Usare Log Analytics per esaminare i log di Web Application Firewall (WAF) del gateway applicazione
Quando il WAF del gateway applicazione è operativo, è possibile abilitare i log per controllare cosa accade con ogni richiesta. I log del firewall forniscono informazioni dettagliate sulle valutazioni, la corrispondenza e il blocco del WAF. Con Log Analytics è possibile esaminare i dati all'interno dei log del firewall per ottenere ancora più informazioni. Per altre informazioni sulle query di log, vedere Panoramica delle query di log in Monitoraggio di Azure.
Prerequisiti
- È necessario un account Azure con un abbonamento attivo. Se non si ha già un account, è possibile creare un account gratuitamente.
- Web application firewall di Azure con i log abilitati. Per altre informazioni, vedere Web application firewall di Azure nel gateway applicazione di Azure.
- Un'area di lavoro Log Analytics. Per altre informazioni sulla creazione di un'area di lavoro Log Analytics, vedere Creare un'area di lavoro Log Analytics nel portale di Azure.
Importare i log WAF
Per importare i log del firewall in Log Analytics, vedere integrità back-end, log di diagnostica e metriche per il gateway applicazione. Quando si hanno dei log del firewall nell'area di lavoro Log Analytics, è possibile visualizzare i dati, scrivere query, creare visualizzazioni e aggiungerli alla dashboard del portale.
Esplorare i dati con esempi
Per visualizzare i dati non elaborati nel log del firewall, è possibile eseguire la query seguente:
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
Questo è simile alla query seguente:
È possibile eseguire il drill-down dei dati e tracciare grafici o creare visualizzazioni da qui. Considerare le query seguenti come punto di partenza:
Richieste corrispondenti/bloccate per IP
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart
Richieste corrispondenti/bloccate per URI
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart
Regole corrispondenti principali
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart
Primi cinque gruppi di regole corrispondenti
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart
Aggiungere alla dashboard
Dopo aver creato una query, è possibile aggiungerla alla dashboard. Selezionare il Aggiungi alla dashboard in alto a destra nell'area di lavoro Log Analytics. Con le quattro query precedenti aggiunte a una dashboard di esempio, questi sono i dati che è possibile visualizzare a prima vista:
Passaggi successivi
Integrità di back-end, log di diagnostica e metriche per il gateway applicazione