Microsoft Azure: registros de flujo de red de firewall con TimeGenerated usando KQL

Posted on by Rudeus Greyrat

Aquí, en este artículo, utilizaremos las consultas de registro de Azure Kql para obtener el tráfico de registros de flujo de red de Azure configurando la hora mediante TimeGenerated en la consulta. Veremos algunos ejemplos y cómo podemos usarlos para filtrar los resultados.

Consulta KQL Ejemplo 1:

Para encontrar los registros de red de Azure de entrada y salida durante las últimas 12 horas proyectando el mensaje de visualización TimeGenerated, Protocol, SourceIP, Target, Action y Complete del registro de flujo de red.

AzureDiagnostics
| where TimeGenerated > ago(12h)
| where Category == "AzureFirewallNetworkRule"
| parse msg_s with Protocol " request from " SourceIP " to " Target ". Action: " Action
| project TimeGenerated, Protocol, SourceIP, Target, Action, Complete_MSG=msg_s

Producción:

Consulta KQL Ejemplo 2:

Para encontrar los registros de red de Azure de entrada y salida durante los últimos 5 minutos proyectando el mensaje de visualización TimeGenerated, Protocol, SourceIP, Target, Action y Complete del registro de flujo de red.

AzureDiagnostics
| where TimeGenerated > ago(5m)
| where Category == "AzureFirewallNetworkRule"
| parse msg_s with Protocol " request from " SourceIP " to " Target ". Action: " Action
| project TimeGenerated, SourceIP, Target, Action, msg_s

Producción:

Consulta KQL Ejemplo 3:

Para encontrar los registros de red de Azure de entrada y salida de los últimos 7 días proyectando el mensaje de visualización TimeGenerated, Protocol, SourceIP, Target, Action y Complete del registro de flujo de red.

AzureDiagnostics
| where TimeGenerated > ago(7d)
| where Category == "AzureFirewallNetworkRule"
| parse msg_s with Protocol " request from " SourceIP " to " Target ". Action: " Action
| project TimeGenerated, SourceIP, Target, Action, msg_s

Producción:

Ejemplo de consulta KQL 4:

Para encontrar los registros de red de Azure de entrada y salida con el rango de tiempo usando entre palabra clave y para proyectar el mensaje de visualización TimeGenerated, Protocol, SourceIP, Target, Action y Complete del registro de flujo de red.

AzureDiagnostics
| where TimeGenerated between(datetime("2022-01-05 00:00:00") .. datetime("2022-01-08 12:00:00"))
| where Category == "AzureFirewallNetworkRule"
| parse msg_s with Protocol " request from " SourceIP " to " Target ". Action: " Action
| project TimeGenerated, SourceIP, Target, Action, msg_s

Producción:

Publicación traducida automáticamente

Artículo escrito por dey0btpch57lmvgz5mqhpaiqn337p09fd8yq1lw4 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *