Použití Log Analytics pro kontrolu Application Gateway protokolů firewallu webových aplikací (WAF)

  • Článek
  • 2 min ke čtení

Jakmile Application Gateway WAF, můžete povolit protokoly a zkontrolovat, co se děje s jednotlivými požadavky. Protokoly brány firewall poskytují přehled o tom, co WAF vyhodnocuje, odpovídá a blokuje. Pomocí Log Analytics můžete zkoumat data v protokolech brány firewall a získat ještě další přehledy. Další informace o vytváření pracovního prostoru Log Analytics najdete v tématu Vytvoření pracovního prostoru Log Analytics v Azure Portal. Další informace o dotazech protokolu najdete v tématu Přehled dotazů protokolu v Azure monitor.

Importovat protokoly WAF

Pokud chcete importovat protokoly brány firewall do Log Analytics, přečtěte si téma stav back-endu, diagnostické protokoly a metriky pro Application Gateway. Když máte v pracovním prostoru Log Analytics protokoly brány firewall, můžete zobrazit data, zapisovat dotazy, vytvářet vizualizace a přidávat je na řídicí panel portálu.

Příklady zkoumání dat

Chcete-li zobrazit nezpracovaná data v protokolu brány firewall, můžete spustit následující dotaz:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

Bude vypadat podobně jako následující dotaz:

Log Analytics dotaz

Můžete procházet k podrobnostem dat a kreslit grafy nebo vytvářet vizualizace z tohoto místa. Jako výchozí bod se zobrazí následující dotazy:

Spárované/Blokované požadavky podle IP adresy

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Spárované/Blokované požadavky podle identifikátoru URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Nejvyšší odpovídající pravidla

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Prvních pět odpovídajících skupin pravidel

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Přidat na řídicí panel

Když vytvoříte dotaz, můžete ho přidat na řídicí panel. V pravém horním rohu pracovního prostoru Log Analytics vyberte Připnout na řídicí panel . Pomocí předchozích čtyř dotazů připnuté na vzorový řídicí panel se jedná o data, která vidíte na první pohled:

Snímek obrazovky ukazuje řídicí panel Azure, kde můžete přidat dotaz.

Další kroky

Stav back-endu, diagnostické protokoly a metriky pro Application Gateway