Usare Log Analytics per esaminare i log di Web Application Firewall (WAF) del gateway applicazione

Articolo
03/25/2024

Quando il WAF del gateway applicazione è operativo, è possibile abilitare i log per controllare cosa accade con ogni richiesta. I log del firewall forniscono informazioni dettagliate sulle valutazioni, la corrispondenza e il blocco del WAF. Con Log Analytics è possibile esaminare i dati all'interno dei log del firewall per ottenere ancora più informazioni. Per altre informazioni sulle query di log, vedere Panoramica delle query di log in Monitoraggio di Azure.

Prerequisiti

È necessario un account Azure con un abbonamento attivo. Se non si ha già un account, è possibile creare un account gratuitamente.
Web application firewall di Azure con i log abilitati. Per altre informazioni, vedere Web application firewall di Azure nel gateway applicazione di Azure.
Un'area di lavoro Log Analytics. Per altre informazioni sulla creazione di un'area di lavoro Log Analytics, vedere Creare un'area di lavoro Log Analytics nel portale di Azure.

Importare i log WAF

Per importare i log del firewall in Log Analytics, vedere integrità back-end, log di diagnostica e metriche per il gateway applicazione. Quando si hanno dei log del firewall nell'area di lavoro Log Analytics, è possibile visualizzare i dati, scrivere query, creare visualizzazioni e aggiungerli alla dashboard del portale.

Esplorare i dati con esempi

Per visualizzare i dati non elaborati nel log del firewall, è possibile eseguire la query seguente:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

Questo è simile alla query seguente:

È possibile eseguire il drill-down dei dati e tracciare grafici o creare visualizzazioni da qui. Considerare le query seguenti come punto di partenza:

Richieste corrispondenti/bloccate per IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Richieste corrispondenti/bloccate per URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Regole corrispondenti principali

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Primi cinque gruppi di regole corrispondenti

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Aggiungere alla dashboard

Dopo aver creato una query, è possibile aggiungerla alla dashboard. Selezionare il Aggiungi alla dashboard in alto a destra nell'area di lavoro Log Analytics. Con le quattro query precedenti aggiunte a una dashboard di esempio, questi sono i dati che è possibile visualizzare a prima vista:

Screenshot shows an Azure dashboard where you can add your query.

Passaggi successivi

Integrità di back-end, log di diagnostica e metriche per il gateway applicazione