Log Analytics gebruiken om WaF-logboeken (Web Application Firewall) van Application Gateway te onderzoeken
Zodra uw Application Gateway WAF operationeel is, kunt u logboeken inschakelen om te controleren wat er gebeurt met elke aanvraag. Firewalllogboeken geven inzicht in wat de WAF evalueert, overeenkomt en blokkeert. Met logboekanalyse kunt u de gegevens in de firewalllogboeken onderzoeken voor nog meer inzicht. Zie Overzicht van logboekquery's in Azure Monitor voor meer informatie over logboekquery's.
Vereisten
- Er is een Azure-account met een actief abonnement vereist. Als u nog geen account hebt, kunt u gratis een account maken.
- Een Azure Web Application Firewall waarvoor logboeken zijn ingeschakeld. Zie Azure Web Application Firewall op Azure-toepassing Gateway voor meer informatie.
- Een Log Analytics-werkruimte. Zie Een Log Analytics-werkruimte maken in Azure Portal voor meer informatie over het maken van een Log Analytics-werkruimte.
WAF-logboeken importeren
Als u uw firewalllogboeken wilt importeren in Log Analytics, raadpleegt u back-endstatus, diagnostische logboeken en metrische gegevens voor Application Gateway. Wanneer u de firewalllogboeken in uw Log Analytics-werkruimte hebt, kunt u gegevens bekijken, query's schrijven, visualisaties maken en deze toevoegen aan uw portaldashboard.
Gegevens verkennen met voorbeelden
Als u de onbewerkte gegevens in het firewalllogboek wilt weergeven, kunt u de volgende query uitvoeren:
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
Dit ziet er ongeveer als volgt uit:
U kunt inzoomen op de gegevens en grafieken tekenen of hier visualisaties maken. Bekijk de volgende query's als uitgangspunt:
Overeenkomende/geblokkeerde aanvragen per IP
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart
Overeenkomende/geblokkeerde aanvragen per URI
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart
Meest overeenkomende regels
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart
Top vijf overeenkomende regelgroepen
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart
Toevoegen aan uw dashboard
Zodra u een query hebt gemaakt, kunt u deze toevoegen aan uw dashboard. Selecteer in de rechterbovenhoek van de Log Analytics-werkruimte de optie Vastmaken aan dashboard . Met de vorige vier query's die zijn vastgemaakt aan een voorbeelddashboard, zijn dit de gegevens die u in één oogopslag kunt zien:
Volgende stappen
Back-endstatus, diagnostische logboeken en metrische gegevens voor Application Gateway