Verwenden der Protokollanalyse zur Untersuchung von Protokollen der Web Application Firewall (WAF) für Application Gateway

Artikel
07/27/2023

Sobald Ihre Application Gateway-WAF betriebsbereit ist, können Sie Protokolle aktivieren, um zu überprüfen, was bei jeder Anforderung passiert. Firewallprotokolle geben Aufschluss darüber, was die WAF auswertet, abgleicht und blockiert. Mit der Protokollanalyse können Sie die Daten in den Firewallprotokollen untersuchen, um noch mehr Erkenntnisse zu erhalten. Weitere Informationen zu Protokollabfragen finden Sie unter Übersicht über Protokollabfragen in Azure Monitor.

Voraussetzungen

Ein Azure-Konto mit einem aktiven Abonnement ist erforderlich. Wenn Sie noch kein Konto haben, können Sie kostenlos ein Konto erstellen.
Eine Azure Web Application Firewall-Instanz mit aktivierten Protokollen. Weitere Informationen finden Sie unter Azure Web Application Firewall in Azure Application Gateway.
Einen Log Analytics-Arbeitsbereich Weitere Informationen zum Erstellen eines Log Analytics-Arbeitsbereichs finden Sie unter Erstellen eines Log Analytics-Arbeitsbereichs im Azure-Portal.

Importieren von WAF-Protokollen

Informationen zum Importieren von Firewallprotokollen in Log Analytics finden Sie unter Back-End-Integrität, Diagnoseprotokolle und Metriken für Application Gateway. Wenn sich die Firewallprotokolle in Ihrem Log Analytics-Arbeitsbereich befinden, können Sie Daten anzeigen, Abfragen schreiben, Visualisierungen erstellen und sie zu Ihrem Portaldashboard hinzufügen.

Erkunden von Daten anhand von Beispielen

Um die Rohdaten im Firewallprotokoll anzuzeigen, können Sie die folgende Abfrage ausführen:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

Dies sieht ähnlich wie die folgende Abfrage aus:

Von hier aus können Sie einen Drilldown für die Daten durchführen und Grafiken oder Visualisierungen erstellen. Die folgenden Abfragen können Sie als Ausgangspunkt verwenden:

Von IP abgeglichene/blockierte Anforderungen

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Von URI abgeglichene/blockierte Anforderungen

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Ersten übereinstimmende Regeln

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Die ersten fünf übereinstimmenden Regelgruppen

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Hinzufügen zum Dashboard

Nachdem Sie eine Abfrage erstellt haben, können Sie sie zu Ihrem Dashboard hinzufügen. Wählen Sie An Dashboard anheften in der oberen rechten Ecke des Log Analytics-Arbeitsbereichs aus. Wenn die vorherigen vier Abfragen an ein Beispieldashboard angeheftet sind, sind dies die Daten, die Sie auf einen Blick sehen können:

Screenshot shows an Azure dashboard where you can add your query.

Nächste Schritte

Back-End-Integrität, Diagnoseprotokollierung und Metriken für Application Gateway