Teilen über


Verwenden von Log Analytics zum Untersuchen von Application Gateway-Protokollen

Sobald Ihr Application Gateway betriebsbereit ist, können Sie Protokolle aktivieren, um die Ereignisse zu untersuchen, die für Ihre Ressource auftreten. Beispielsweise geben die Application Gateway-Firewallprotokolle Einblicke in die Auswertung, Zuordnung und Blockierung der Web Application Firewall (WAF). Mit der Protokollanalyse können Sie die Daten in den Firewallprotokollen untersuchen, um noch mehr Erkenntnisse zu erhalten. Weitere Informationen zu Protokollabfragen finden Sie unter Übersicht über Protokollabfragen in Azure Monitor.

In diesem Artikel sehen wir uns die Protokolle der Web Application Firewall (WAF) an. Sie können andere Application Gateway-Protokolle auf ähnliche Weise einrichten.

Voraussetzungen

Senden von Protokollen

Informationen zum Exportieren Ihrer Firewallprotokolle nach Log Analytics finden Sie unter Diagnoseprotokolle für Application Gateway. Wenn sich die Firewallprotokolle in Ihrem Log Analytics-Arbeitsbereich befinden, können Sie Daten anzeigen, Abfragen schreiben, Visualisierungen erstellen und sie zu Ihrem Portaldashboard hinzufügen.

Erkunden von Daten anhand von Beispielen

Wenn Sie die Tabelle AzureDiagnostics verwenden, können Sie die Rohdaten im Firewallprotokoll anzeigen, indem Sie die folgende Abfrage ausführen:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| limit 10

Dies sieht ähnlich wie die folgende Abfrage aus:

Screenshot: Log Analytics-Abfrage.

Wenn Sie die ressourcenspezifische Tabelle verwenden, können Sie die Rohdaten im Firewallprotokoll anzeigen, indem Sie die folgende Abfrage ausführen. Informationen zu den ressourcenspezifischen Tabellen finden Sie unter Überwachen der Datenreferenz.

AGWFirewallLogs
| limit 10

Von hier aus können Sie einen Drilldown für die Daten durchführen und Grafiken oder Visualisierungen erstellen. Hier sind einige weitere Beispiele für AzureDiagnostics-Abfragen, die Sie verwenden können.

Von IP abgeglichene/blockierte Anforderungen

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Von URI abgeglichene/blockierte Anforderungen

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Ersten übereinstimmende Regeln

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Die ersten fünf übereinstimmenden Regelgruppen

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Hinzufügen zum Dashboard

Nachdem Sie eine Abfrage erstellt haben, können Sie sie zu Ihrem Dashboard hinzufügen. Wählen Sie An Dashboard anheften in der oberen rechten Ecke des Log Analytics-Arbeitsbereichs aus. Wenn die vorherigen vier Abfragen an ein Beispieldashboard angeheftet sind, sind dies die Daten, die Sie auf einen Blick sehen können:

Screenshot: Ein Azure-Dashboard, in dem Sie Ihre Abfrage hinzufügen können

Nächste Schritte

Back-End-Integrität, Diagnoseprotokollierung und Metriken für Application Gateway