Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сводка
При запуске шлюза приложений можно включить журналы для проверки событий, происходящих для ресурса. Например, журналы брандмауэра шлюза приложений дают вам представление о том, что брандмауэр веб-приложения (WAF) оценивает, сопоставляет и блокирует. С помощью Log Analytics можно изучить данные в журналах брандмауэра, чтобы получить еще больше аналитических сведений. Дополнительные сведения о запросах журнала см. в разделе «Обзор запросов журналов в Azure Monitor».
В этой статье вы узнаете о журналах брандмауэра веб-приложений (WAF). Вы можете настроить другие журналы Шлюза приложений аналогичным образом.
Предпосылки
- Учетная запись Azure с активной подпиской. Если у вас еще нет учетной записи, вы можете создать учетную запись бесплатно.
- Шлюз приложений Azure, SKU WAF. Дополнительные сведения см. в разделе Azure Web Application Firewall на Azure Application Gateway.
- Рабочая область Log Analytics. Дополнительные сведения о создании рабочей области Log Analytics см. в разделе Создание рабочей области Log Analytics на портале Azure.
Отправка журналов
Сведения о экспорте журналов брандмауэра в Log Analytics см. в разделе Diagnostic logs for Application Gateway. Если у вас есть журналы брандмауэра в рабочей области Log Analytics, вы можете просматривать данные, записывать запросы, создавать визуализации и добавлять их на панель мониторинга портала.
Просмотр данных с помощью примеров
При использовании таблицы AzureDiagnostics просмотрите необработанные данные в журнале брандмауэра, выполнив следующий запрос:
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| limit 10
Этот запрос выглядит примерно так:
При использовании таблицы , относящейся к ресурсу , просмотрите необработанные данные в журнале брандмауэра, выполнив следующий запрос. Дополнительные сведения о таблицах, относящихся к ресурсам, см. в справочнике по данным мониторинга.
AGWFirewallLogs
| limit 10
Здесь вы можете детализировать данные, строить графики и создавать визуализации. В следующих примерах показаны запросы AzureDiagnostics, которые можно использовать.
Сопоставленные или заблокированные запросы по IP-адресу
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart
Соответствующие или заблокированные запросы по URI
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart
Топ сопоставленных правил
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart
Пять основных сопоставленных групп правил
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart
Добавление в панель мониторинга
После создания запроса добавьте его на панель мониторинга. Выберите «Закрепить на панели мониторинга» в рабочей области Log Analytics. При закреплении предыдущих четырех запросов на примерной панели мониторинга, вы увидите эти данные в общем виде:
Дальнейшие шаги
Работоспособность серверной части, журналы диагностики и метрики для шлюза приложений