Usar o Log Analytics para examinar os logs do Application Gateway Web Application Firewall (WAF)
Quando o WAF do Application Gateway estiver operacional, você poderá habilitar os logs para inspecionar o que está acontecendo com cada solicitação. Os logs de firewall fornecem informações sobre o que o WAF está avaliando, combinando e bloqueando. Com o Log Analytics, pode examinar os dados nos registos da firewall para obter ainda mais informações. Para obter mais informações sobre consultas de log, consulte Visão geral das consultas de log no Azure Monitor.
Pré-requisitos
- É necessária uma conta do Azure com uma subscrição ativa. Se ainda não tiver uma conta, pode criar uma conta gratuitamente.
- Um Firewall de Aplicativo Web do Azure com logs habilitados. Para obter mais informações, consulte Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure.
- Uma área de trabalho do Log Analytics. Para obter mais informações sobre como criar um espaço de trabalho do Log Analytics, consulte Criar um espaço de trabalho do Log Analytics no portal do Azure.
Importar logs WAF
Para importar os logs do firewall para o Log Analytics, consulte Integridade do back-end, logs de diagnóstico e métricas para o Application Gateway. Quando você tiver os logs do firewall no espaço de trabalho do Log Analytics, poderá exibir dados, escrever consultas, criar visualizações e adicioná-las ao painel do portal.
Explore dados com exemplos
Para exibir os dados brutos no log do firewall, você pode executar a seguinte consulta:
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
Isso é semelhante à seguinte consulta:
Você pode detalhar os dados e plotar gráficos ou criar visualizações a partir daqui. Veja as seguintes consultas como ponto de partida:
Solicitações correspondentes/bloqueadas por IP
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart
Solicitações correspondentes/bloqueadas por URI
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart
Principais regras correspondentes
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart
Os cinco principais grupos de regras correspondentes
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart
Adicionar ao seu painel
Depois de criar uma consulta, você pode adicioná-la ao seu painel. Selecione o painel Fixar no canto superior direito do espaço de trabalho de análise de log. Com as quatro consultas anteriores fixadas a um painel de exemplo, estes são os dados que você pode ver rapidamente:
Próximos passos
Backend health, diagnostic logs, and metrics for Application Gateway (Estado de funcionamento do back-end, registos de diagnósticos e métricas do Gateway de Aplicação)