Używanie usługi Log Analytics do sprawdzania dzienników zapory aplikacji internetowej usługi Application Gateway
Gdy zapora aplikacji internetowej usługi Application Gateway działa, możesz włączyć dzienniki, aby sprawdzić, co się dzieje z każdym żądaniem. Dzienniki zapory zapewniają wgląd w to, co zapora aplikacji internetowej ocenia, dopasowuje i blokuje. Za pomocą usługi Log Analytics możesz badać dane w dziennikach zapory, aby uzyskać jeszcze więcej szczegółowych informacji. Aby uzyskać więcej informacji na temat zapytań dzienników, zobacz Omówienie zapytań dzienników w usłudze Azure Monitor.
Wymagania wstępne
- Wymagane jest konto platformy Azure z aktywną subskrypcją. Jeśli nie masz jeszcze konta, możesz bezpłatnie utworzyć konto.
- Zapora aplikacji internetowej platformy Azure z włączonymi dziennikami. Aby uzyskać więcej informacji, zobacz Azure Web Application Firewall on aplikacja systemu Azure Gateway (Zapora aplikacji internetowej platformy Azure w usłudze aplikacja systemu Azure Gateway).
- Obszar roboczy usługi Log Analytics. Aby uzyskać więcej informacji na temat tworzenia obszaru roboczego usługi Log Analytics, zobacz Tworzenie obszaru roboczego usługi Log Analytics w witrynie Azure Portal.
Importowanie dzienników zapory aplikacji internetowej
Aby zaimportować dzienniki zapory do usługi Log Analytics, zobacz Kondycja zaplecza, dzienniki diagnostyczne i metryki dla usługi Application Gateway. Jeśli masz dzienniki zapory w obszarze roboczym usługi Log Analytics, możesz wyświetlać dane, zapisywać zapytania, tworzyć wizualizacje i dodawać je do pulpitu nawigacyjnego portalu.
Eksplorowanie danych przy użyciu przykładów
Aby wyświetlić nieprzetworzone dane w dzienniku zapory, możesz uruchomić następujące zapytanie:
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
Wygląda to podobnie do następującego zapytania:
Możesz przejść do szczegółów danych i wykreślić wykresy lub utworzyć wizualizacje z tego miejsca. Zobacz następujące zapytania jako punkt wyjścia:
Dopasowane/zablokowane żądania według adresu IP
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart
Dopasowane/zablokowane żądania według identyfikatora URI
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart
Najważniejsze dopasowane reguły
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart
Pięć pierwszych pasowanych grup reguł
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart
Dodawanie do pulpitu nawigacyjnego
Po utworzeniu zapytania możesz dodać je do pulpitu nawigacyjnego. Wybierz pulpit nawigacyjny Przypnij do pulpitu nawigacyjnego w prawym górnym rogu obszaru roboczego usługi Log Analytics. Po przypiętych czterech poprzednich zapytaniach do przykładowego pulpitu nawigacyjnego są to dane, które można zobaczyć na pierwszy rzut oka:
Następne kroki
Kondycja zaplecza, dzienniki diagnostyczne i metryki dla usługi Application Gateway
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla