Журналы диагностики для Шлюза приложений

Шлюз приложений журналы предоставляют подробные сведения о событиях, связанных с ресурсом и его операциями. Эти журналы доступны для таких событий, как Access, Activity, Firewall и Performance (только для версии 1). Подробные сведения в журналах полезны при устранении неполадок или создании панели мониторинга аналитики путем использования этих необработанных данных.

Журналы доступны для всех ресурсов Шлюз приложений; однако для их использования необходимо включить их коллекцию в выбранном расположении хранилища. Вход в Шлюз приложений Azure включен службой Azure Monitor. Рекомендуется использовать рабочую область Log Analytics, так как можно легко использовать предопределенные запросы и задавать оповещения на основе определенных условий журнала.

Типы журналов ресурсов

В Azure можно использовать различные виды журналов для управления шлюзами приложений и устранения возникающих в них неполадок.

• Журнал действий
• журнал доступа Шлюз приложений
• журнал производительности Шлюз приложений (доступен только для номера SKU версии 1)
• Журнал брандмауэра Шлюз приложений

Примечание.

Журналы доступны только для ресурсов, развернутых в модели развертывания с помощью Azure Resource Manager. Журналы нельзя использовать для ресурсов в классической модели развертывания. Чтобы получить более полное представление об этих двух моделях, см. статью Развертывание с помощью Azure Resource Manager и классическое развертывание: сведения о моделях развертывания и состоянии ресурсов.

Примеры оптимизации журналов доступа с помощью преобразований рабочей области

Пример 1. Выборочная проекция столбцов. Представьте, что у вас есть журналы доступа шлюза приложений с 20 столбцами, но вы заинтересованы в анализе данных только из 6 определенных столбцов. С помощью преобразования рабочей области можно проецирование этих 6 столбцов в рабочую область, эффективно исключая другие 14 столбцов. Несмотря на то что исходные данные из этих исключенных столбцов не будут храниться, пустые заполнители для них по-прежнему отображаются в колонке "Журналы". Этот подход оптимизирует хранение и гарантирует, что для анализа хранятся только соответствующие данные.

Примечание.

В колонке "Журналы" при выборе параметра Try New Log Analytics можно больше контролировать столбцы, отображаемые в пользовательском интерфейсе.

Пример 2. Фокусирование на определенных кодах состояния: при анализе журналов доступа вместо обработки всех записей журнала можно написать запрос, чтобы получить только строки с определенными кодами состояния HTTP (например, 4xx и 5xx). Так как большинство запросов в идеале попадают под категории 2xx и 3xx (представляющих успешные ответы), фокус на коды проблемных состояний сужает набор данных. Этот целевой подход позволяет извлекать наиболее релевантную и действимую информацию, что делает ее полезной и экономичной.

Рекомендуемая стратегия перехода из диагностики Azure в определенную таблицу ресурсов:

1. Оценка текущего хранения данных. Определите длительность, в течение которой данные хранятся в таблице диагностика Azure (например, предположим, что таблица диагностика сохраняет данные в течение 15 дней).
2. Установка хранения для конкретного ресурса. Реализуйте новый параметр диагностики с конкретной таблицей ресурсов.
3. Параллельная сбор данных. Для временного периода одновременно собирают данные как в Диагностика Azure, так и в параметрах, относящихся к ресурсу.
4. Подтвердите точность данных: убедитесь, что сбор данных является точным и согласованным в обоих параметрах.
5. Удалите параметр диагностика Azure: удалите параметр диагностики Azure, чтобы предотвратить повторную сбор данных.

Другие расположения хранилища:

• служба хранилища Azure учетная запись. Учетные записи хранения лучше всего использовать для журналов, когда журналы хранятся в течение длительного времени и проверяются при необходимости.
• Центры событий Azure. Центры событий — отличный вариант интеграции с другими средствами управления сведениями о безопасности и событиями (SIEM) для получения оповещений о ресурсах.
• Интеграция партнеров Azure Monitor.

Дополнительные сведения о назначениях параметров диагностики Azure Monitor.

Включение ведения журнала с помощью PowerShell

Ведение журнала действий автоматически включается для каждого ресурса Resource Manager. Нужно включить ведение журналов доступа и производительности, чтобы начать сбор связанных данных. Вот как можно включить ведение журнала:

1. Запишите или запомните ИД ресурса учетной записи хранения, где хранятся данные журнала, в формате: /subscriptions/<идентификатор_подписки>/resourceGroups/<имя_группы_ресурсов>/providers/Microsoft.Storage/storageAccounts/<имя_учетной_записи_хранения>. Можно использовать любую учетную запись хранения в подписке. Получить эти сведения можно на портале Azure.

   

2. Запишите или запомните идентификатор ресурса шлюза приложений, для которого нужно включить ведение журнала. в формате: /subscriptions/<идентификатор_подписки>/resourceGroups/<имя_группы_ресурсов>/providers/Microsoft.Network/applicationGateways/<имя_шлюза_приложений>. Получить эти сведения можно на портале.

   

3. Включите ведение журнала диагностики с помощью следующего командлета PowerShell:

   Set-AzDiagnosticSetting  -ResourceId /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/applicationGateways/<application gateway name> -StorageAccountId /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> -Enabled $true     
   

Совет

Для журналов действий отдельная учетная запись хранения не требуется. За использование хранилища для журналов доступа и производительности взимается плата.

Включение ведения журнала на портале Azure

1. На портале Azure найдите нужный ресурс и выберите Параметры диагностики.

   Для шлюза приложений доступны три журнала:

   • журнал доступа;
   • журнал производительности;
   • журнал брандмауэра.

2. Чтобы начать сбор данных, нажмите Включить диагностику.

   

3. На странице Параметры диагностики представлены параметры журналов диагностики. В этом примере для хранения журналов используется Log Analytics. хранения журналов диагностики можно также использовать концентраторы событий и учетную запись хранения.

   

4. Введите имя для параметров, подтвердите их и нажмите Сохранить.

Сведения о просмотре и анализе данных журнала действий см. в статье "Анализ данных мониторинга".

Просмотр и анализ журналов доступа, производительности и брандмауэра

Журналы Azure Monitor позволяют собирать файлы журналов счетчиков и событий из вашей учетной записи хранилища BLOB-объектов. Дополнительные сведения см. в разделе "Анализ данных мониторинга".

Вы также можете подключиться к учетной записи хранения и извлечь записи журнала JSON для журналов доступа и производительности. После скачивания JSON-файлов их можно преобразовать в формат CSV и просматривать в Excel, Power BI или другом средстве визуализации данных.

Совет

Если вы знакомы с Visual Studio и основными понятиями изменения значений констант и переменных в C#, то можете использовать инструменты преобразования журналов, доступные на сайте GitHub.

Следующие шаги

• См. сведения о визуализации журналов счетчиков и событий с помощью журналов Azure Monitor.
• Прочтите запись блога Visualize your Azure Activity Log with Power BI (Визуализация журналов действий Azure с помощью Power BI).
• Прочтите запись блога View and analyze Azure Audit Logs in Power BI and more (Просмотр и анализ журналов аудита Azure с помощью Power BI и других средств).