Použití Log Analytics k prozkoumání protokolů služby Application Gateway
Jakmile je vaše služba Application Gateway funkční, můžete povolit protokoly, které kontrolují události, ke kterým u vašeho prostředku dochází. Například protokoly brány firewall služby Application Gateway poskytují přehled o tom, co firewall webových aplikací (WAF) vyhodnocuje, porovnává a blokuje. Pomocí služby Log Analytics můžete prozkoumat data v protokolech brány firewall a získat tak ještě další přehledy. Další informace o dotazech protokolu najdete v tématu Přehled dotazů protokolu ve službě Azure Monitor.
V tomto článku se podíváme na protokoly firewallu webových aplikací (WAF). Podobně můžete nastavit další protokoly služby Application Gateway.
Požadavky
- Vyžaduje se účet Azure s aktivním předplatným. Pokud ještě účet nemáte, můžete si ho zdarma vytvořit.
- Skladová položka WAK brány Aplikace Azure lication. Další informace najdete v tématu Azure Web Application Firewall ve službě Aplikace Azure lication Gateway.
- Pracovní prostor služby Log Analytics. Další informace o vytvoření pracovního prostoru služby Log Analytics najdete v tématu Vytvoření pracovního prostoru služby Log Analytics na webu Azure Portal.
Odesílání protokolů
Pokud chcete exportovat protokoly brány firewall do Log Analytics, přečtěte si diagnostické protokoly služby Application Gateway. Pokud máte protokoly brány firewall v pracovním prostoru služby Log Analytics, můžete zobrazit data, psát dotazy, vytvářet vizualizace a přidávat je na řídicí panel portálu.
Prozkoumání dat pomocí příkladů
Při použití tabulky AzureDiagnostics můžete zobrazit nezpracovaná data v protokolu brány firewall spuštěním následujícího dotazu:
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| limit 10
Vypadá to podobně jako v následujícím dotazu:
Při použití tabulky specifické pro prostředky můžete zobrazit nezpracovaná data v protokolu brány firewall spuštěním následujícího dotazu. Informace o tabulkách specifických pro prostředky najdete v referenčních informacích k datům monitorování.
AGWFirewallLogs
| limit 10
Můžete přejít k podrobnostem dat a vykreslit grafy nebo odtud vytvářet vizualizace. Tady je několik dalších příkladů dotazů AzureDiagnostics, které můžete použít.
Spárované nebo blokované požadavky podle IP adresy
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart
Spárované nebo blokované požadavky podle identifikátoru URI
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart
Pravidla s nejvyšší shody
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart
Top five matched rule groups
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart
Přidání na řídicí panel
Po vytvoření dotazu ho můžete přidat do řídicího panelu. V pravém horním rohu pracovního prostoru služby Log Analytics vyberte připnout na řídicí panel. S předchozími čtyřmi dotazy připnutými na ukázkový řídicí panel je to data, která můžete vidět na první pohled:
Další kroky
Stav back-endu, diagnostické protokoly a metriky pro službu Application Gateway