Gunakan Log Analytics untuk memeriksa Log Application Gateway WAF
Setelah Application Gateway Azure Web Application Firewall Anda beroperasi, Anda dapat mengaktifkan log untuk memeriksa setiap permintaan. Log firewall memberikan wawasan tentang apa yang dievaluasi, dicocokkan, dan diblokir oleh Azure Web Application Firewall. Dengan Log Analytics, Anda dapat memeriksa data di dalam log firewall untuk mendapatkan lebih banyak wawasan. Untuk mengetahui informasi selengkapnya tentang kueri log, lihat Ringkasan kueri log di Azure Monitor.
Prasyarat
- Diperlukan akun Azure dengan langganan aktif. Jika Anda belum memiliki akun, Anda dapat membuat akun secara gratis.
- Azure Web Application Firewall dengan log diaktifkan. Untuk informasi selengkapnya, lihat Azure Web Application Firewall di Azure Application Gateway.
- Ruang kerja Analitik Log. Untuk informasi selengkapnya tentang membuat ruang kerja Log Analytics, lihat Membuat ruang kerja Log Analytics di portal Microsoft Azure.
Mengimpor log WAF
Untuk mengimpor log firewall Anda ke Log Analytics, lihat Kesehatan backend, log diagnostik, dan metrik untuk Application Gateway. Ketika Anda memiliki log firewall di ruang kerja Log Analytics, Anda dapat melihat data, menulis kueri, membuat visualisasi, dan menambahkannya ke dasbor portal Anda.
Menjelajahi data dengan contoh
Untuk menampilkan data mentah di log firewall, Anda dapat menjalankan kueri berikut:
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
Ini terlihat mirip dengan kueri berikut:
Anda bisa menelusuri data, dan memplot grafik atau membuat visualisasi dari sini. Lihat kueri berikut sebagai titik awal:
Permintaan yang cocok/diblokir oleh IP
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart
Permintaan yang cocok/diblokir oleh URI
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart
Aturan yang paling cocok
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart
Lima grup aturan teratas yang paling cocok
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart
Menambahkan ke dasbor Anda
Setelah membuat kueri, Anda bisa menambahkannya ke dasbor Anda. Pilih Sematkan ke dasbor di bagian kanan atas ruang kerja analitik log. Dengan empat kueri sebelumnya disematkan ke dasbor contoh, berikut ini merupakan data yang bisa Anda lihat secara sekilas:
Langkah berikutnya
Kondisi backend, log diagnostik, dan metrik untuk Application Gateway