Estado del back-end y registros de diagnóstico de Application Gateway
Puede supervisar los recursos de Azure Application Gateway de las maneras siguientes:
Estado del back-end: Application Gateway proporciona la funcionalidad de supervisar el estado de los servidores de los grupos de back-end mediante Azure Portal y PowerShell. El estado de los grupos de back-end también se puede encontrar en los registros de diagnóstico de rendimiento.
Registros: los registros permiten que un recurso guarde o consuma datos de rendimiento, acceso o de otro tipo con fines de supervisión.
Métricas: Application Gateway tiene varias métricas que le ayudan a comprobar que el sistema funciona según lo previsto.
Nota:
Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Consulte Instalación de Azure PowerShell para empezar. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.
Estado de back-end
Application Gateway proporciona la funcionalidad de supervisar el estado de los miembros individuales de los grupos de back-end mediante el portal, PowerShell y la interfaz de la línea de comandos (CLI). El resumen de estado agregado de los grupos de back-end también se puede encontrar en los registros de diagnóstico de rendimiento.
El informe de estado de back-end refleja el resultado del sondeo de estado de Application Gateway en las instancias de back-end. Cuando el sondeo es correcto y el back-end puede recibir tráfico, se considera que su mantenimiento es correcto. En caso contrario, se considera incorrecto.
Importante
Si hay un grupo de seguridad de red (NSG) en una subred Application Gateway, abra los intervalos de puertos 65503-65534 para las SKU v1 y 65200-65535 para las SKU de v2 en la subred Application Gateway para el tráfico entrante. Este intervalo de puertos es necesario para la comunicación de la infraestructura de Azure. Están protegidos (bloqueados) mediante certificados de Azure. Sin los certificados adecuados, las entidades externas, incluidos los clientes de esas puertas de enlace, no podrán iniciar ningún cambio en esos puntos de conexión.
Visualización del estado de back-end a través del portal
En el portal, el estado del back-end se proporciona automáticamente. En una puerta de enlace de aplicaciones existente, vaya a Supervisión>Estado del back-end.
En esta página, se muestra cada miembro del grupo de back-end (ya sea una NIC, una dirección IP o un FQDN). Se muestran el nombre del grupo de back-end, el puerto, el nombre de la configuración de HTTP de back-end y el estado de mantenimiento. Los valores válidos para el estado de mantenimiento son Correcto, Incorrecto y Desconocido.
Nota
Si aparece un estado de mantenimiento de back-end Desconocido, asegúrese de que el acceso al back-end no esté bloqueado por una regla de NSG, una ruta definida por el usuario (UDR) o un DNS personalizado en la red virtual.
Visualización del estado del back-end mediante PowerShell
El código de PowerShell siguiente muestra cómo ver el estado del back-end con el cmdlet Get-AzApplicationGatewayBackendHealth
:
Get-AzApplicationGatewayBackendHealth -Name ApplicationGateway1 -ResourceGroupName Contoso
Visualización del estado del back-end mediante la CLI de Azure
az network application-gateway show-backend-health --resource-group AdatumAppGatewayRG --name AdatumAppGateway
Results
El siguiente fragmento de código muestra un ejemplo de la respuesta:
{
"BackendAddressPool": {
"Id": "/subscriptions/00000000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Network/applicationGateways/applicationGateway1/backendAddressPools/appGatewayBackendPool"
},
"BackendHttpSettingsCollection": [
{
"BackendHttpSettings": {
"Id": "/00000000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Network/applicationGateways/applicationGateway1/backendHttpSettingsCollection/appGatewayBackendHttpSettings"
},
"Servers": [
{
"Address": "hostname.westus.cloudapp.azure.com",
"Health": "Healthy"
},
{
"Address": "hostname.westus.cloudapp.azure.com",
"Health": "Healthy"
}
]
}
]
}
Registros de diagnóstico
Puede usar diferentes tipos de registros en Azure para administrar y solucionar problemas de Application Gateway. Se puede acceder a algunos de estos registros mediante el portal. Se pueden extraer todos los registros de Azure Blob Storage y visualizarse en distintas herramientas, como los registros de Azure Monitor, Excel y PowerBI. Puede obtener más información sobre los diferentes tipos de registros en la lista siguiente:
- Registro de actividades: se puede usar el registro de actividades de Azure (anteriormente conocido como registros operativos y registros de auditoría) para ver todas las operaciones enviadas a la suscripción de Azure, así como su estado. Las entradas del registro de actividades se recopilan de forma predeterminada y se pueden ver en Azure Portal.
- Registro de acceso: Puede usar este registro para ver los patrones de acceso de Application Gateway y analizar información importante. Esto incluye la dirección IP del autor de la llamada, la dirección URL solicitada, la latencia de la respuesta, el código de devolución y los bytes de entrada y salida. El registro de acceso se recopila cada 60 segundos. Este registro contiene un registro por cada instancia de Application Gateway. La instancia de Application Gateway se identifica por la propiedad instanceId.
- Registro de rendimiento: este registro se puede usar para ver el rendimiento de las instancias de Application Gateway. Este registro captura la información de rendimiento de cada instancia, incluida la cantidad total de solicitudes atendidas, el rendimiento en bytes, la cantidad de solicitudes con error y el número de instancias de back-end con un estado correcto o incorrecto. El registro de rendimiento se recopila cada 60 segundos. El registro de rendimiento solo está disponible para la SKU v1. En la SKU v2, use Métricas para los datos de rendimiento.
- Registro de firewall: este registro se puede usar para ver las solicitudes que se registran con el modo de detección o prevención de una puerta de enlace de aplicaciones que está configurada con el firewall de aplicaciones web. Los registros de firewall se recopilan cada 60 segundos.
Nota
Los registros solo están disponibles para los recursos implementados en el modelo de implementación de Azure Resource Manager. No puede usar los registros de recursos del modelo de implementación clásica. Para entender mejor los dos modelos, consulte el artículo Descripción de la implementación de Resource Manager y la implementación clásica .
Tiene tres opciones para almacenar los archivos de registro:
- Cuenta de almacenamiento: cuentas que resultan especialmente útiles para registros cuando estos se almacenan durante mucho tiempo y se revisan cuando es necesario.
- Centros de eventos: Centro de eventos es una buena opción para la integración con otras herramientas de administración de eventos e información de seguridad (SIEM) para obtener alertas sobre los recursos.
- Registros de Azure Monitor: se usan para la supervisión general en tiempo real de la aplicación o para examinar las tendencias.
Habilitación del registro con PowerShell
El registro de actividades se habilita automáticamente para todos los recursos de Resource Manager. Debe habilitar el registro de acceso y rendimiento para iniciar la recopilación de los datos disponibles a través de esos registros. Para habilitar el registro, realice los siguientes pasos:
Anote el identificador de recurso de la cuenta de almacenamiento donde se almacenan los datos de registro. Este valor tiene este formato: /subscriptions/<idSuscripción>/resourceGroups/<nombreDeGrupoDeRecursos>/providers/Microsoft.Storage/storageAccounts/<nombreDeCuentaDeAlmacenamiento>. Puede usar cualquier cuenta de almacenamiento de la suscripción. Para buscar esta información, se puede usar Azure Portal.
Observe el identificador de recurso de la puerta de enlace de aplicaciones para la que se está habilitando el registro. Este valor tiene el siguiente formato: /subscriptions/<idSuscripción>/resourceGroups/<nombreDeGrupoDeRecursos>/providers/Microsoft.Network/applicationGateways/<nombreDePuertaDeEnlaceDeAplicaciones>. Para buscar esta información, use Azure Portal.
Habilite el registro de diagnósticos mediante el siguiente cmdlet de PowerShell:
Set-AzDiagnosticSetting -ResourceId /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/applicationGateways/<application gateway name> -StorageAccountId /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> -Enabled $true
Sugerencia
Los registros de actividades no requieren una cuenta de almacenamiento separada. El uso del almacenamiento para el registro de acceso y rendimiento supondrá un costo adicional de servicio.
Habilitación del registro mediante Azure Portal
En Azure Portal, busque el recurso y seleccione Configuración de diagnóstico.
Hay tres registros de auditoría disponibles para Application Gateway:
- Registro de acceso
- Registro de rendimiento
- Registro de firewall
Para empezar a recopilar los datos, haga clic en Activar diagnóstico.
En la página Configuración de diagnóstico, se encuentran las opciones de configuración de los registros de diagnóstico. En este ejemplo, se utiliza Log Analytics para almacenar los registros. Se pueden utilizar también Events Hubs y la cuenta de almacenamiento para guardar los registros de diagnóstico.
Escriba un nombre para la configuración, confírmelo y seleccione Guardar.
Registro de actividades
Azure genera el registro de actividad de forma predeterminada. Los registros se conservan durante 90 días en el almacén de registros de eventos de Azure. Para más información sobre estos registros, consulte el artículo Visualización de eventos y registros de actividades.
Registro de acceso
El registro de acceso solo se genera si lo habilitó para cada instancia de Application Gateway, tal y como se indicó en los pasos anteriores. Los datos se almacenan en la cuenta de almacenamiento que especificó cuando habilitó el registro. Cada acceso de Application Gateway se registra en formato JSON, tal y como se muestra a continuación.
Para la SKU de Application Gateway y WAF v2
Value | Descripción |
---|---|
instanceId | Instancia de Application Gateway que atendió la solicitud. |
clientIP | IP del cliente inmediato de Application Gateway. Si otro proxy lidera la puerta de enlace de aplicación, se muestra la IP de ese proxy de front-end. |
httpMethod | Método HTTP utilizado por la solicitud. |
requestUri | URI de la solicitud recibida. |
UserAgent | Agente de usuario del encabezado de solicitud HTTP. |
httpStatus | Código de estado HTTP que se devuelve al cliente desde Application Gateway. |
HttpVersion | Versión HTTP de la solicitud. |
receivedBytes | Tamaño de paquete recibido, en bytes. |
sentBytes | Tamaño de paquete enviado, en bytes. |
clientResponseTime | Tiempo (en segundos) que se tarda en procesar el primer byte de una solicitud de cliente y el primer byte enviado a este en la respuesta. |
timeTaken | Tiempo (en segundos) que se tarda en procesar el primer byte de una solicitud de cliente y el último byte enviado a este en la respuesta. Es importante tener en cuenta que el campo Time-Taken normalmente incluye la hora a la que los paquetes de solicitud y respuesta se desplazan a través de la red. |
WAFEvaluationTime | Tiempo (en segundos) que se tarda en procesar una solicitud y enviar la respuesta. |
WAFMode | El valor puede ser "Detección" o "Prevención". |
transactionId | Identificador único para correlacionar la solicitud recibida del cliente. |
sslEnabled | Indica si en la comunicación con los grupos de back-end se utilizó TLS. Los valores válidos son on y off. |
sslCipher | Conjunto de cifrado que se usa para la comunicación TLS (si TLS está habilitado). |
sslProtocol | Protocolo SSL/TLS que se usa (si se ha habilitado TLS). |
serverRouted | Servidor back-end al que Application Gateway redirige la solicitud. |
serverStatus | Código de estado HTTP del servidor back-end. |
serverResponseLatency | Latencia de la respuesta (en segundos) del servidor backend. |
host | Dirección que aparece en el encabezado de host de la solicitud. Si se reescribe mediante una reescritura de encabezado, este campo contiene el nombre de host actualizado |
originalRequestUriWithArgs | Este campo contiene la dirección URL de la solicitud original |
requestUri | Este campo contiene la dirección URL posterior a la operación de reescritura en Application Gateway |
originalHost | Este campo contiene el nombre de host de la solicitud original |
{
"timeStamp": "2021-10-14T22:17:11+00:00",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{applicationGatewayName}",
"listenerName": "HTTP-Listener",
"ruleName": "Storage-Static-Rule",
"backendPoolName": "StaticStorageAccount",
"backendSettingName": "StorageStatic-HTTPS-Setting",
"operationName": "ApplicationGatewayAccess",
"category": "ApplicationGatewayAccessLog",
"properties": {
"instanceId": "appgw_2",
"clientIP": "185.42.129.24",
"clientPort": 45057,
"httpMethod": "GET",
"originalRequestUriWithArgs": "\/",
"requestUri": "\/",
"requestQuery": "",
"userAgent": "Mozilla\/5.0 (Windows NT 6.1; WOW64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/52.0.2743.116 Safari\/537.36",
"httpStatus": 200,
"httpVersion": "HTTP\/1.1",
"receivedBytes": 184,
"sentBytes": 466,
"clientResponseTime": 0,
"timeTaken": 0.034,
"WAFEvaluationTime": "0.000",
"WAFMode": "Detection",
"transactionId": "592d1649f75a8d480a3c4dc6a975309d",
"sslEnabled": "on",
"sslCipher": "ECDHE-RSA-AES256-GCM-SHA384",
"sslProtocol": "TLSv1.2",
"sslClientVerify": "NONE",
"sslClientCertificateFingerprint": "",
"sslClientCertificateIssuerName": "",
"serverRouted": "52.239.221.65:443",
"serverStatus": "200",
"serverResponseLatency": "0.028",
"originalHost": "20.110.30.194",
"host": "20.110.30.194"
}
}
Nota
Los registros de acceso con el valor de clientIP 127.0.0.1 se originan en un proceso de seguridad interno en las instancias de la puerta de enlace de aplicación. Puede ignorar estas entradas de registro.
Para la SKU Estándar de Application Gateway y de WAF (v1)
Value | Descripción |
---|---|
instanceId | Instancia de Application Gateway que atendió la solicitud. |
clientIP | IP de origen de la solicitud. |
clientPort | Puerto de origen de la solicitud. |
httpMethod | Método HTTP utilizado por la solicitud. |
requestUri | URI de la solicitud recibida. |
RequestQuery | Server-Routed: instancia del grupo de back-end a la que se ha enviado la solicitud.X-AzureApplicationGateway-LOG-ID: identificador de correlación utilizado para la solicitud. Se puede utilizar para solucionar problemas de tráfico en los servidores back-end. SERVER-STATUS: código de respuesta HTTP que Application Gateway ha recibido del back-end. |
UserAgent | Agente de usuario del encabezado de solicitud HTTP. |
httpStatus | Código de estado HTTP que se devuelve al cliente desde Application Gateway. |
HttpVersion | Versión HTTP de la solicitud. |
receivedBytes | Tamaño de paquete recibido, en bytes. |
sentBytes | Tamaño de paquete enviado, en bytes. |
timeTaken | Período de tiempo (en milisegundos) que se tarda en procesar una solicitud y en enviar la respuesta. Esto se calcula como el intervalo desde el momento en que Application Gateway recibe el primer byte de una solicitud HTTP hasta el momento en que termina la operación de envío de la respuesta. Es importante tener en cuenta que el campo Time-Taken normalmente incluye la hora a la que los paquetes de solicitud y respuesta se desplazan a través de la red. |
sslEnabled | Indica si en la comunicación con los grupos de back-end se utilizó TLS/SSL. Los valores válidos son on y off. |
host | El nombre de host con el que se envió la solicitud al servidor back-end. Si se está reemplazando el nombre de host de back-end, se reflejará en este nombre. |
originalHost | Nombre de host con el que Application Gateway recibió la solicitud del cliente. |
{
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/PEERINGTEST/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{applicationGatewayName}",
"operationName": "ApplicationGatewayAccess",
"time": "2017-04-26T19:27:38Z",
"category": "ApplicationGatewayAccessLog",
"properties": {
"instanceId": "ApplicationGatewayRole_IN_0",
"clientIP": "191.96.249.97",
"clientPort": 46886,
"httpMethod": "GET",
"requestUri": "/phpmyadmin/scripts/setup.php",
"requestQuery": "X-AzureApplicationGateway-CACHE-HIT=0&SERVER-ROUTED=10.4.0.4&X-AzureApplicationGateway-LOG-ID=874f1f0f-6807-41c9-b7bc-f3cfa74aa0b1&SERVER-STATUS=404",
"userAgent": "-",
"httpStatus": 404,
"httpVersion": "HTTP/1.0",
"receivedBytes": 65,
"sentBytes": 553,
"timeTaken": 205,
"sslEnabled": "off",
"host": "www.contoso.com",
"originalHost": "www.contoso.com"
}
}
Registro de rendimiento
El registro de rendimiento solo se genera si lo habilitó para cada instancia de Application Gateway, tal y como se indicó en los pasos anteriores. Los datos se almacenan en la cuenta de almacenamiento que especificó cuando habilitó el registro. Los datos de registro de rendimiento se generan en intervalos de 1 minuto. Solo está disponible para la SKU v1. En la SKU v2, use Métricas para los datos de rendimiento. Se registran los datos siguientes:
Value | Descripción |
---|---|
instanceId | Instancia de Application Gateway para la que se van a generar los datos. Si hay varias instancias de Application Gateway, hay una fila por cada instancia. |
healthyHostCount | Número de hosts con un estado correcto en el grupo de back-end. |
unHealthyHostCount | Número de hosts con un estado incorrecto en el grupo de back-end. |
requestCount | Número de solicitudes atendidas. |
latency | Latencia media (en milisegundos) de las solicitudes desde la instancia hasta el back-end que atiende las solicitudes. |
failedRequestCount | Número de solicitudes con error. |
throughput | Rendimiento medio desde el último registro, medido en bytes por segundo. |
{
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{applicationGatewayName}",
"operationName": "ApplicationGatewayPerformance",
"time": "2016-04-09T00:00:00Z",
"category": "ApplicationGatewayPerformanceLog",
"properties":
{
"instanceId":"ApplicationGatewayRole_IN_1",
"healthyHostCount":"4",
"unHealthyHostCount":"0",
"requestCount":"185",
"latency":"0",
"failedRequestCount":"0",
"throughput":"119427"
}
}
Nota
La latencia se calcula desde el momento en que se recibe el primer byte de la solicitud HTTP hasta el momento en que se envía el último byte de la respuesta HTTP. Es la suma del tiempo de procesamiento de Application Gateway más el costo de la red hasta el back-end, más el tiempo que el back-end tarda en procesar la solicitud.
Registro de firewall
El registro de firewall solo se genera si lo habilitó para cada instancia de Application Gateway, tal y como se indicó en los pasos anteriores. Este registro también requiere que el firewall de aplicaciones web esté configurado en una instancia de Application Gateway. Los datos se almacenan en la cuenta de almacenamiento que especificó cuando habilitó el registro. Se registran los datos siguientes:
Value | Descripción |
---|---|
instanceId | Instancia de Application Gateway para la que se van a generar los datos de firewall. Si hay varias instancias de Application Gateway, hay una fila por cada instancia. |
clientIp | IP de origen de la solicitud. |
clientPort | Puerto de origen de la solicitud. |
requestUri | URI de la solicitud recibida. |
ruleSetType | Tipo de conjunto de reglas. El valor disponible es OWASP. |
ruleSetVersion | Versión utilizada del conjunto de reglas. Los valores disponibles son 2.2.9 y 3.0. |
ruleId | Identificador de regla del evento desencadenador. |
message | Mensaje descriptivo para el evento desencadenador. En la sección de detalles se proporciona más información. |
action | Acción realizada en la solicitud. Los valores disponibles son Bloqueados y Permitidos (para reglas personalizadas), Coincidentes (cuando una regla coincide con una parte de la solicitud) y Detectados y Bloqueados (ambos son para las reglas obligatorias, en función de si WAF está en modo de detección o prevención). |
site | Sitio para el que se generó el registro. Actualmente, solo se incluye Global porque las reglas son globales. |
detalles | Detalles del evento desencadenador. |
details.message | Descripción de la regla. |
details.data | Datos específicos que se encuentran en la solicitud y que corresponden a la regla. |
details.file | Archivo de configuración que contiene la regla. |
details.line | Número de línea del archivo de configuración que desencadenó el evento. |
hostname | Nombre de host o dirección IP de la puerta de enlace de aplicaciones. |
transactionId | Identificador único de una transacción determinada que ayuda a agrupar varias infracciones de reglas que se produjeron dentro de la misma solicitud. |
{
"timeStamp": "2021-10-14T22:17:11+00:00",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{applicationGatewayName}",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_2",
"clientIp": "185.42.129.24",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "OWASP_CRS",
"ruleSetVersion": "3.0.0",
"ruleId": "920350",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \\\"^[\\\\d.:]+$\\\" at REQUEST_HEADERS:Host .... ",
"data": "20.110.30.194:80",
"file": "rules\/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
"line": "791"
},
"hostname": "20.110.30.194:80",
"transactionId": "592d1649f75a8d480a3c4dc6a975309d",
"policyId": "default",
"policyScope": "Global",
"policyScopeName": "Global"
}
}
Visualización y análisis del registro de actividades
Puede ver y analizar los datos del registro de actividades con cualquiera de los métodos siguientes:
- Herramientas de Azure: permiten recuperar información de los registros de actividades mediante Azure PowerShell, la CLI de Azure, la API REST de Azure o Azure Portal. En el artículo Operaciones de actividades con Resource Manager se detallan instrucciones paso a paso de cada método.
- Power BI: si todavía no tiene una cuenta de Power BI, puede probarlo gratis. Las aplicaciones de plantilla de Power BI permiten analizar los datos.
Visualización y análisis de los registros de acceso, rendimiento y firewall
Los registros de Azure Monitor pueden recopilar los archivos de registro de eventos y contadores de la cuenta de Blob Storage. Incluye visualizaciones y eficaces funciones de búsqueda para analizar los registros.
También puede conectarse a la cuenta de almacenamiento y recuperar las entradas del registro de JSON de los registros de acceso y rendimiento. Después de descargar los archivos JSON, se pueden convertir a CSV y consultarlos en Excel, PowerBI o cualquier otra herramienta de visualización de datos.
Sugerencia
Si está familiarizado con Visual Studio y con los conceptos básicos de cambio de los valores de constantes y variables de C#, puede usar las herramientas convertidoras de registros que encontrará en GitHub.
Analizar los registros de acceso mediante GoAccess
Hemos publicado una plantilla de Resource Manager que se instala y ejecuta el popular analizador de registros GoAccess para los registros de acceso de Application Gateway. GoAccess proporciona valiosas estadísticas de tráfico HTTP como visitantes únicos, archivos solicitados, hosts, sistemas operativos, exploradores, códigos de estado HTTP y mucho más. Para obtener más información, consulte el archivo Léame en la carpeta de plantillas de Resource Manager en GitHub.
Pasos siguientes
- Visualice el contador y los registros de eventos mediante los registros de Azure Monitor.
- Consulte la entrada de blog Visualize your Azure Activity Logs with Power BI (Visualizar los registros de actividades de Azure con Power BI).
- Consulte la entrada de blog View and analyze Azure Audit Logs in Power BI and more (Consulta y análisis de registros de auditoría de Azure en Power BI y más).