Share via

Korzystanie z usługi Log Analytics do badania dzienników Application Gateway Web Application Firewall (WAF)

  • Artykuł

Po uruchomieniu Application Gateway zapory aplikacji internetowej można włączyć dzienniki w celu sprawdzenia, co się dzieje z każdym żądaniem. Dzienniki zapory zapewniają wgląd w to, co zapora aplikacji internetowej ocenia, dopasowuje i blokuje. Dzięki usłudze Azure Monitor Log Analytics możesz zbadać dane wewnątrz dzienników zapory, aby uzyskać jeszcze więcej szczegółowych informacji. Aby uzyskać więcej informacji na temat tworzenia obszaru roboczego usługi Log Analytics, zobacz Tworzenie obszaru roboczego usługi Log Analytics w Azure Portal. Aby uzyskać więcej informacji na temat zapytań dzienników, zobacz Omówienie zapytań dzienników w usłudze Azure Monitor.

Importowanie dzienników zapory aplikacji internetowej

Aby zaimportować dzienniki zapory do usługi Log Analytics, zobacz Kondycja zaplecza, dzienniki zasobów i metryki dla Application Gateway. Jeśli masz dzienniki zapory w obszarze roboczym usługi Log Analytics, możesz wyświetlać dane, zapisywać zapytania, tworzyć wizualizacje i dodawać je do pulpitu nawigacyjnego portalu.

Eksplorowanie danych przy użyciu przykładów

Aby wyświetlić dane pierwotne w dzienniku zapory, możesz uruchomić następujące zapytanie:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

Będzie to wyglądać podobnie do następującego zapytania:

Zapytanie usługi Log Analytics

Możesz przejść do szczegółów danych i wykreślić wykresy lub utworzyć wizualizacje z tego miejsca. Zobacz następujące zapytania jako punkt początkowy:

Dopasowane/zablokowane żądania według adresu IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Dopasowane/zablokowane żądania według identyfikatora URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Najczęściej dopasowane reguły

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Pięć najlepiej dopasowanych grup reguł

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Dodawanie do pulpitu nawigacyjnego

Po utworzeniu zapytania możesz dodać je do pulpitu nawigacyjnego. Wybierz pulpit nawigacyjny Przypnij do pulpitu nawigacyjnego w prawym górnym rogu obszaru roboczego usługi Log Analytics. W przypadku czterech poprzednich zapytań przypiętych do przykładowego pulpitu nawigacyjnego są to dane, które można zobaczyć na pierwszy rzut oka:

Zrzut ekranu przedstawia pulpit nawigacyjny platformy Azure, na którym można dodać zapytanie.

Następne kroki

Kondycja zaplecza, dzienniki zasobów i metryki dla Application Gateway