Teilen über

Azure-App lication Gateway-Überwachungsdatenverweis

Dieser Artikel enthält alle Referenzinformationen zur Überwachung dieses Dienstes.

Weitere Informationen zu den Daten, die Sie für das Anwendungsgateway sammeln können, und deren Verwendung finden Sie unter "Überwachen Azure-App lizenzierungsgateway".

Metriken

In diesem Abschnitt werden alle automatisch erfassten Plattformmetriken für diesen Dienst aufgeführt. Diese Metriken sind auch Teil der globalen Liste aller in Azure Monitor unterstützten Plattformmetriken.

Informationen zur Aufbewahrung von Metriken finden Sie unter Überblick über Metriken in Azure Monitor.

Unterstützte Metriken für Microsoft.Network/applicationGateways

In der folgenden Tabelle sind alle Metriken aufgeführt, die für den Ressourcentyp "Microsoft.Network/applicationGateways" verfügbar sind. Weitere Beschreibungsdetails für viele Metriken sind nach dieser Tabelle enthalten.

  • Möglicherweise sind nicht alle Spalten in jeder Tabelle vorhanden.
  • Einige Spalten können über den Anzeigebereich der Seite hinausgehen. Wählen Sie Tabelle erweitern aus, um alle verfügbaren Spalten anzuzeigen.

Tabellenüberschriften

  • Kategorie – Die Metrikgruppe oder -klassifizierung.
  • Metrik – Der Anzeigename der Metrik, wie er im Azure-Portal angezeigt wird.
  • Name in REST-API: Der Metrikname im REST-API
  • Einheit – Abrechnungseinheit.
  • Aggregation – Der Standard-Aggregationstyp. Gültige Werte: Mittelwert (Avg), Minimum (Min), Maximum (Max), Gesamt (Sum), Anzahl
  • Dimensionen - Für die Metrik verfügbare Dimensionen.
  • Aggregationsintervall - Intervalle, in denen die Metrik gesampelt wird. PT1M bedeutet zum Beispiel, dass die Metrik jede Minute abgerufen wird, PT30M alle 30 Minuten, PT1H jede Stunde usw.
  • DS-Export – Gibt an, ob die Metrik über Diagnose-Einstellungen in Azure Monitor-Protokolle exportiert werden kann. Informationen zum Exportieren von Metriken finden Sie unter Diagnoseeinstellungen in Azure Monitor erstellen.
Metrik Name in der REST-API Einheit Aggregierung Dimensionen Aggregationsintervalle DS-Export
Gesamtzeit des Anwendungsgateways

Die Zeit, bis eine Anforderung verarbeitet und die zugehörige Antwort gesendet wurde. Dies wird als Intervall zwischen dem Zeitpunkt, zu dem Application Gateway das erste Byte einer HTTP-Anforderung empfängt, bis zu dem Zeitpunkt berechnet, zu dem der Vorgang zum Senden der Antwort abgeschlossen ist. Beachten Sie, dass dies in der Regel die Application Gateway-Verarbeitungszeit, die Zeit für das Durchlaufen des Netzwerks durch die Anforderungs- und Antwortpakete und die Zeit bis zur Antwort des Back-End-Servers einschließt.		 ApplicationGatewayTotalTime Millisekunden Mittelwert, Maximum Listener PT1M Nein
Anforderungen pro Minute pro fehlerfreiem Host

Durchschnittliche Anzahl von Anforderungen pro Minute pro fehlerfreiem Back-End-Host in einem Pool		 AvgRequestCountPerHealthyHost Anzahl Durchschnitt BackendSettingsPool PT1M Nein
WAF-Bot-Schutzübereinstimmungen

Übereinstimmende Botregeln		 AzwafBotProtection Anzahl Gesamt (Summe) Action, , CategoryMode, CountryCode, , PolicyNamePolicyScope PT1M Ja
WAF-Benutzerdefinierte Regelübereinstimmungen

Übereinstimmende benutzerdefinierte Regeln		 AzwafCustomRule Anzahl Gesamt (Summe) Action, , CustomRuleIDMode, CountryCode, , PolicyNamePolicyScope PT1M Ja
JS Challenge Request Count von WAF

Gesamtanzahl der von WAF bewerteten JS-Abfrageanforderungen		 AzWAFJSChallengeRequestCount Anzahl Gesamt (Summe) Action, , PolicyNameRulePolicyScope PT1M Ja
WAF Strafkastentreffer

Gibt an, wie oft IP im Straffeld mit Zeit und Kontext hinzugefügt oder aktualisiert wurde.		 AzwafPenaltyBoxHits Anzahl Mittelwert, Gesamtwert (Summe) <Keine> PT1M Ja
WAF-Strafkastengröße

Gibt die Anzahl der IPs im Straffeld zu einem bestimmten Zeitpunkt an.		 AzwafPenaltyBoxSize Anzahl Mittelwert, Gesamtwert (Summe) <Keine> PT1M Ja
Übereinstimmungen verwalteter WAF-Regeln

Übereinstimmende verwaltete Regeln		 AzwafSecRule Anzahl Gesamt (Summe) Action, , ModeRuleGroupID, RuleID, CountryCode, PolicyName, , PolicyScopeRuleSetName PT1M Ja
WAF Gesamtanfragen

Gesamtanzahl der von WAF ausgewerteten Anforderungen		 AzwafTotalRequests Anzahl Gesamt (Summe) Action, , CountryCodeMethod, Mode, , PolicyNamePolicyScope PT1M Ja
Back-End-Verbindungszeit

Zeitaufwand für das Herstellen einer Verbindung mit einem Back-End-Server		 BackendConnectTime Millisekunden Mittelwert, Maximum Listener, , BackendServerBackendPoolBackendHttpSetting PT1M Nein
Back-End-Erste Byte-Antwortzeit

Das Zeitintervall zwischen dem Herstellen einer Verbindung mit dem Back-End-Server und dem Empfang des ersten Bytes des Antwortheaders und somit eine Abschätzung der Verarbeitungszeit des Back-End-Servers		 BackendFirstByteResponseTime Millisekunden Mittelwert, Maximum Listener, , BackendServerBackendPoolBackendHttpSetting PT1M Nein
Back-End-Letzte Byte-Antwortzeit

Das Zeitintervall zwischen dem Herstellen einer Verbindung mit dem Back-End-Server und dem Empfang des letzten Bytes des Antworttexts		 BackendLastByteResponseTime Millisekunden Mittelwert, Maximum Listener, , BackendServerBackendPoolBackendHttpSetting PT1M Nein
Back-End-Antwortstatus

Anzahl der von den Back-End-Membern generierten HTTP-Antwortcodes. Dies schließt nicht die von Application Gateway generierten Antwortcodes ein.		 BackendResponseStatus Anzahl Gesamt (Summe) BackendServer, , BackendPoolBackendHttpSettingHttpStatusGroup PT1M Ja
Webanwendungsfirewall blockierte Anforderungen Regelverteilung

Regelverteilung für blockierte Web Application Firewall-Anforderungen		 BlockedCount Anzahl Gesamt (Summe) RuleGroup, RuleId PT1M Ja
Empfangene Bytes

Gesamtanzahl der von Application Gateway von den Clients empfangenen Bytes		 BytesReceived Byte Gesamt (Summe) Listener PT1M Ja
Gesendete Bytes

Gesamtanzahl der von Application Gateway an die Clients gesendeten Bytes		 BytesSent Byte Gesamt (Summe) Listener PT1M Ja
Aktuelle Kapazitätseinheiten

Verbrauchte Kapazitätseinheiten		 CapacityUnits Anzahl Durchschnitt <Keine> PT1M Nein
Client-RTT

Durchschnittliche RTT (Round Trip Time) zwischen Clients und Application Gateway. Diese Metrik gibt an, wie lange es dauert, Verbindungen herzustellen und Bestätigungen zurückzugeben.		 ClientRtt Millisekunden Mittelwert, Maximum Listener PT1M Nein
Aktuelle Computeeinheiten

Verbrauchte Compute-Einheiten		 ComputeUnits Anzahl Durchschnitt <Keine> PT1M Nein
CPU-Auslastung

Aktuelle CPU-Auslastung der Application Gateway-Instanz		 CpuUtilization Prozent Durchschnitt <Keine> PT1M Nein
Aktuelle Verbindungen

Anzahl von aktuellen Verbindungen mit Application Gateway		 CurrentConnections Anzahl Gesamt (Summe) <Keine> PT1M Ja
Geschätzte abgerechnete Kapazitätseinheiten

Geschätzte Kapazitätseinheiten, die in Rechnung gestellt werden		 EstimatedBilledCapacityUnits Anzahl Durchschnitt <Keine> PT1M Nein
Anforderungsfehler

Anzahl von fehlerhaften Anforderungen über Application Gateway		 FailedRequests Anzahl Gesamt (Summe) BackendSettingsPool PT1M Ja
Feste abrechenbare Kapazitätseinheiten

Mindestkapazitätseinheiten, die in Rechnung gestellt werden		 FixedBillableCapacityUnits Anzahl Durchschnitt <Keine> PT1M Nein
Anzahl von fehlerfreien Hosts

Anzahl von fehlerfreien Back-End-Hosts		 HealthyHostCount Anzahl Durchschnitt BackendSettingsPool PT1M Ja
Gesamtregelverteilung in Web Application Firewall

Gesamtregelverteilung in Web Application Firewall für eingehenden Datenverkehr		 MatchedCount Anzahl Gesamt (Summe) RuleGroup, RuleId PT1M Ja
Neue Verbindungen pro Sekunde

Neue Verbindungen, die pro Sekunde mit Application Gateway hergestellt werden		 NewConnectionsPerSecond Anzahl pro Sekunde Durchschnitt <Keine> PT1M Nein
Antwortstatus

Von Application Gateway zurückgegebener HTTP-Antwortstatus		 ResponseStatus Anzahl Gesamt (Summe) HttpStatusGroup PT1M Ja
Durchsatz

Anzahl von Bytes pro Sekunde, die das Application Gateway bereitgestellt hat		 Throughput Bytes pro Sekunde Durchschnitt <Keine> PT1M Nein
Client TLS-Protokoll

Anzahl von TLS- und Nicht-TLS-Anforderungen, die von dem Client initiiert wurden, der eine Verbindung mit Application Gateway hergestellt hat. Um die Verteilung des TLS-Protokolls anzuzeigen, filtern Sie nach dem Dimensions-TLS-Protokoll.		 TlsProtocol Anzahl Gesamt (Summe) Listener, TlsProtocol PT1M Ja
Anforderungen insgesamt

Anzahl von erfolgreichen Anforderungen über Application Gateway		 TotalRequests Anzahl Gesamt (Summe) BackendSettingsPool PT1M Ja
Fehlerhafte Hostanzahl

Anzahl von fehlerhaften Back-End-Hosts		 UnhealthyHostCount Anzahl Durchschnitt BackendSettingsPool PT1M Ja
Aktive WebSocket-Verbindungen

Anzahl der aktiven WebSocket-Verbindungen, die mit dem Anwendungsgateway hergestellt wurden		 WebSocketActiveConnections Anzahl Gesamt (Summe) <Keine> PT1M Ja
WebSocket-spezifischer Statuscode zum Schließen

Anzahl des WebSocket-spezifischen Statuscodes für den Schließen		 WebsocketSpecificCloseStatusCode Anzahl Gesamt (Summe) RequestSource, CloseStatus PT1M Ja

Die verfügbaren Metriken für Web Application Firewall (WAF) finden Sie unter WAF v2-Metriken für Application Gateway undWAF v1-Metriken für Application Gateway.

Anzeigemetriken für Anwendungsgateway v2-SKU

Die SKU des Anwendungsgateways v2 bietet viele integrierte Zeitmetriken im Zusammenhang mit der Anforderung und Antwort, die alle in Millisekunden gemessen werden. Es folgt eine erweiterte Beschreibung der Anzeigedauermetriken, die bereits in der vorherigen Metriktabelle aufgeführt sind.

  • Back-End-Verbindungszeit. Dieser Wert umfasst die Netzwerklatenz und die Zeit, die vom TCP-Stapel des Back-End-Servers zum Herstellen neuer Verbindungen erforderlich ist. Bei TLS umfasst dies auch die mit dem Handshake verbrachte Zeit.
  • Back-End-Erste Byte-Antwortzeit. Dieser Wert nähert die Summe der Back-End-Verbindungszeit an, die von der Anforderung zum Erreichen des Back-End-Back-End-Gateways benötigt wird, Zeit, die von der Back-End-Anwendung zum Beantworten benötigt wird. Dies ist die Zeit, die der Server benötigt, um Inhalte zu generieren und möglicherweise Datenbankabfragen abzurufen, und die Zeit, die vom ersten Byte der Antwort benötigt wird, um das Anwendungsgateway aus dem Back-End zu erreichen.
  • Letzte Byteantwortzeit im Back-End-Back-End. Dieser Wert nähert sich der Summe der Back-End-Antwortzeit und der Datenübertragungszeit an. Diese Zahl variiert stark abhängig von der Größe der angeforderten Objekte und der Latenz des Servernetzwerks.
  • Gesamtzeit des Anwendungsgateways. Dieses Intervall ist die Zeit, die vom Anwendungsgateway das erste Byte der HTTP-Anforderung an den Zeitpunkt empfängt, zu dem das letzte Antwortbyte an den Client gesendet wurde.
  • Client RTT. Durchschnittliche Roundtripzeit zwischen Clients und Application Gateway.

Metriken für Anwendungsgateway v2-SKU

Für die SKU des Anwendungsgateways v2 sind die folgenden Metriken verfügbar. Es folgt eine erweiterte Beschreibung der Metriken, die bereits in der vorherigen Metriktabelle aufgeführt sind.

  • Empfangene Bytes. Diese Metrik enthält nur die Anforderungsinhaltsgröße, die vom Anwendungsgateway beobachtet wird. Dazu gehören keine Datenübertragungen wie TLS-Headerverhandlungen, TCP/IP-Paketheader oder Erneutes Übertragen.
  • Gesendete Bytes. Diese Metrik enthält nur die Antwortinhaltsgröße, die vom Anwendungsgateway bereitgestellt wird. Dazu gehören keine Datenübertragungen wie TCP/IP-Paketheader oder Erneutes Übertragen.
  • Client TLS-Protokoll. Anzahl der TLS- und Nicht-TLS-Anforderungen.
  • Aktuelle Kapazitätseinheiten. Es gibt drei Determinanten für die Kapazitätseinheit: Computeeinheit, persistente Verbindungen und Durchsatz. Jede Kapazitätseinheit besteht aus höchstens einer Computeeinheit oder 2500 persistenten Verbindungen oder 2,22-Mbps-Durchsatz.
  • Aktuelle Recheneinheiten. Faktoren, die sich auf die Compute-Einheit auswirken, sind TLS-Verbindungen/Sekunde, URL-Rewrite-Berechnungen und Verarbeitung von WAF-Regeln.
  • Aktuelle Verbindungen. Die Gesamtzahl der gleichzeitigen Verbindungen, die von Clients zum Anwendungsgateway aktiv sind, einschließlich Prüfpunkte für den Status der Instanzen des Anwendungsgateways.
  • Geschätzte Abgerechnete Kapazitätseinheiten. Mit der v2-SKU steuert der Verbrauch das Preismodell. Kapazitätseinheiten geben die verbrauchsbasierten Kosten an, die zusätzlich zu den Fixkosten berechnet werden. Geschätzte abgerechnete Kapazitätseinheiten geben die Anzahl von Kapazitätseinheiten an, für die die Abrechnung geschätzt wird. Dieser Betrag wird als höherer Wert zwischen den aktuellen Kapazitätseinheiten (Kapazitätseinheiten , die zum Lastenausgleich des Datenverkehrs erforderlich sind) und festen abrechnenden Kapazitätseinheiten (Mindestkapazitätseinheiten, die bereitgestellt werden) berechnet.
  • Fehlgeschlagene Anforderungen. Dieser Wert enthält die 5xx-Codes, die aus dem Anwendungsgateway generiert werden, und die 5xx-Codes, die aus dem Back-End generiert werden. Die Anzahl der Anforderungen kann weiter gefiltert werden, um die Anzahl für die einzelnen/spezifischen Kombinationen aus Back-End-Pools und HTTP-Einstellungen anzuzeigen.
  • Feste abrechnungsfähige Kapazitätseinheiten. Die mindeste Anzahl von Kapazitätseinheiten, die gemäß der Einstellung für mindestmaßstabierte Einheiten in der Anwendungsgateway-Konfiguration bereitgestellt werden. Eine Instanz übersetzt sich in 10 Kapazitätseinheiten.
  • Neue Verbindungen pro Sekunde. Die durchschnittliche Anzahl neuer TCP-Verbindungen pro Sekunde, die von Clients mit Application Gateway und von Application Gateway mit den Back-End-Mitgliedern hergestellt werden.
  • Antwortstatus. Die Antwortstatuscode-Verteilung kann weiter kategorisiert werden, um Antworten in 2xx-, 3xx-, 4xx- und 5xx-Kategorien anzuzeigen.
  • Durchsatz: Diese Metrik enthält nur die Inhaltsgröße, die vom Anwendungsgateway bereitgestellt wird. Dazu gehören keine Datenübertragungen wie TLS-Headerverhandlungen, TCP/IP-Paketheader oder Erneutes Übertragen.
  • Gesamtanforderungen. Erfolgreiche Anforderungen, die das Anwendungsgateway bereitgestellt hat. Die Anforderungsanzahl kann gefiltert werden, um die Anzahl pro/bestimmter Back-End-Pool-HTTP-Einstellungskombination anzuzeigen.

Back-End-Metriken für Anwendungsgateway v2-SKU

Für die SKU des Anwendungsgateways v2 sind die folgenden Back-End-Metriken verfügbar. Es folgt eine erweiterte Beschreibung der Back-End-Metriken, die bereits in der vorherigen Metriktabelle aufgeführt sind.

  • Back-End-Antwortstatus. Die Anzahl der http-Antwortstatuscodes, die von den Back-Ends zurückgegeben werden, einschließlich aller Antwortcodes, die vom Anwendungsgateway generiert werden. Die Antwortstatuscodeverteilung kann kategorisiert werden, um Antworten in den Kategorien 2xx, 3xx, 4xx und 5xx anzuzeigen.|
  • Die Anzahl der fehlerfreien Hosts. Die Anzahl der Hosts, die von der Integritätssonde fehlerfrei bestimmt werden. Sie können auf Back-End-Pool-Basis filtern, um die Anzahl fehlerfreier Hosts in einem bestimmten Back-End-Pool anzuzeigen.
  • Die Anzahl der fehlerhaften Hosts. Die Anzahl der Hosts, die von der Integritätssonde unschädlich bestimmt werden. Sie können auf Back-End-Pool-Basis filtern, um die Anzahl fehlerhafter Hosts in einem bestimmten Back-End-Pool anzuzeigen.
  • Anforderungen pro Minute pro fehlerfreier Host. Die durchschnittliche Anzahl von Anforderungen, die von jedem fehlerfreien Mitglied in einem Back-End-Pool pro Minute empfangen werden. Geben Sie den Back-End-Pool über die Dimension BackendPool HttpSettings an.

Metriken für anwendungsgateway v1 SKU

Für die SKU des Anwendungsgateways v1 sind die folgenden Metriken verfügbar. Es folgt eine erweiterte Beschreibung der Metriken, die bereits in der vorherigen Metriktabelle aufgeführt sind.

  • CPU-Auslastung. Zeigt die Auslastung der CPUs an, die dem Application Gateway zugeordnet sind. Unter normalen Bedingungen sollte die CPU-Auslastung nicht regelmäßig 90 % überschreiten, da diese Situation möglicherweise zu Latenzen in den Websites führen kann, die hinter dem Anwendungsgateway gehostet werden und die Clientumgebung stören. Sie können die CPU-Auslastung indirekt steuern oder verbessern, indem Sie die Konfiguration des Application Gateway durch Erhöhen der Anzahl der Instanzen ändern oder durch Verschieben zu einer größeren SKU-Größe – oder durch beides.

  • Aktuelle Verbindungen. Anzahl der mit der Application Gateway-Instanz hergestellten aktuellen Verbindungen.

  • Fehlgeschlagene Anforderungen. Die Anzahl von Anforderungen, für die aufgrund von Verbindungsproblemen ein Fehler aufgetreten ist. Diese Anzahl umfasst Anforderungen, die aufgrund einer Überschreitung der HTTP-Einstellung "Anforderungstimeout" und Anforderungen aufgrund von Verbindungsproblemen zwischen Anwendungsgateway und Back-End fehlgeschlagen sind. Diese Anzahl umfasst keine Fehler, die aufgetreten sind, weil kein fehlerfreies Back-End verfügbar war. Back-End-Antworten vom Typ „4xx“ und „5xx“ werden im Rahmen dieser Metrik ebenfalls nicht berücksichtigt.

  • Antwortstatus. Von Application Gateway zurückgegebener HTTP-Antwortstatus. Die Antwortstatuscode-Verteilung kann weiter kategorisiert werden, um Antworten in 2xx-, 3xx-, 4xx- und 5xx-Kategorien anzuzeigen.

  • Durchsatz: Anzahl der Bytes pro Sekunde, die das Anwendungsgateway bereitgestellt hat.

  • Gesamtanforderungen. Anzahl von erfolgreichen Anforderungen über Application Gateway. Die Anzahl der Anforderungen kann weiter gefiltert werden, um die Anzahl für die einzelnen/spezifischen Kombinationen aus Back-End-Pools und HTTP-Einstellungen anzuzeigen.

Back-End-Metriken für Anwendungsgateway v1-SKU

Für die SKU des Anwendungsgateways v1 sind die folgenden Back-End-Metriken verfügbar. Es folgt eine erweiterte Beschreibung der Back-End-Metriken, die bereits in der vorherigen Metriktabelle aufgeführt sind.

  • Die Anzahl der fehlerfreien Hosts. Die Anzahl der Back-Ends, die im Integritätstest als fehlerfrei ermittelt wurden. Sie können auf Back-End-Pool-Basis filtern, um die Anzahl fehlerfreier Hosts in einem bestimmten Back-End-Pool anzuzeigen.

  • Die Anzahl der fehlerhaften Hosts. Die Anzahl der Back-Ends, die im Integritätstest als fehlerhaft ermittelt wurden. Sie können auf Back-End-Pool-Basis filtern, um die Anzahl fehlerhafter Hosts in einem bestimmten Back-End-Pool anzuzeigen.

API für die Back-End-Integrität

Details zum API-Aufruf zum Abrufen der Back-End-Integrität eines Anwendungsgateways finden Sie unter Anwendungsgateways – Back-End-Integrität.

Beispielanforderung:

POST
https://management.azure.com/subscriptions/subid/resourceGroups/rg/providers/Microsoft.Network/
applicationGateways/appgw/backendhealth?api-version=2021-08-01

Nach dem Senden dieser POST-Anforderung sollte eine „HTTP 202 Akzeptiert“-Antwort angezeigt werden. Suchen Sie in den Antwortheadern den Location-Header, und senden Sie eine neue GET-Anforderung mithilfe dieser URL.

GET
https://management.azure.com/subscriptions/subid/providers/Microsoft.Network/locations/region-name/operationResults/GUID?api-version=2021-08-01

TLS/TCP-Proxymetriken

Die folgenden Metriken sind für die Überwachung des TLS/TCP-Proxys des Anwendungsgateways verfügbar. Zusätzlich zu Layer 4-spezifischen Metriken gibt es mehrere gängige Metriken mit Layer 7 (HTTP/S). Details zu den einzelnen Werten finden Sie in der liste der vollständigen Metriken.

Metriken, die auch für L4-Proxy gelten

  • Aktuelle Verbindungen
  • Neue Verbindungen pro Sekunde
  • Durchsatz
  • Anzahl von fehlerfreien Hosts
  • Anzahl von fehlerhaften Hosts
  • Client-RTT
  • Back-End-Verbindungszeit
  • Back-End First Byte Response Time (BackendHttpSetting Dimension gilt sowohl für Layer 7- als auch für 4-Back-End-Einstellungen).
  • Gesendete Bytes
  • Empfangene Bytes
  • Computeeinheiten
  • Kapazitätseinheiten

L4-proxyspezifische Metriken

  • Dauer der Back-End-Sitzung – Die Gesamtzeit einer Back-End-Verbindung. Die durchschnittliche Dauer vom Beginn einer neuen Verbindung bis zu ihrer Beendigung. BackendHttpSetting dimension includes both layer 7 and layer 4 backend settings.
  • Verbindungslebensdauer – Die Gesamtzeit einer Clientverbindung mit dem Anwendungsgateway. Die durchschnittliche Dauer vom Beginn einer neuen Verbindung bis zu ihrer Beendigung in Millisekunden.

TLS/TCP-Proxy-Back-End-Integrität

Der Layer 4-Proxy des Anwendungsgateways bietet die Möglichkeit, den Status einzelner Member der Back-End-Pools über das Portal und die REST-API zu überwachen.

Screenshot: Integrität für einzelne Mitglieder von Back-End-Pools.

Metrikdimensionen

Informationen darüber, was metrische Dimensionen sind, finden Sie unter Mehrdimensionale Metriken.

Bei diesem Dienst gelten die folgenden Dimensionen für die zugehörigen Metriken.

  • Aktion
  • Back-EndHttpSetting
  • Back-EndPool
  • Back-EndServer
  • Back-EndSettingsPool
  • Kategorie
  • Ländercode
  • CustomRuleID
  • HttpStatusGroup
  • Zuhörer
  • Methode
  • Modus
  • Richtlinienname
  • PolicyScope
  • Regelgruppe
  • RuleGroupID
  • RuleId
  • RuleSetName
  • TlsProtocol

Hinweis

Wenn Application Gateway mehr als einen Listener enthält, filtern Sie immer nach der Dimension Listener, und vergleichen Sie dabei verschiedene Latenzmetriken, um aussagekräftigere Rückschlüsse zu erhalten.

Ressourcenprotokolle

In diesem Abschnitt werden die Ressourcenprotokolltypen aufgeführt, die für diesen Service erfasst werden können. Der Abschnitt wird aus der Liste aller in Azure Monitor unterstützten Kategorietypen für Ressourcenprotokolle gezogen.

Unterstützte Ressourcenprotokollkategorien für Microsoft.Network/applicationGateways

Kategorie Anzeigename der Kategorie Protokolltabelle Unterstützt grundlegenden Protokollplan Unterstützt die Erfassungszeittransformation Beispielabfragen Exportkosten
ApplicationGatewayAccessLog Application Gateway-Zugriffsprotokoll AzureDiagnostics

Protokolle aus mehreren Azure-Ressourcen.

 Nein Nein Abfragen Nein
ApplicationGatewayFirewallLog Application Gateway-Firewallprotokoll AzureDiagnostics

Protokolle aus mehreren Azure-Ressourcen.

 Nein Nein Abfragen Nein
ApplicationGatewayPerformanceLog Application Gateway-Leistungsprotokoll AzureDiagnostics

Protokolle aus mehreren Azure-Ressourcen.

 Nein Nein Abfragen Nein

  • Zugriffsprotokoll. Sie können das Access-Protokoll verwenden, um Zugriffsmuster des Anwendungsgateways anzuzeigen und wichtige Informationen zu analysieren. Diese Informationen umfassen die IP-Adresse des Aufrufers, die angeforderte URL, die Antwortlatenz, den Rückgabecode und Bytes in und aus. Die Zugriffsprotokollauflistung erfolgt alle 60 Sekunden. Dieses Protokoll enthält einen Datensatz pro Instanz von Application Gateway. Die instanceId Eigenschaft identifiziert die Application Gateway-Instanz.

  • Firewallprotokoll. Sie können das Firewallprotokoll verwenden, um die Anforderungen anzuzeigen, die entweder über den Erkennungs- oder Verhinderungsmodus eines Anwendungsgateways protokolliert werden, das mit der Webanwendungsfirewall konfiguriert ist. Firewallprotokolle werden alle 60 Sekunden erfasst.

  • Leistungsprotokoll. Sie können das Leistungsprotokoll verwenden, um anzuzeigen, wie Anwendungsgatewayinstanzen ausgeführt werden. In diesem Protokoll werden Leistungsinformationen für jede Instanz erfasst, z. B. insgesamt bereitgestellte Anforderungen, Durchsatz in Byte, Anzahl von Anforderungen mit Fehlern und Anzahl von fehlerfreien und fehlerhaften Back-End-Instanzen. Ein Leistungsprotokoll wird alle 60 Sekunden erstellt.

    Hinweis

    Das Leistungsprotokoll ist nur für die v1-SKU verfügbar. Verwenden Sie für die v2-SKU Metriken für die Leistungsdaten.

Zugriffsprotokollkategorie

Das Zugriffsprotokoll wird nur generiert, wenn Sie es in jeder Anwendungsgatewayinstanz aktivieren, wie in der Protokollierung aktivieren. Die Daten werden in dem Speicherkonto gespeichert, das Sie beim Aktivieren der Protokollierung angegeben haben. Jeder Zugriff auf das Anwendungsgateway wird wie dargestellt im JSON-Format protokolliert.

Hinweis

Informationen zu TLS/TCP-Proxys finden Sie in der Datenreferenz.

Für Anwendungsgateway und WAF v2-SKU:

Wert BESCHREIBUNG
instanceId Application Gateway-Instanz, von der die Anforderung bereitgestellt wurde
clientIP IP-Adresse des unmittelbaren Clients von Application Gateway. Wenn ein anderer Proxy Ihr Anwendungsgateway vorgibt, zeigt dieser Wert die IP dieses Frontingproxys an.
httpMethode Von der Anforderung verwendete HTTP-Methode
requestUri URI der empfangenen Anforderung
UserAgent Benutzer-Agent aus dem HTTP-Anforderungsheader
httpStatus (Englisch) HTTP-Statuscode, der vom Application Gateway an den Client zurückgegeben wurde
httpVersion HTTP-Version der Anforderung
receivedBytes Größe des empfangenen Pakets in Byte
sentBytes Größe des gesendeten Pakets in Byte
clientResponseTime Zeitunterschied (in Sekunden) zwischen dem Application Gateway des ersten Byte und des letzten Byte, das an den Client gesendet wird. Hilfreich beim Messen der Verarbeitungszeit des Application Gateway für Antworten oder langsame Clients.
timeTaken Die Dauer (in Sekunden), bis das erste Byte einer Clientanforderung verarbeitet und ihr letztes Byte in der Antwort an den Client gesendet wird. Hierbei ist der Hinweis wichtig, dass das Feld „Time-Taken“ normalerweise die Zeitdauer enthält, die von den Anforderungs- und Antwortpaketen für die Übermittlung über das Netzwerk benötigt wird.
WAFEvaluationTime Dauer (in Sekunden), die die Verarbeitung der Anforderung durch die WAF benötigt.
WAFMode Der Wert kann entweder Erkennung oder Prävention sein.
Transaktions-ID Eindeutiger Bezeichner, um die vom Client empfangene Anforderung zu korrelieren.
sslAktiviert Gibt an, ob für die Kommunikation mit den Back-End-Pools TLS verwendet wurde. Gültige Werte sind „on“ und „off“.
sslCipher Verschlüsselungssammlung, die für die TLS-Kommunikation verwendet wird (sofern TLS aktiviert ist).
sslProtocol (SSL-Protokoll) Das verwendete SSL-/TLS-Protokoll (sofern TLS aktiviert ist)
sslClientVerify Zeigt das Ergebnis der Clientzertifikatüberprüfung als ERFOLG oder FEHLER an. Fehlerstatus enthält Fehlerinformationen.
sslClientCertificateFingerprint Der SHA1-Fingerabdruck des Clientzertifikats für eine hergestellte SSL-Verbindung.
sslClientCertificateIssuerName Die Zeichenfolge „Aussteller-DN“ des Clientzertifikats für eine hergestellte TLS-Verbindung.
serverRouted Back-End-Server, an den das Anwendungsgateway die Anforderung weiterleitet
serverStatus HTTP-Statuscode des Back-End-Servers
Server-Antwortlatenz Wartezeit für die Antwort (in Sekunden) vom Back-End-Server.
serverConnectTime Zeitaufwand für die Einrichtung einer Verbindung mit einem Upstreamserver.
serverHeaderTime Zeit zwischen dem Herstellen einer Verbindung mit dem Upstreamserver und dem Empfang des ersten Byte des Antwortheaders.
Gastgeber Adresse im host-Header der Anforderung Wenn sie mithilfe des Headerumschreibens neu geschrieben werden, enthält dieses Feld den aktualisierten Hostnamen.
originalRequestUriWithArgs Dieses Feld enthält die ursprüngliche Anforderungs-URL.
requestUri Dieses Feld enthält die URL nach dem Umschreibvorgang auf dem Anwendungsgateway.
upstreamSourcePort Der Quellport, der vom Application Gateway beim Initiieren einer Verbindung mit dem Back-End-Ziel verwendet wird.
originalHost Dieses Feld enthält den ursprünglichen Anforderungshostnamen.
error_info Die Ursache für die Fehler 4xx und 5xx. Zeigt einen Fehlercode für eine fehlgeschlagene Anforderung an. Weitere Details in den Fehlercodetabellen in diesem Artikel.
Inhaltstyp Der Typ von Inhalten oder Daten, die vom Anwendungsgateway verarbeitet oder bereitgestellt werden. 
{
    "timeStamp": "2021-10-14T22:17:11+00:00",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{applicationGatewayName}",
    "listenerName": "HTTP-Listener",
    "ruleName": "Storage-Static-Rule",
    "backendPoolName": "StaticStorageAccount",
    "backendSettingName": "StorageStatic-HTTPS-Setting",
    "operationName": "ApplicationGatewayAccess",
    "category": "ApplicationGatewayAccessLog",
    "properties": {
        "instanceId": "appgw_2",
        "clientIP": "185.42.129.24",
        "clientPort": 45057,
        "httpMethod": "GET",
        "originalRequestUriWithArgs": "\/",
        "requestUri": "\/",
        "requestQuery": "",
        "userAgent": "Mozilla\/5.0 (Windows NT 6.1; WOW64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/52.0.2743.116 Safari\/537.36",
        "httpStatus": 200,
        "httpVersion": "HTTP\/1.1",
        "receivedBytes": 184,
        "sentBytes": 466,
        "clientResponseTime": 0,
        "timeTaken": 0.034,
        "WAFEvaluationTime": "0.000",
        "WAFMode": "Detection",
        "transactionId": "592d1649f75a8d480a3c4dc6a975309d",
        "sslEnabled": "on",
        "sslCipher": "ECDHE-RSA-AES256-GCM-SHA384",
        "sslProtocol": "TLSv1.2",
        "sslClientVerify": "NONE",
        "sslClientCertificateFingerprint": "",
        "sslClientCertificateIssuerName": "",
        "serverRouted": "52.239.221.65:443",
        "serverStatus": "200",
        "serverResponseLatency": "0.028",
        "serverConnectTime":"0.008",
        "serverHeaderTime":"0.028"
        "upstreamSourcePort": "21564",
        "originalHost": "20.110.30.194",
        "host": "20.110.30.194",
        "error_info":"ERRORINFO_NO_ERROR",
        "contentType":"application/json"
    }
}

Hinweis

Zugriffsprotokolle mit clientIP-Wert 127.0.0.1 stammen aus einem internen Sicherheitsprozess, der auf den Anwendungsgatewayinstanzen ausgeführt wird. Sie können diese Protokolleinträge ohne Gefahr ignorieren.

Für Application Gateway Standard und WAF SKU (v1):

Wert BESCHREIBUNG
instanceId Application Gateway-Instanz, von der die Anforderung bereitgestellt wurde
clientIP Ursprungs-IP für die Anforderung
clientPort Ursprungsport für die Anforderung
httpMethode Von der Anforderung verwendete HTTP-Methode
requestUri URI der empfangenen Anforderung
RequestQuery Server-Routed: Back-End-Poolinstanz, an die die Anforderung gesendet wurde.
X-AzureApplicationGateway-LOG-ID: Für die Anforderung verwendete Korrelations-ID. Kann für die Behandlung von Datenverkehrsproblemen auf den Back-End-Servern verwendet werden.
SERVER-STATUS: HTTP-Antwortcode, den Application Gateway vom Back-End empfangen hat.
UserAgent Benutzer-Agent aus dem HTTP-Anforderungsheader
httpStatus (Englisch) HTTP-Statuscode, der vom Application Gateway an den Client zurückgegeben wurde
httpVersion HTTP-Version der Anforderung
receivedBytes Größe des empfangenen Pakets in Byte
sentBytes Größe des gesendeten Pakets in Byte
timeTaken Dauer (in Millisekunden), bis eine Anforderung verarbeitet und die dazugehörige Antwort gesendet wurde. Dieser Wert wird als Intervall aus dem Zeitpunkt berechnet, zu dem das Anwendungsgateway das erste Byte einer HTTP-Anforderung empfängt, bis der Antwort-Sendevorgang abgeschlossen ist. Hierbei ist der Hinweis wichtig, dass das Feld „Time-Taken“ normalerweise die Zeitdauer enthält, die von den Anforderungs- und Antwortpaketen für die Übermittlung über das Netzwerk benötigt wird.
sslAktiviert Gibt an, ob für die Kommunikation mit den Back-End-Pools TLS/SSL verwendet wurde. Gültige Werte sind „on“ und „off“.
Gastgeber Der Hostname, für den die Anforderung an den Back-End-Server gesendet wurde. Wenn der Back-End-Hostname überschrieben wird, wird es diesem Namen sichtbar.
originalHost Der Hostname, für den die Anforderung des Clients durch Application Gateway empfangen wurde 
{
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/PEERINGTEST/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{applicationGatewayName}",
    "operationName": "ApplicationGatewayAccess",
    "time": "2017-04-26T19:27:38Z",
    "category": "ApplicationGatewayAccessLog",
    "properties": {
        "instanceId": "ApplicationGatewayRole_IN_0",
        "clientIP": "203.0.113.97",
        "clientPort": 46886,
        "httpMethod": "GET",
        "requestUri": "/phpmyadmin/scripts/setup.php",
        "requestQuery": "X-AzureApplicationGateway-CACHE-HIT=0&SERVER-ROUTED=10.4.0.4&X-AzureApplicationGateway-LOG-ID=aaaa0000-bb11-2222-33cc-444444dddddd&SERVER-STATUS=404",
        "userAgent": "-",
        "httpStatus": 404,
        "httpVersion": "HTTP/1.0",
        "receivedBytes": 65,
        "sentBytes": 553,
        "timeTaken": 205,
        "sslEnabled": "off",
        "host": "www.contoso.com",
        "originalHost": "www.contoso.com"
    }
}

Wenn Application Gateway die Anforderung nicht abschließen kann, wird einer der folgenden Ursachencodes im Feld für error_info des Zugriffsprotokolls gespeichert.

4XX-Fehler Die 4xx-Fehlercodes deuten darauf hin, dass ein Problem mit der Anforderung des Clients aufgetreten ist, und das Anwendungsgateway kann es nicht erfüllen.
ERRORINFO_INVALID_METHOD Der Client hat eine Anforderung gesendet, die nicht RFC-kompatibel ist. Mögliche Ursachen: Der Client verwendet vom Server nicht unterstützte HTTP-Methoden, die Methoden wurden falsch geschrieben oder die Version des HTTP-Protokolls ist nicht kompatibel.
ERRORINFO_INVALID_REQUEST Der Server kann die Anforderung aufgrund einer falschen Syntax nicht erfüllen.
ERRORINFO_INVALID_VERSION Application Gateway hat eine Anforderung mit einer ungültigen oder nicht unterstützten HTTP-Version erhalten.
ERRORINFO_INVALID_09_METHOD Der Client hat eine Anforderung mit Version 0.9 des HTTP-Protokolls gesendet.
ERRORINFO_INVALID_HOST Der im Header „Host“ angegebene Wert fehlt, ist falsch formatiert oder stimmt nicht mit dem erwarteten Hostwert überein. Wenn z. B. kein Basic-Listener vorhanden ist und keine Hostnamen der Multisite-Listener mit dem Host übereinstimmen.
ERRORINFO_INVALID_CONTENT_LENGTH Die Länge des vom Client im Header „content-Length“ angegebenen Inhalts stimmt nicht mit der tatsächlichen Länge des Inhalts in der Anforderung überein.
ERRORINFO_INVALID_METHOD_TRACE Die VOM Client gesendete HTTP TRACE-Methode, die vom Anwendungsgateway nicht unterstützt wird.
ERRORINFO_CLIENT_CLOSED_REQUEST Der Client hat die Verbindung mit dem Anwendungsgateway vor ablaufen des Leerlauftimeouts geschlossen. Überprüfen Sie, ob der Client-Timeoutzeitraum größer ist als das Leerlauftimeout für das Anwendungsgateway.
ERRORINFO_REQUEST_URI_INVALID Gibt ein Problem mit dem URI (Uniform Resource Identifier) an, der in der Anforderung des Clients bereitgestellt wird
ERRORINFO_HTTP_NO_HOST_HEADER Der Client hat eine Anforderung ohne Hostheader gesendet.
ERRORINFO_HTTP_TO_HTTPS_PORT Der Client hat eine einfache HTTP-Anforderung an einen HTTPS-Port gesendet.
ERRORINFO_HTTPS_NO_CERT Gibt an, dass der Client während der gegenseitigen TLS-Authentifizierung kein gültiges und ordnungsgemäß konfiguriertes TLS-Zertifikat sendet.
ERRORINFO_INVALID_HEADER (4xx) Gibt an, dass die HTTP-Anforderung vom Client einen falsch formatierten oder unsachgemäß strukturierten Hostheader enthält, wodurch verhindert wird, dass das Anwendungsgateway die Anforderung ordnungsgemäß verarbeitet und an den Back-End-Server weiterleitet.
ERRORINFO_CLIENT_TIMED_OUT Dieser Fehler gibt an, dass der Client die Verbindung beendet hat, da er innerhalb des konfigurierten Timeoutzeitraums keine Antwort vom Back-End-Server empfangen hat. Dies wird in der Regel durch einen Back-End-Server verursacht, der langsam, überlastet oder betriebsbereit ist.
ERRORINFO_REQUEST_URI_TOO_LARGE Dieser Fehler gibt an, dass die URL in einer HTTP-Anforderung die maximale Länge überschreitet, die der Server für die Annahme konfiguriert ist. Der Standardgrenzwert für die URL-Länge (einschließlich Abfrageparametern) beträgt 8 KB.
ERRORINFO_REQUEST_HEADER_TOO_LARGE Dieser Fehler gibt an, dass die Gesamtgröße der vom Client gesendeten HTTP-Anforderungsheader den vom Anwendungsgateway erzwungenen Grenzwert von 32 KB überschreitet. Beachten Sie, dass dieser Grenzwert behoben ist und nicht angepasst werden kann.
ERRORINFO_REQUEST_URI_UNSAFE Dieser Fehler zeigt, dass der WAF unsichere oder falsch formatierte Inhalte im Anforderungs-URI gefunden hat. Überprüfen Sie die WAF-Protokolle, um festzustellen, welche Regel ausgelöst wurde, und entscheiden Sie, ob die Anforderung böswillig gekennzeichnet wurde oder versehentlich gekennzeichnet wurde und möglicherweise WAF-Regelanpassungen erforderlich sind.
ERRORINFO_HTTPS_CERT_VERIFY_ERROR Dieser Fehler wird ausgelöst, wenn das TLS-Zertifikat des Clients, das während des gegenseitigen TLS-Handshakes angezeigt wird, entweder ungültig oder nicht vertrauenswürdig ist.
ERRORINFO_HTTP_MISDIRECTED_REQUEST Anwendungsgateway gibt fehlgeleiteten Anforderungsfehler zurück, wenn der Back-End-Server nicht so konfiguriert ist, dass er auf diesen Hostnamen in der Anforderung des Clients reagiert, insbesondere in SSL/TLS-Szenarien mit Servernamensanzeige (Server Name Indication, SNI)
ERRORINFO_HTTP_NOT_FOUND Das Anwendungsgateway gibt den Fehler "Nicht gefunden" zurück, wenn der Back-End-Server die angeforderte Ressource nicht finden kann. Dies tritt in der Regel auf, wenn der angeforderte URL-Pfad nicht auf dem Back-End-Server vorhanden ist oder in Routingregeln im Anwendungsgateway fehlkonfiguriert wird, sodass Anforderungen an den falschen Back-End-Pool weitergeleitet werden.
ERRORINFO_CLIENT_SSL_CERT_ERROR Beim Anwendungsgateway ist ein Problem mit dem SSL-Zertifikat des Clients während des TLS-Handshakes aufgetreten, was eine erfolgreiche Authentifizierung verhindert. Dies tritt in der Regel auf, wenn AppGW für die gegenseitige Authentifizierung konfiguriert ist und das Clientzertifikat nicht bereitgestellt wird.
5XX-Fehler BESCHREIBUNG
ERRORINFO_UPSTREAM_NO_LIVE Das Anwendungsgateway kann keine aktiven oder erreichbaren Back-End-Server finden, um eingehende Anforderungen zu verarbeiten.
ERRORINFO_EMPTY_BACKEND_POOL Dies weist darauf hin, dass die AppGW die Anforderung nicht erfüllen kann, da der Back-End-Pool leer ist.
ERRORINFO_UPSTREAM_CLOSED_CONNECTION Der Back-End-Server hat die Verbindung unerwartet oder vor Abschluss der Verarbeitung der Anforderung beendet. Diese Bedingung kann auftreten, weil der Back-End-Server seine Grenzen, Abstürze usw. erreicht.
ERRORINFO_UPSTREAM_TIMED_OUT Die mit dem Server hergestellte TCP-Verbindung wurde beendet, da die Verbindung den konfigurierten Timeoutwert überschritten hatte.
ERRORINFO_INVALID_HEADER Das Anwendungsgateway hat einen teilweise ungültigen Header erkannt und den verbleibenden Header an das Back-End weitergeleitet, der mit 500 geantwortet hat. Stellen Sie sicher, dass der Anforderungsheader des Clients keine CR-, LF-, NULL- oder ähnliche Zeichen enthält. Ersetzen Sie solche Zeichen durch SP (Leerzeichen).
ERRORINFO_EMPTY_BACKEND_POOL Dies gibt an, dass das Anwendungsgateway die Anforderung nicht erfüllen kann, da der Back-End-Pool leer ist.
ERRORINFO_UPSTREAM_RESPONSE_HEADER_TOO_LARGE Die HTTP-Antwortheader des Back-End-Servers überschreiten die maximale Größe, die azure Application Gateway verarbeiten kann. Das Anwendungsgateway erzwingt einen festen Grenzwert von 32 KB für Antwortheader, und eine Überschreitung dieses Grenzwerts kann zu einem 502 ungültigen Gateway führen.
ERRORINFO_UPSTREAM_NO_RESOLVER Dieser Fehler gibt an, dass das virtuelle Netzwerk keinen DNS-Resolver konfiguriert hat, um Hostnamen in IP-Adressen zu übersetzen.
ERRORINFO_UPSTREAM_SSL_CERT_VERIFY_ERROR Dieser Fehler tritt auf, wenn das Anwendungsgateway das Back-End-Zertifikat aufgrund von Problemen wie Vertrauensfehler, Ablauf, unvollständiger Kette usw. nicht überprüfen kann. AppGW schlägt den SSL/TLS-Handshake fehl und kennzeichnet das Back-End als fehlerhaft
ERRORINFO_UPSTREAM_SSL_CERT_MISMATCH Dieser Fehler wird durch einen Konflikt zwischen dem gemeinsamen Namen/SAN im Back-End-Serverzertifikat und dem erwarteten Hostnamen im im Back-End-Pool konfigurierten oder in den HTTP-Einstellungen angegeben.

Firewallprotokollkategorie

Das Firewallprotokoll wird nur generiert, wenn Sie es für jedes Anwendungsgateway aktivieren, wie in der Protokollierung aktivieren. Für dieses Protokoll muss zudem die Web Application Firewall auf einem Anwendungsgateway konfiguriert sein. Die Daten werden in dem Speicherkonto gespeichert, das Sie beim Aktivieren der Protokollierung angegeben haben. Die folgenden Daten werden protokolliert:

Wert BESCHREIBUNG
instanceId Application Gateway-Instanz, für die Firewalldaten generiert werden. Für ein Anwendungsgateway mit mehreren Instanzen ist eine Zeile pro Instanz vorhanden.
clientIp Ursprungs-IP für die Anforderung
clientPort Ursprungsport für die Anforderung
requestUri URI der empfangenen Anforderung
ruleSetType Regelsatztyp: Der verfügbare Wert ist OWASP.
ruleSetVersion Verwendete Regelsatzversion. Verfügbare Werte sind 2.2.9 und 3.0.
ruleId (englisch) Regel-ID des auslösenden Ereignisses
Nachricht Benutzerfreundliche Meldung für das auslösende Ereignis. Weitere Details im Abschnitt „Details“.
Handlung Aktion, die für die Anforderung durchgeführt wird. Verfügbare Werte sind "Blockiert" und "Zugelassen" (für benutzerdefinierte Regeln), "Übereinstimmung" (wenn eine Regel einem Teil der Anforderung entspricht) und "Erkannt" und "Blockiert" (diese Werte gelten für obligatorische Regeln, je nachdem, ob sich der WAF im Erkennungs- oder Präventionsmodus befindet).
Standort Standort, für den das Protokoll generiert wurde. Derzeit ist nur „Global“ aufgeführt, da Regeln global sind.
Details Details zum auslösenden Ereignis
details.message Beschreibung der Regel
details.data Spezifische Daten in der Anforderung, die eine Übereinstimmung mit der Regel ergeben
details.file Konfigurationsdatei, die die Regel enthalten hat
details.line Nummer der Zeile in der Konfigurationsdatei, die das Ereignis ausgelöst hat
Rechnername Hostname oder IP-Adresse für Application Gateway.
Transaktions-ID Eindeutige ID für eine bestimmte Transaktion, die dazu beiträgt, mehrere Regelverstöße zu gruppieren, die innerhalb derselben Anforderung aufgetreten sind. 
{
    "timeStamp": "2021-10-14T22:17:11+00:00",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{applicationGatewayName}",
    "operationName": "ApplicationGatewayFirewall",
    "category": "ApplicationGatewayFirewallLog",
    "properties": {
        "instanceId": "appgw_2",
        "clientIp": "185.42.129.24",
        "clientPort": "",
        "requestUri": "\/",
        "ruleSetType": "OWASP_CRS",
        "ruleSetVersion": "3.0.0",
        "ruleId": "920350",
        "message": "Host header is a numeric IP address",
        "action": "Matched",
        "site": "Global",
        "details": {
            "message": "Warning. Pattern match \\\"^[\\\\d.:]+$\\\" at REQUEST_HEADERS:Host .... ",
            "data": "20.110.30.194:80",
            "file": "rules\/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
            "line": "791"
        },
        "hostname": "20.110.30.194:80",
        "transactionId": "592d1649f75a8d480a3c4dc6a975309d",
        "policyId": "default",
        "policyScope": "Global",
        "policyScopeName": "Global"
    }
}

Kategorie des Leistungsprotokolls

Das Leistungsprotokoll wird nur generiert, wenn Sie es in jeder Anwendungsgatewayinstanz aktivieren, wie in der Protokollierung aktivieren. Die Daten werden in dem Speicherkonto gespeichert, das Sie beim Aktivieren der Protokollierung angegeben haben. Die Daten für das Leistungsprotokoll werden in Intervallen von einer Minute generiert. Diese Funktion ist nur für die v1-SKU verfügbar. Verwenden Sie für die v2-SKU Metriken für die Leistungsdaten. Die folgenden Daten werden protokolliert:

Wert BESCHREIBUNG
instanceId Application Gateway-Instanz, für die Leistungsdaten generiert werden. Für ein Anwendungsgateway mit mehreren Instanzen ist eine Zeile pro Instanz vorhanden.
healthyHostCount Anzahl fehlerfreier Hosts im Back-End-Pool
unHealthyHostCount Anzahl fehlerhafter Hosts im Back-End-Pool
requestCount Anzahl von bereitgestellten Anforderungen
Latenz Durchschnittliche Wartezeit (in Millisekunden) für Anforderungen von der Instanz an das Back-End, das die Anforderungen verarbeitet.
failedRequestCount Anzahl von fehlerhaften Anforderungen
Durchsatz Durchschnittlicher Durchsatz seit dem letzten Protokoll, gemessen in Bytes pro Sekunde. 
{
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{applicationGatewayName}",
    "operationName": "ApplicationGatewayPerformance",
    "time": "2016-04-09T00:00:00Z",
    "category": "ApplicationGatewayPerformanceLog",
    "properties":
    {
        "instanceId":"ApplicationGatewayRole_IN_1",
        "healthyHostCount":"4",
        "unHealthyHostCount":"0",
        "requestCount":"185",
        "latency":"0",
        "failedRequestCount":"0",
        "throughput":"119427"
    }
}

Hinweis

Latenz wird von dem Zeitpunkt, zu dem das erste Byte der HTTP-Anforderung empfangen wird, bis zu dem Zeitpunkt berechnet, zu dem das letzte Byte der HTTP-Antwort gesendet wird. Dies ist die Summe der Application Gateway-Verarbeitungszeit plus Netzwerkkosten zum Back-End plus die Zeit, die das Back-End zum Verarbeiten der Anforderung benötigt.

Azure Monitor Logs and Log Analytics Tables

Azure Application Gateway speichert Ressourcenprotokollinformationen in der Azure-Diagnose-Tabelle. Die folgenden Spalten sind relevant.

Eigenschaft BESCHREIBUNG
requestUri_s Der URI der Clientanforderung.
`Message` Informationsmeldungen wie „Angriff mit Einschleusung von SQL-Befehlen“
userAgent_s Benutzer-Agent-Details der Clientanforderung
ruleName_s Zum Bedienen dieser Anforderung verwendete Anforderungsroutingregel
httpMethod_s HTTP-Methode der Clientanforderung
instanceId_s Die Appgw-Instanz, an die die Clientanforderung zur Auswertung geroutet wird
httpVersion_s HTTP-Version der Clientanforderung
clientIP_s IP-Adresse, von der die Anforderung gestellt wird
host_s Hostheader der Clientanforderung
requestQuery_s Abfragezeichenfolge als Teil der Clientanforderung
sslEnabled_s Ob SSL für die Clientanforderung aktiviert ist

Tabellen in Azure Monitor-Protokollen

Dieser Abschnitt bezieht sich die für diesen Service relevanten Azure-Monitor-Protokolltabellen, die für die Abfrage durch Protokollanalyse mit Kusto-Abfragen zur Verfügung stehen. Diese Tabellen enthalten Ressourcenprotokolldaten und möglicherweise mehr, je nachdem, was erfasst und an sie weitergeleitet wird.

Application Gateway Microsoft.Network/applicationGateways

TLS/TCP-Proxyprotokolle

Der Layer 4-Proxy des Anwendungsgateways stellt Protokolldaten über Zugriffsprotokolle bereit. Diese Protokolle werden nur generiert und veröffentlicht, wenn sie in den Diagnoseeinstellungen Ihres Gateways konfiguriert sind. Weitere Informationen finden Sie unter: Unterstützte Kategorien für Azure Monitor-Ressourcenprotokolle.

Hinweis

Die Spalten mit Details zur gegenseitigen Authentifizierung für einen TLS-Listener sind derzeit nur über die AzureDiagnostics-Tabelle verfügbar.

Kategorie Ressourcenprotokollkategorie
ResourceGroup (Ressourcengruppe) Die Ressourcengruppe, zu der die Anwendungsgatewayressource gehört.
Abonnement-ID Die Abonnement-ID der Anwendungsgatewayressource.
Ressourcenanbieter Dieser Wert ist MICROSOFT. NETWORK für Anwendungsgateway.
Ressource Der Name der Anwendungsgatewayressource.
Ressourcetyp Dieser Wert ist APPLICATIONGATEWAYS.
RegelName Der Name der Routingregel, die die Verbindungsanforderung gestellt hat.
instanceId Application Gateway-Instanz, von der die Anforderung bereitgestellt wurde
clientIP Ursprungs-IP für die Anforderung
receivedBytes Vom Client zum Gateway empfangene Daten, in Byte.
sentBytes Vom Gateway an den Client gesendete Daten, in Byte.
listenerName Der Name des Listeners, der die Front-End-Verbindung mit dem Client hergestellt hat.
backendSettingName Der Name der Back-End-Einstellung, die für die Back-End-Verbindung verwendet wird.
backPoolName Der Name des Back-End-Pools, von dem ein Zielserver ausgewählt wurde, um die Back-End-Verbindung herzustellen.
Protokoll TCP (Unabhängig davon, ob es sich um TCP oder TLS handelt, ist der Protokollwert immer TCP).
sessionTime Sitzungsdauer in Sekunden (dieser Wert ist für die Client-appgw-Sitzung>).
upstreamSentBytes Daten, die an den Back-End-Server gesendet werden, in Byte.
upstreamReceivedBytes Daten, die vom Back-End-Server empfangen wurden, in Bytes.
upstreamSessionTime Sitzungsdauer in Sekunden (dieser Wert ist für die Appgw-Back-End-Sitzung>).
sslCipher Verschlüsselungssammlung, die für die TLS-Kommunikation verwendet wird (für TLS-Protokolllistener).
sslProtocol (SSL-Protokoll) Verwendetes SSL/TLS-Protokoll (für TLS-Protokolllistener).
serverRouted Die IP- und Portnummer des Back-End-Servers, an die der Datenverkehr weitergeleitet wurde.
serverStatus 200 – Die Sitzung wurde erfolgreich abgeschlossen. 400 – Clientdaten konnten nicht analysiert werden. 500 – Interner Serverfehler. 502  Ungültiges Gateway. Beispiel: Wenn ein Upstreamserver nicht erreicht werden konnte. 503 – Dienst nicht verfügbar. Wenn der Zugriff beispielsweise durch die Anzahl der Verbindungen beschränkt ist.
error_info Der Grund für den Fehler gemäß serverStatus-Code.
RessourcenID Anwendungsgateway-Ressourcen-URI.

Aktivitätsprotokoll

In der verknüpften Tabelle sind die Vorgänge aufgeführt, die im Aktivitätsprotokoll für diesen Dienst aufgezeichnet werden können. Diese Operationen sind eine Teilmenge aller möglichen Ressourcenanbietervorgänge im Aktivitätsprotokoll.

Weitere Informationen zum Schema von Aktivitätsprotokolleinträgen finden Sie unter Ereignisschema des Azure-Aktivitätsprotokolls.

Mit dem Feature Azure-Aktivitätsprotokolle können Sie sämtliche an Ihr Azure-Abonnement übermittelten Vorgänge sowie deren Status anzeigen. Aktivitätsprotokolleinträge werden standardmäßig erfasst. Sie können die Endpunkte im Azure-Portal anzeigen. Azure-Aktivitätsprotokolle wurden früher als Betriebsprotokolle und Überwachungsprotokolle bezeichnet.

Azure generiert Standardmäßig Aktivitätsprotokolle. Die Protokolle werden 90 Tage lang im Azure-Ereignisprotokollspeicher aufbewahrt. Weitere Informationen zu diesen Protokollen finden Sie im Artikel Anzeigen von Ereignis- und Aktivitätsprotokollen.

Zugehöriger Inhalt

  • Last updated on