Verwenden von Log Analytics zum Untersuchen von Application Gateway-Protokollen
Sobald Ihr Application Gateway betriebsbereit ist, können Sie Protokolle aktivieren, um die Ereignisse zu untersuchen, die für Ihre Ressource auftreten. Beispielsweise geben die Application Gateway-Firewallprotokolle Einblicke in die Auswertung, Zuordnung und Blockierung der Web Application Firewall (WAF). Mit der Protokollanalyse können Sie die Daten in den Firewallprotokollen untersuchen, um noch mehr Erkenntnisse zu erhalten. Weitere Informationen zu Protokollabfragen finden Sie unter Übersicht über Protokollabfragen in Azure Monitor.
In diesem Artikel sehen wir uns die Protokolle der Web Application Firewall (WAF) an. Sie können andere Application Gateway-Protokolle auf ähnliche Weise einrichten.
Voraussetzungen
- Ein Azure-Konto mit einem aktiven Abonnement ist erforderlich. Wenn Sie noch kein Konto haben, können Sie kostenlos ein Konto erstellen.
- Eine Azure Application Gateway-WAK-SKU. Weitere Informationen finden Sie unter Azure Web Application Firewall in Azure Application Gateway.
- Einen Log Analytics-Arbeitsbereich Weitere Informationen zum Erstellen eines Log Analytics-Arbeitsbereichs finden Sie unter Erstellen eines Log Analytics-Arbeitsbereichs im Azure-Portal.
Senden von Protokollen
Informationen zum Exportieren Ihrer Firewallprotokolle nach Log Analytics finden Sie unter Diagnoseprotokolle für Application Gateway. Wenn sich die Firewallprotokolle in Ihrem Log Analytics-Arbeitsbereich befinden, können Sie Daten anzeigen, Abfragen schreiben, Visualisierungen erstellen und sie zu Ihrem Portaldashboard hinzufügen.
Erkunden von Daten anhand von Beispielen
Wenn Sie die Tabelle AzureDiagnostics verwenden, können Sie die Rohdaten im Firewallprotokoll anzeigen, indem Sie die folgende Abfrage ausführen:
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| limit 10
Dies sieht ähnlich wie die folgende Abfrage aus:
Wenn Sie die ressourcenspezifische Tabelle verwenden, können Sie die Rohdaten im Firewallprotokoll anzeigen, indem Sie die folgende Abfrage ausführen. Informationen zu den ressourcenspezifischen Tabellen finden Sie unter Überwachen der Datenreferenz.
AGWFirewallLogs
| limit 10
Von hier aus können Sie einen Drilldown für die Daten durchführen und Grafiken oder Visualisierungen erstellen. Hier sind einige weitere Beispiele für AzureDiagnostics-Abfragen, die Sie verwenden können.
Von IP abgeglichene/blockierte Anforderungen
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart
Von URI abgeglichene/blockierte Anforderungen
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart
Ersten übereinstimmende Regeln
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart
Die ersten fünf übereinstimmenden Regelgruppen
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart
Hinzufügen zum Dashboard
Nachdem Sie eine Abfrage erstellt haben, können Sie sie zu Ihrem Dashboard hinzufügen. Wählen Sie An Dashboard anheften in der oberen rechten Ecke des Log Analytics-Arbeitsbereichs aus. Wenn die vorherigen vier Abfragen an ein Beispieldashboard angeheftet sind, sind dies die Daten, die Sie auf einen Blick sehen können:
Nächste Schritte
Back-End-Integrität, Diagnoseprotokollierung und Metriken für Application Gateway