Gunakan Log Analytics untuk memeriksa Log Application Gateway WAF

Artikel
10/24/2023

Setelah Application Gateway Azure Web Application Firewall Anda beroperasi, Anda dapat mengaktifkan log untuk memeriksa setiap permintaan. Log firewall memberikan wawasan tentang apa yang dievaluasi, dicocokkan, dan diblokir oleh Azure Web Application Firewall. Dengan Log Analytics, Anda dapat memeriksa data di dalam log firewall untuk mendapatkan lebih banyak wawasan. Untuk mengetahui informasi selengkapnya tentang kueri log, lihat Ringkasan kueri log di Azure Monitor.

Prasyarat

Diperlukan akun Azure dengan langganan aktif. Jika Anda belum memiliki akun, Anda dapat membuat akun secara gratis.
Azure Web Application Firewall dengan log diaktifkan. Untuk informasi selengkapnya, lihat Azure Web Application Firewall di Azure Application Gateway.
Ruang kerja Analitik Log. Untuk informasi selengkapnya tentang membuat ruang kerja Log Analytics, lihat Membuat ruang kerja Log Analytics di portal Microsoft Azure.

Mengimpor log WAF

Untuk mengimpor log firewall Anda ke Log Analytics, lihat Kesehatan backend, log diagnostik, dan metrik untuk Application Gateway. Ketika Anda memiliki log firewall di ruang kerja Log Analytics, Anda dapat melihat data, menulis kueri, membuat visualisasi, dan menambahkannya ke dasbor portal Anda.

Menjelajahi data dengan contoh

Untuk menampilkan data mentah di log firewall, Anda dapat menjalankan kueri berikut:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

Ini terlihat mirip dengan kueri berikut:

Anda bisa menelusuri data, dan memplot grafik atau membuat visualisasi dari sini. Lihat kueri berikut sebagai titik awal:

Permintaan yang cocok/diblokir oleh IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Permintaan yang cocok/diblokir oleh URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Aturan yang paling cocok

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Lima grup aturan teratas yang paling cocok

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Menambahkan ke dasbor Anda

Setelah membuat kueri, Anda bisa menambahkannya ke dasbor Anda. Pilih Sematkan ke dasbor di bagian kanan atas ruang kerja analitik log. Dengan empat kueri sebelumnya disematkan ke dasbor contoh, berikut ini merupakan data yang bisa Anda lihat secara sekilas:

Screenshot shows an Azure dashboard where you can add your query.

Langkah berikutnya

Kondisi backend, log diagnostik, dan metrik untuk Application Gateway

Share via