Använd Log Analytics för att undersöka Application Gateway Länkar för brand vägg för webbaserade program (WAF)

  • Artikel
  • 2 minuter för att läsa

När din Application Gateway WAF fungerar kan du aktivera loggar för att kontrol lera vad som händer med varje begäran. Brand Väggs loggar ger insikt om vad WAF utvärderar, matchar och blockerar. Med Log Analytics kan du undersöka data i brand Väggs loggarna för att ge ännu fler insikter. Mer information om hur du skapar en arbets yta för Log Analytics finns i skapa en Log Analytics arbets yta i Azure Portal. Mer information om logg frågor finns i Översikt över logg frågor i Azure Monitor.

Importera WAF-loggar

Information om hur du importerar brand Väggs loggar till Log Analytics finns i backend-hälsa, diagnostikloggar och mått för Application Gateway. När du har brand Väggs loggar i Log Analytics arbets ytan kan du visa data, skriva frågor, Skapa visualiseringar och lägga till dem i portalens instrument panel.

Utforska data med exempel

Om du vill visa rå data i brand Väggs loggen kan du köra följande fråga:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

Detta ser ut ungefär som i följande fråga:

Log Analytics fråga

Du kan öka detalj nivån i data och rita diagram eller skapa visualiseringar härifrån. Se följande frågor som utgångs punkt:

Matchade/blockerade begär Anden efter IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Matchade/blockerade förfrågningar per URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Främsta matchade regler

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

De fem främsta matchade regel grupperna

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Lägg till på din instrument panel

När du har skapat en fråga kan du lägga till den på din instrument panel. Välj Fäst vid instrument panelen längst upp till höger i Log Analytics-arbetsytan. Med föregående fyra frågor fästa på en exempel instrument panel, är det här data som du kan se snabbt:

Skärm bild som visar en Azure-instrumentpanel där du kan lägga till din fråga.

Nästa steg

Backend-hälsa, diagnostikloggar och mått för Application Gateway