A Log Analytics használata az Application Gateway-naplók vizsgálatához
Miután az Application Gateway működik, engedélyezheti a naplók számára az erőforráshoz kapcsolódó események vizsgálatát. Az Application Gateway tűzfalnaplói például betekintést nyújtanak a webalkalmazási tűzfal (WAF) kiértékeléséhez, egyeztetéséhez és blokkolásához. A Log Analytics használatával megvizsgálhatja a tűzfalnaplókban lévő adatokat, így még több elemzési információt kaphat. A napló lekérdezésekkel kapcsolatos további információkért tekintse meg az Azure Monitor napló lekérdezéseinek áttekintését.
Ebben a cikkben a webalkalmazási tűzfal (WAF) naplóit tekintjük meg. Más Application Gateway-naplókat is beállíthat hasonló módon.
Előfeltételek
- Aktív előfizetéssel rendelkező Azure-fiókra van szükség. Ha még nem rendelkezik fiókkal, ingyenesen létrehozhat egy fiókot.
- Egy Azure-alkalmazás Átjáró WAK termékváltozata. További információ: Azure Web Application Firewall a Azure-alkalmazás Gatewayen.
- Egy Log Analytics-munkaterület. A Log Analytics-munkaterületek létrehozásával kapcsolatos további információkért lásd : Log Analytics-munkaterület létrehozása az Azure Portalon.
Naplók küldése
A tűzfalnaplók Log Analyticsbe való exportálásához tekintse meg az Application Gateway diagnosztikai naplóit. Ha a Log Analytics-munkaterületen vannak a tűzfalnaplók, megtekintheti az adatokat, lekérdezéseket írhat, vizualizációkat hozhat létre, és hozzáadhatja őket a portál irányítópultjához.
Adatok felfedezése példákkal
Az AzureDiagnostics tábla használatakor a tűzfalnaplóban lévő nyers adatokat az alábbi lekérdezés futtatásával tekintheti meg:
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| limit 10
Ez a következő lekérdezéshez hasonlóan néz ki:
Erőforrás-specifikus tábla használata esetén a tűzfalnaplóban lévő nyers adatokat az alábbi lekérdezés futtatásával tekintheti meg. Az erőforrás-specifikus táblákról a Monitorozási adatok referenciája című témakörben tájékozódhat.
AGWFirewallLogs
| limit 10
Részletezheti az adatokat, grafikonokat ábrázolhat, vagy vizualizációkat hozhat létre innen. Íme néhány további példa az AzureDiagnostics-lekérdezésekre, amelyeket használhat.
Egyeztetett/letiltott kérések IP-cím szerint
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart
URI által egyeztetett/letiltott kérelmek
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart
Legjobban megfelelt szabályok
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart
Az első öt egyező szabálycsoport
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart
Hozzáadás az irányítópulthoz
Miután létrehozott egy lekérdezést, hozzáadhatja azt az irányítópulthoz. A Log Analytics-munkaterület jobb felső sarkában válassza a Rögzítés az irányítópulton lehetőséget. Ha az előző négy lekérdezést egy példa irányítópultra rögzítette, az alábbi adatok láthatók egy pillantással:
Következő lépések
A háttérrendszer állapota, diagnosztikai naplók és metrikák az Application Gateway esetében