自选择源 IP 的 Azure 防火墙流日志
在本文中,我们将使用以下三个场景使用 KQL 查询来查找来自选择源 IP 地址的入站或出站的 Azure 防火墙网络流量。
案例 1: KQL 查询以从选择源 IP 地址中查找 Azure 防火墙网络日志,投影所有属性的时间生成、源 IP 地址、目标 IP 地址、操作 - 允许或拒绝、带有协议的网络流消息以及来自和去往的请求使用has关键字。或者您也可以使用逗号分隔值的has_any() 。
KQL 查询:
AzureDiagnostics
| where TimeGenerated between(datetime("2022-01-05 00:00:00") .. datetime("2022-01-08 12:00:00"))
| where Category == "AzureFirewallNetworkRule"
| parse msg_s with Protocol " request from " SourceIP " to " Target ". Action: " Action
| project TimeGenerated, SourceIP, Target, Action, msg_s
| where SourceIP has "_add_source_ip_address_here"输出:
案例 2: KQL 查询以从选择源 IP 地址中查找 Azure 防火墙网络日志,投影时间生成的所有属性、源 IP 地址、目标 IP 地址、操作 - 允许或拒绝、具有协议的网络流消息以及来自和来自的请求使用“==”(等于运算符)。 (确切的源 IP 地址)
KQL 查询:
AzureDiagnostics
| where TimeGenerated between(datetime("2022-01-05 00:00:00") .. datetime("2022-01-08 12:00:00"))
| where Category == "AzureFirewallNetworkRule"
| parse msg_s with Protocol " request from " SourceIP " to " Target ". Action: " Action
| project TimeGenerated, SourceIP, Target, Action, msg_s
| where SourceIP == "_add_source_ip_address_here"输出:
案例 3: KQL 查询以从选择源 IP 地址中查找 Azure 防火墙网络日志,投影时间生成的所有属性、源 IP 地址、目标 IP 地址、操作 - 允许或拒绝、带有协议的网络流消息以及来自和来自的请求使用包含关键字。 (如果匹配项包含任何内容)
KQL 查询:
AzureDiagnostics
| where TimeGenerated between(datetime("2022-01-05 00:00:00") .. datetime("2022-01-08 12:00:00"))
| where Category == "AzureFirewallNetworkRule"
| parse msg_s with Protocol " request from " SourceIP " to " Target ". Action: " Action
| project TimeGenerated, SourceIP, Target, Action, msg_s
| where SourceIP contains "_add_source_ip_address_here"输出:
