Prozkoumání protokolů firewallu webových aplikací služby Application Gateway (WAF) pomocí Log Analytics

Článek
10/24/2023

Jakmile bude waF služby Application Gateway funkční, můžete povolit protokoly, abyste mohli zkontrolovat, co se děje s jednotlivými požadavky. Protokoly brány firewall poskytují přehled o tom, co WAF vyhodnocuje, porovnává a blokuje. Pomocí služby Log Analytics můžete prozkoumat data v protokolech brány firewall a získat tak ještě další přehledy. Další informace o dotazech protokolu najdete v tématu Přehled dotazů protokolu ve službě Azure Monitor.

Předpoklady

Vyžaduje se účet Azure s aktivním předplatným. Pokud ještě účet nemáte, můžete si ho zdarma vytvořit.
Firewall webových aplikací Azure s povolenými protokoly Další informace najdete v tématu Azure Web Application Firewall ve službě Aplikace Azure Gateway.
Pracovní prostor služby Log Analytics. Další informace o vytvoření pracovního prostoru služby Log Analytics najdete v tématu Vytvoření pracovního prostoru služby Log Analytics na webu Azure Portal.

Import protokolů WAF

Pokud chcete importovat protokoly brány firewall do Log Analytics, přečtěte si téma Stav back-endu, diagnostické protokoly a metriky pro Službu Application Gateway. Pokud máte protokoly brány firewall v pracovním prostoru služby Log Analytics, můžete zobrazit data, psát dotazy, vytvářet vizualizace a přidávat je na řídicí panel portálu.

Prozkoumání dat pomocí příkladů

Pokud chcete zobrazit nezpracovaná data v protokolu brány firewall, můžete spustit následující dotaz:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

Vypadá to podobně jako v následujícím dotazu:

Můžete přejít k podrobnostem dat a vykreslit grafy nebo odtud vytvářet vizualizace. Jako výchozí bod se podívejte na následující dotazy:

Spárované nebo blokované požadavky podle IP adresy

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Spárované nebo blokované požadavky podle identifikátoru URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Pravidla s nejvyšší shody

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Top five matched rule groups

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Přidání na řídicí panel

Po vytvoření dotazu ho můžete přidat do řídicího panelu. V pravém horním rohu pracovního prostoru služby Log Analytics vyberte připnout na řídicí panel. S předchozími čtyřmi dotazy připnutými na ukázkový řídicí panel je to data, která můžete vidět na první pohled:

Screenshot shows an Azure dashboard where you can add your query.

Další kroky

Stav back-endu, diagnostické protokoly a metriky pro službu Application Gateway