Journaux de diagnostic pour Application Gateway

Les journaux pour Application Gateway fournissent des informations détaillées sur les événements liés à une ressource et à ses opérations. Ils sont disponibles pour des événements tels que l’accès, l’activité, le pare-feu et les performances (uniquement pour la V1). Les informations granulaires contenues dans ces journaux sont utiles pour résoudre un problème ou créer un tableau de bord d’analyse consommant de telles données brutes.

Les journaux sont disponibles pour toutes les ressources d’Application Gateway. Pour pouvoir les consommer, vous devez toutefois activer leur collection dans l’emplacement de stockage de votre choix. La journalisation dans Azure Application Gateway est activée par le service Azure Monitor. Nous vous recommandons l’utilisation de l’espace de travail Log Analytics, car il vous permet d’utiliser ses requêtes prédéfinies et de définir des alertes sur la base de conditions de journal spécifiques en toute simplicité.

Types de journaux de ressource

Vous pouvez utiliser différents types de journaux d’activité dans Azure pour gérer les passerelles Application Gateway et résoudre les problèmes associés.

• Journal d’activité
• Journal d’accès à Application Gateway
• Journal des performances d’Application Gateway (disponible uniquement pour la référence SKU v1)
• Journal du pare-feu d’Application Gateway

Remarque

Les journaux d’activité ne sont disponibles que pour les ressources déployées dans le modèle de déploiement Azure Resource Manager. Vous ne pouvez pas les utiliser pour les ressources utilisant le modèle de déploiement classique. Pour mieux comprendre ces deux modèles, consultez l’article Présentation du déploiement de Resource Manager et du déploiement classique .

Emplacements de stockage pour les journaux de diagnostic

Azure Monitor fournit plusieurs options pour stocker les journaux de ressources en fonction de vos besoins en matière d’analyse, de rétention et d’intégration. Au moment de la configuration des paramètres de diagnostic, vous pouvez choisir une ou plusieurs destinations pour la collecte des journaux.

Espace de travail Log Analytics (recommandé) Un espace de travail Log Analytics est la destination recommandée pour collecter et analyser les journaux de ressources Application Gateway. Il active :

• Utilisation de requêtes et de visualisations prédéfinies
• Création d’alertes basées sur des conditions de journal spécifiques
• Intégration avec les fonctionnalités et aperçus d’Azure Monitor. Dans Log Analytics, la table utilisée pour stocker les journaux de diagnostic dépend du type de collecte configuré dans les paramètres de diagnostic.

Types de collection dans Log Analytics

Diagnostics Azure (hérité) : Lorsque vous sélectionnez Diagnostics Azure, tous les journaux d’activité sont écrits dans la table AzureDiagnostics partagée. Étant donné que cette table est partagée entre de nombreux types de ressources, chaque service écrit ses propres champs personnalisés. Lorsque le nombre de champs personnalisés dépasse 500, des champs supplémentaires sont stockés sous la propriété dynamique AdditionalFields sous forme de paires clé/valeur. Cela peut entraîner une réduction de la détectabilité et des requêtes plus complexes.

Spécifique aux ressources (recommandé) : Lorsque vous sélectionnez Resource-specific, les journaux sont écrits dans des tables dédiées pour chaque catégorie. Le mode spécifique aux ressources fournit les éléments suivants :

• Interrogation simplifiée avec des schémas prévisibles
• Amélioration de la détectabilité des champs et des structures de table
• Meilleures performances en raison d’une latence d’ingestion plus faible et d’une exécution plus rapide des requêtes
• RBAC granulaire par attribution de l’accès au niveau de la table

Pour Application Gateway, le mode spécifique aux ressources crée les tableaux suivants :

• AGWAccessLogs
• AGWPerformanceLogs
• AGWFirewallLogs

Sélection du type de collection dans Log Analytics

Les services Azure passent en mode spécifique aux ressources. Dans le cadre de cette migration, une bascule est disponible dans les paramètres de diagnostic pour choisir l’une ou l’autre des options suivantes :

• Spécifique à la ressource (par défaut)
• Diagnostics Azure

Le bouton bascule détermine si les journaux des catégories sélectionnées sont dirigés vers des tables dédiées ou vers la table AzureDiagnostics. Lorsque vous passez en mode spécifique aux ressources, seules les catégories nouvellement sélectionnées utilisent les tables dédiées ; les flux existants continuent inchangés jusqu'à ce qu'ils soient reconfigurés.

La sélection du mode spécifique aux ressources offre une flexibilité accrue grâce aux transformations d’espace de travail, ce qui vous permet de prétraiter les données avant l’ingestion. Pour obtenir des conseils sur la configuration des transformations d’espace de travail, consultez : Tutoriel : Ajouter une transformation d’espace de travail aux journaux Azure Monitor à l’aide du portail Azure

Exemples d’optimisation des journaux d’accès utilisant des transformations de l’espace de travail

Exemple 1 : Projection sélective des colonnes : imaginez que vous disposez de journaux d’accès application gateway avec 20 colonnes, mais que vous souhaitez analyser les données à partir de six colonnes spécifiques uniquement. En utilisant la transformation de l’espace de travail, vous pouvez projeter ces six colonnes dans votre espace de travail, à l’exclusion des 14 autres colonnes. Même si les données d’origine de ces colonnes exclues ne seront pas stockées, leurs espaces réservés vides apparaissent toujours dans le panneau Journaux. Cette approche optimise le stockage et garantit que seules des données pertinentes sont retenues dans l’analyse.

Remarque

Dans le panneau Journaux, l’option Essayer le nouveau Log Analytics offre un meilleur contrôle sur les colonnes affichées dans votre interface utilisateur.

Exemple 2 : se concentrer sur des codes d’état spécifiques : lors de l’analyse d’un journal d’accès, au lieu de traiter la totalité des entrées, vous pouvez écrire une requête visant à ne récupérer que les lignes ayant des codes d’état HTTP spécifiques (par ex., 4xx et 5xx). La plupart des requêtes se situant idéalement dans les catégories 2xx et 3xx (qui représentent les réponses de réussite), le fait de se concentrer sur les seuls codes d’état problématiques restreint le jeu de données. Cette approche ciblée est à la fois avantageuse et économique, puisqu’elle vous permet d’extraire les informations les plus pertinentes et les plus exploitables.

Stratégie de transition recommandée pour passer d’un diagnostic Azure à une table spécifique à la ressource :

1. Évaluer la conservation actuelle des données : déterminez la durée pendant laquelle les données sont actuellement conservées dans la table de diagnostic Azure (supposons, par exemple, que la table de diagnostic conserve les données pendant 15 jours).
2. Établir une conservation spécifique à la ressource : implémentez un nouveau paramètre de diagnostic reposant sur une table spécifique à la ressource.
3. Collection de données parallèle : pendant une période temporaire, collectez des données simultanément à partir de diagnostic Azure et du paramètre spécifique à la ressource.
4. Confirmer l’exactitude des données : vérifiez que la collection de données est exacte et identique dans les deux paramètres.
5. Supprimer le paramètre de diagnostic Azure : supprimez le paramètre de diagnostic Azure pour éviter de dupliquer la collection de données.

Autres emplacements de stockage :

• Compte de stockage Azure : les comptes de stockage conviennent parfaitement aux journaux stockés pendant plus longtemps et consultés en cas de besoin.
• Azure Event Hubs : les hubs d’événements constituent une excellente solution pour l’intégration à d’autres outils SIEM (Security Information and Event Management) afin de recevoir des alertes sur vos ressources.
• Intégrations partenaires d’Azure Monitor.

En savoir plus sur les destinations des paramètres de diagnostic d’Azure Monitor.

Activation de la journalisation avec PowerShell

La journalisation d’activité est automatiquement activée pour chaque ressource Resource Manager. Vous devez activer la journalisation de l’accès et des performances pour commencer à collecter les données disponibles dans ces journaux d’activité. Pour activer la journalisation, utilisez les étapes suivantes :

1. Notez l’ID de ressource de votre compte de stockage, où les données de journalisation sont stockées. Cette valeur est de la forme suivante : /subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Storage/storageAccounts/<storageAccountName>. Vous pouvez utiliser n’importe quel compte de stockage dans votre abonnement. Vous pouvez utiliser le portail Azure pour rechercher ces informations.

   

2. Notez l’ID de ressource de votre passerelle Application Gateway pour laquelle la journalisation est activée. Cette valeur est de la forme : /subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/applicationGateways/<applicationGatewayName>. Vous pouvez utiliser le portail pour rechercher ces informations.

   

3. Activez la journalisation des diagnostics à l’aide de l’applet de commande PowerShell suivante :

   Set-AzDiagnosticSetting  -ResourceId /subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/applicationGateways/<applicationGatewayName> -StorageAccountId /subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Storage/storageAccounts/<storageAccountName> -Enabled $true
   

Conseil

Les journaux d’activité ne nécessitent pas de compte de stockage distinct. L’utilisation du stockage pour la journalisation de l’accès et des performances occasionne des frais de service.

Activation de la journalisation avec le portail Azure

1. Sur le portail Azure, recherchez votre ressource, puis sélectionnez Paramètres de diagnostic.

   Pour Application Gateway, trois journaux d’activité d’audit sont disponibles :

   • Journal d’accès
   • Journal des performances (disponible uniquement pour la référence SKU v1)
   • Journal du pare-feu

2. Sélectionnez Activer les diagnostics pour démarrer la collecte de données.

   

3. La page Paramètres de diagnostic contient les paramètres des journaux de diagnostic. Dans cet exemple, Log Analytics stocke les journaux d’activité. Vous pouvez également utiliser des concentrateurs d’événements et un compte de stockage pour enregistrer les journaux de diagnostic.

   

4. Tapez un nom pour les paramètres, confirmez les paramètres, puis sélectionnez Enregistrer.

Pour afficher et analyser les données du journal d’activité, consultez Analyser les données de surveillance.

Affichage et analyse des journaux d’activité d’accès, des performances et du pare-feu

Les journaux Azure Monitor peuvent collecter les fichiers du compteur et du journal d’événements à partir de votre compte Stockage Blob. Pour plus d’informations, consultez Analyser les données de surveillance.

Vous pouvez également vous connecter à votre compte de stockage et récupérer les entrées de journal d’activité JSON pour les journaux d’activité d’accès et des performances. Après avoir téléchargé les fichiers JSON, vous pouvez les convertir en CSV et les afficher dans Excel, PowerBI ou tout autre outil de visualisation de données.

Conseil

Si vous savez utiliser Visual Studio et les concepts de base de la modification des valeurs de constantes et variables en C#, vous pouvez utiliser les outils de convertisseur de journaux disponibles dans GitHub.

Étapes suivantes

• Visualisez le compteur et les journaux des événements à l’aide des journaux d’activité Azure Monitor.
• Billet de blog Visualiser votre journal d’activité Azure avec Power BI.
• Billet de blog Afficher et analyser les journaux d’activité Azure dans Power BI et plus encore.