Använda Log Analytics för att undersöka WAF-loggar (Application Gateway Web Application Firewall)

Artikel
10/24/2023

När din Application Gateway WAF är i drift kan du aktivera loggar för att kontrollera vad som händer med varje begäran. Brandväggsloggar ger insikter om vad WAF utvärderar, matchar och blockerar. Med Log Analytics kan du undersöka data i brandväggsloggarna för att ge ännu fler insikter. Mer information om loggfrågor finns i Översikt över loggfrågor i Azure Monitor.

Förutsättningar

Ett Azure-konto med en aktiv prenumeration krävs. Om du inte redan har ett konto kan du skapa ett konto kostnadsfritt.
En Azure Web Application Firewall med loggar aktiverade. Mer information finns i Azure Web Application Firewall på Azure Application Gateway.
En Log Analytics-arbetsyta. Mer information om hur du skapar en Log Analytics-arbetsyta finns i Skapa en Log Analytics-arbetsyta i Azure-portalen.

Importera WAF-loggar

Information om hur du importerar dina brandväggsloggar till Log Analytics finns i Serverdelshälsa, diagnostikloggar och mått för Application Gateway. När du har brandväggsloggarna på Log Analytics-arbetsytan kan du visa data, skriva frågor, skapa visualiseringar och lägga till dem på portalens instrumentpanel.

Utforska data med exempel

Om du vill visa rådata i brandväggsloggen kan du köra följande fråga:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

Detta liknar följande fråga:

Du kan öka detaljnivån i data och rita grafer eller skapa visualiseringar härifrån. Se följande frågor som utgångspunkt:

Matchade/blockerade begäranden efter IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Matchade/blockerade begäranden av URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Regler som matchar mest

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

De fem vanligaste matchningsregelgrupperna

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Lägg till på instrumentpanelen

När du har skapat en fråga kan du lägga till den på instrumentpanelen. Välj fäst på instrumentpanelen längst upp till höger på log analytics-arbetsytan. Med de föregående fyra frågorna fästa på en exempelinstrumentpanel är detta de data som du kan se snabbt:

Screenshot shows an Azure dashboard where you can add your query.

Nästa steg

Backend-hälsotillstånd, diagnostikloggar och mått för Application Gateway