Condividi tramite

Usare Log Analytics per esaminare i log di gateway applicazione Web application firewall (WAF)

  • Articolo

Una volta che il waF gateway applicazione è operativo, è possibile abilitare i log per controllare cosa accade con ogni richiesta. I log del firewall forniscono informazioni dettagliate su ciò che il WAF sta valutando, corrispondendo e bloccando. Con Log Analytics di Monitoraggio di Azure, è possibile esaminare i dati all'interno dei log del firewall per fornire ancora più informazioni dettagliate. Per altre informazioni sulla creazione di un'area di lavoro Log Analytics, vedere Creare un'area di lavoro Log Analytics nella portale di Azure. Per altre informazioni sulle query di log, vedere Panoramica delle query di log in Monitoraggio di Azure.

Importare i log WAF

Per importare i log del firewall in Log Analytics, vedere Integrità back-end, log delle risorse e metriche per gateway applicazione. Quando si hanno i log del firewall nell'area di lavoro Log Analytics, è possibile visualizzare i dati, scrivere query, creare visualizzazioni e aggiungerli al dashboard del portale.

Esplorare i dati con esempi

Per visualizzare i dati non elaborati nel log del firewall, è possibile eseguire la query seguente:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

Questo aspetto sarà simile alla query seguente:

Query di Log Analytics

È possibile eseguire il drill-down nei dati e creare grafici o creare visualizzazioni da qui. Vedere le query seguenti come punto di partenza:

Richieste corrispondenti/bloccate tramite IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Richieste corrispondenti/bloccate in base all'URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Regole corrispondenti

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Primi cinque gruppi di regole corrispondenti

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Aggiungere al dashboard

Dopo aver creato una query, è possibile aggiungerla al dashboard. Selezionare il dashboard Aggiungi al dashboard nella parte superiore destra dell'area di lavoro Log Analytics. Con le quattro query precedenti aggiunte a un dashboard di esempio, questi sono i dati che è possibile visualizzare a colpo d'occhio:

Screenshot che mostra un dashboard di Azure in cui è possibile aggiungere la query.

Passaggi successivi

Integrità back-end, log delle risorse e metriche per gateway applicazione