Log Analytics gebruiken om Application Gateway-logboeken van Web Application firewall (WAF) te onderzoeken

Artikel
05/13/2021
2 minuten om te lezen

Zodra uw Application Gateway WAF operationeel is, kunt u Logboeken inschakelen om te controleren wat er met elke aanvraag gebeurt. Firewall logboeken bieden inzicht in wat de WAF is te evalueren, vergelijken en blok keren. Met Log Analytics kunt u de gegevens in de logboeken van de firewall bekijken om nog meer inzichten te geven. Zie een log Analytics-werk ruimte maken in de Azure Portalvoor meer informatie over het maken van een log Analytics-werk ruimte. Zie Overzicht van logboekquery's in Azure Monitor voor meer informatie over logboekquery's.

WAF-logboeken importeren

Als u uw firewall-logboeken wilt importeren in Log Analytics, raadpleegt u de back-end-status, Diagnostische logboeken en metrische gegevens voor Application Gateway. Wanneer u de firewall Logboeken in uw Log Analytics-werk ruimte hebt, kunt u gegevens weer geven, query's schrijven, visualisaties maken en deze toevoegen aan uw portal-dash board.

Gegevens verkennen met voor beelden

Als u de onbewerkte gegevens in het firewall logboek wilt weer geven, kunt u de volgende query uitvoeren:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

Dit ziet er ongeveer uit als de volgende query:

Log Analytics query

U kunt inzoomen op de gegevens en grafieken tekenen of visualisaties maken. Bekijk de volgende query's als uitgangs punt:

Overeenkomende/geblokkeerde aanvragen per IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Overeenkomende/geblokkeerde aanvragen per URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Bovenaan overeenkomende regels

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Bovenste vijf overeenkomende regel groepen

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Toevoegen aan uw dash board

Wanneer u een query hebt gemaakt, kunt u deze toevoegen aan uw dash board. Selecteer in de rechter bovenhoek van de log Analytics-werk ruimte de optie vastmaken aan dash board . Met de vorige vier query's die zijn vastgemaakt aan een voorbeeld dashboard, zijn dit de gegevens die u in een oogopslag kunt zien:

Scherm afbeelding toont een Azure-dash board waar u uw query kunt toevoegen.

Volgende stappen

Back-end-status, Diagnostische logboeken en metrische gegevens voor Application Gateway