Använda Log Analytics för att undersöka WAF-loggar (Application Gateway Web Application Firewall)
När din Application Gateway WAF är i drift kan du aktivera loggar för att kontrollera vad som händer med varje begäran. Brandväggsloggar ger insikter om vad WAF utvärderar, matchar och blockerar. Med Log Analytics kan du undersöka data i brandväggsloggarna för att ge ännu fler insikter. Mer information om loggfrågor finns i Översikt över loggfrågor i Azure Monitor.
Förutsättningar
- Ett Azure-konto med en aktiv prenumeration krävs. Om du inte redan har ett konto kan du skapa ett konto kostnadsfritt.
- En Azure Web Application Firewall med loggar aktiverade. Mer information finns i Azure Web Application Firewall på Azure Application Gateway.
- En Log Analytics-arbetsyta. Mer information om hur du skapar en Log Analytics-arbetsyta finns i Skapa en Log Analytics-arbetsyta i Azure-portalen.
Importera WAF-loggar
Information om hur du importerar dina brandväggsloggar till Log Analytics finns i Serverdelshälsa, diagnostikloggar och mått för Application Gateway. När du har brandväggsloggarna på Log Analytics-arbetsytan kan du visa data, skriva frågor, skapa visualiseringar och lägga till dem på portalens instrumentpanel.
Utforska data med exempel
Om du vill visa rådata i brandväggsloggen kan du köra följande fråga:
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
Detta liknar följande fråga:
Du kan öka detaljnivån i data och rita grafer eller skapa visualiseringar härifrån. Se följande frågor som utgångspunkt:
Matchade/blockerade begäranden efter IP
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart
Matchade/blockerade begäranden av URI
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart
Regler som matchar mest
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart
De fem vanligaste matchningsregelgrupperna
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart
Lägg till på instrumentpanelen
När du har skapat en fråga kan du lägga till den på instrumentpanelen. Välj fäst på instrumentpanelen längst upp till höger på log analytics-arbetsytan. Med de föregående fyra frågorna fästa på en exempelinstrumentpanel är detta de data som du kan se snabbt:
Nästa steg
Backend-hälsotillstånd, diagnostikloggar och mått för Application Gateway
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för