Usare Log Analytics per esaminare i log di gateway applicazione Web application firewall (WAF)
Una volta che il waF gateway applicazione è operativo, è possibile abilitare i log per controllare cosa accade con ogni richiesta. I log del firewall forniscono informazioni dettagliate su ciò che il WAF sta valutando, corrispondendo e bloccando. Con Log Analytics di Monitoraggio di Azure, è possibile esaminare i dati all'interno dei log del firewall per fornire ancora più informazioni dettagliate. Per altre informazioni sulla creazione di un'area di lavoro Log Analytics, vedere Creare un'area di lavoro Log Analytics nella portale di Azure. Per altre informazioni sulle query di log, vedere Panoramica delle query di log in Monitoraggio di Azure.
Importare i log WAF
Per importare i log del firewall in Log Analytics, vedere Integrità back-end, log delle risorse e metriche per gateway applicazione. Quando si hanno i log del firewall nell'area di lavoro Log Analytics, è possibile visualizzare i dati, scrivere query, creare visualizzazioni e aggiungerli al dashboard del portale.
Esplorare i dati con esempi
Per visualizzare i dati non elaborati nel log del firewall, è possibile eseguire la query seguente:
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
Questo aspetto sarà simile alla query seguente:
È possibile eseguire il drill-down nei dati e creare grafici o creare visualizzazioni da qui. Vedere le query seguenti come punto di partenza:
Richieste corrispondenti/bloccate tramite IP
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart
Richieste corrispondenti/bloccate in base all'URI
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart
Regole corrispondenti
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart
Primi cinque gruppi di regole corrispondenti
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart
Aggiungere al dashboard
Dopo aver creato una query, è possibile aggiungerla al dashboard. Selezionare il dashboard Aggiungi al dashboard nella parte superiore destra dell'area di lavoro Log Analytics. Con le quattro query precedenti aggiunte a un dashboard di esempio, questi sono i dati che è possibile visualizzare a colpo d'occhio:
Passaggi successivi
Integrità back-end, log delle risorse e metriche per gateway applicazione