Azure Web Uygulaması Güvenlik Duvarı için kaynak günlükleri
Günlükleri kullanarak Web Uygulaması Güvenlik Duvarı kaynakları izleyebilirsiniz. Performansı, erişimi ve diğer verileri kaydedebilir veya izleme amacıyla bir kaynaktan kullanabilirsiniz.
Not
Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.
Tanılama günlükleri
Uygulama ağ geçitlerini yönetmek ve sorunlarını gidermek için Azure'da farklı günlük türleri kullanabilirsiniz. Bu günlüklerden bazılarına portaldan erişebilirsiniz. Tüm günlükler Azure Blob depolamadan ayıklanabilir ve Azure İzleyici günlükleri, Excel ve Power BI gibi farklı araçlarda görüntülenebilir. Aşağıdaki listeden farklı günlük türleri hakkında daha fazla bilgi edinebilirsiniz:
- Etkinlik günlüğü: Azure aboneliğinize gönderilen tüm işlemleri ve bunların durumunu görüntülemek için Azure etkinlik günlüklerini kullanabilirsiniz. Etkinlik günlüğü girişleri varsayılan olarak toplanır ve bunları Azure portalda görüntüleyebilirsiniz.
- Erişim Kaynak günlüğü: Bu günlüğü kullanarak Application Gateway erişim desenlerini görüntüleyebilir ve önemli bilgileri analiz edebilirsiniz. Bu, çağıranın IP'sini, istenen URL'yi, yanıt gecikmesini, dönüş kodunu ve gelen ve giden baytları içerir. Bu günlük her istek için ayrı ayrı kayıtlar içerir ve bu isteği, isteği işleyen benzersiz Application Gateway ilişkilendirir. Benzersiz Application Gateway örnekleri instanceId özelliğiyle tanımlanabilir.
- Performans Kaynak günlüğü: Application Gateway örneklerinin performansını görüntülemek için bu günlüğü kullanabilirsiniz. Bu günlük sunulan toplam istek sayısı, bayt cinsinden aktarım hızı, sunulan toplam istek sayısı, başarısız istek sayısı ve iyi durumda ve iyi durumda olmayan arka uç örnek sayısı dahil olmak üzere her örnek için performans bilgilerini yakalar. Performans günlüğü her 60 saniyede bir toplanır. Performans günlüğü yalnızca v1 SKU'su için kullanılabilir. v2 SKU'su için performans verileri için Ölçümler'i kullanın.
- Güvenlik Duvarı Kaynak günlüğü: Web uygulaması güvenlik duvarıyla yapılandırılmış bir uygulama ağ geçidinin algılama veya önleme modu aracılığıyla günlüğe kaydedilen istekleri görüntülemek için bu günlüğü kullanabilirsiniz.
Not
Günlükler yalnızca Azure Resource Manager dağıtım modelinde dağıtılan kaynaklar için kullanılabilir. Klasik dağıtım modelindeki kaynaklar için günlükleri kullanamazsınız. İki modeli daha iyi anlamak için Resource Manager dağıtımını ve klasik dağıtımı anlama makalesine bakın.
Günlüklerinizi depolamak için kullanabileceğiniz üç seçenek vardır:
- Depolama hesabı: Depolama hesaplarının en iyi kullanım amacı, günlüklerin uzun süre depolanması ve ihtiyaç duyulduğunda gözden geçirilmesi durumlarıdır.
- Olay hub'ları: Olay hub'ları, kaynaklarınızla ilgili uyarılar almak için diğer güvenlik bilgileri ve olay yönetimi (SIEM) araçlarıyla tümleştirmeye yönelik harika bir seçenektir.
- Azure İzleyici günlükleri: Azure İzleyici günlükleri en iyi şekilde uygulamanızın genel gerçek zamanlı izlenmesi veya eğilimlere bakılması için kullanılır.
PowerShell aracılığıyla günlüğe kaydetmeyi etkinleştirme
Etkinlik günlüğü tüm Kaynak Yöneticisi kaynakları için otomatik olarak etkinleştirilir. Bu günlükler aracılığıyla kullanılabilir verileri toplamaya başlamak için erişim ve performans günlüğünü etkinleştirmeniz gerekir. Günlüğe kaydetmeyi etkinleştirmek için aşağıdaki adımları kullanın:
Günlük verilerinin depolandığı depolama hesabınızın kaynak kimliğini not edin. Bu değer şu biçimdedir: /subscriptions/<abonelik kimliği>/resourceGroups/<kaynak grubu adı>/providers/Microsoft.Storage/storageAccounts/<depolama hesabı adı>. Aboneliğinizdeki herhangi bir depolama hesabını kullanabilirsiniz. Bu bilgileri Azure portalda bulabilirsiniz.
Günlük kaydının etkinleştirildiği uygulama ağ geçidinizin kaynak kimliğini not edin. Bu değer şu biçimdedir: /subscriptions/subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/applicationGateways/<application gateway name>.< Bu bilgileri portalda bulabilirsiniz.
Aşağıdaki PowerShell cmdlet'ini kullanarak kaynak günlüğünü etkinleştirin:
Set-AzDiagnosticSetting -ResourceId /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/applicationGateways/<application gateway name> -StorageAccountId /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> -Enabled $true
İpucu
Etkinlik günlükleri ayrı bir depolama hesabı gerektirmez . Depolama alanının erişim ve performans günlüğü kaydı için kullanılması durumunda hizmet ücreti tahsil edilir.
Azure portaldan günlüğe kaydetmeyi etkinleştirme
Azure portal kaynağınızı bulun ve Tanılama ayarları'nı seçin.
Application Gateway için üç günlük mevcuttur:
- Erişim günlüğü
- Performans günlüğü
- Güvenlik duvarı günlüğü
Tanılama ayarı ekle’yi seçin.
Tanılama ayarı sayfasında kaynak günlükleri için ayarlar sağlanır. Bu örnekte Log Analytics günlükleri depolar. Kaynak günlüklerini kaydetmek için bir olay hub'ı, depolama hesabı veya iş ortağı çözümü de kullanabilirsiniz.
Ayarlar için bir ad yazın, ayarları onaylayın ve Kaydet'i seçin.
Etkinlik günlüğü
Azure, etkinlik günlüğünü varsayılan olarak oluşturur. Günlükler Azure olay günlükleri deposunda 90 gün boyunca korunur. Olayları ve etkinlik günlüğünü görüntüleme makalesini okuyarak bu günlükler hakkında daha fazla bilgi edinin.
Erişim günlüğü
Erişim günlüğü yalnızca önceki adımlarda açıklandığı gibi her Application Gateway örneğinde etkinleştirdiyseniz oluşturulur. Veriler, günlüğü etkinleştirdiğinizde belirttiğiniz depolama hesabında depolanır. Application Gateway her erişimi, aşağıdaki v1 örneğinde gösterildiği gibi JSON biçiminde günlüğe kaydedilir:
| Değer | Açıklama |
|---|---|
| instanceId | Application Gateway istekte bulunan örnek. |
| clientIP | İstek için kaynak IP. |
| clientPort | İstek için kaynak bağlantı noktası. |
| httpMethod | İstek tarafından kullanılan HTTP yöntemi. |
| Requesturi | Alınan isteğin URI'sini. |
| RequestQuery | Sunucu Yönlendirmeli: İsteğin gönderildiği arka uç havuzu örneği. X-AzureApplicationGateway-LOG-ID: İstek için kullanılan bağıntı kimliği. Arka uç sunucularında trafik sorunlarını gidermek için kullanılabilir. SUNUCU DURUMU: Arka uçtan alınan Application Gateway HTTP yanıt kodu. |
| Useragent | HTTP isteği üst bilgisinden kullanıcı aracısı. |
| httpStatus | http durum kodu Application Gateway istemciye döndürüldü. |
| httpVersion | İsteğin HTTP sürümü. |
| receivedBytes | Alınan paketin bayt cinsinden boyutu. |
| sentBytes | Gönderilen paketin bayt cinsinden boyutu. |
| timeTaken | İsteğin işlenmesi ve yanıtının gönderilmesi için gereken süre (milisaniye cinsinden). Bu, Application Gateway bir HTTP isteğinin ilk baytını aldığından yanıt gönderme işleminin sona erdiği zamana kadar olan zaman aralığı olarak hesaplanır. Time-Taken alanının genellikle istek ve yanıt paketlerinin ağ üzerinden seyahat etme zamanını içerdiğini unutmayın. |
| sslEnabled | Arka uç havuzlarıyla iletişimin TLS/SSL kullanıp kullanmadığı. Geçerli değerler açık ve kapalı. |
| konak | İsteğin arka uç sunucusuna gönderildiği ana bilgisayar adı. Arka uç ana bilgisayar adı geçersiz kılınıyorsa, bu ad bunu yansıtır. |
| originalHost | İsteğin istemciden Application Gateway tarafından alındığı ana bilgisayar adı. |
{
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/PEERINGTEST/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{applicationGatewayName}",
"operationName": "ApplicationGatewayAccess",
"timestamp": "2017-04-26T19:27:38Z",
"category": "ApplicationGatewayAccessLog",
"properties": {
"instanceId": "ApplicationGatewayRole_IN_0",
"clientIP": "191.96.249.97",
"clientPort": 46886,
"httpMethod": "GET",
"requestUri": "/phpmyadmin/scripts/setup.php",
"requestQuery": "X-AzureApplicationGateway-CACHE-HIT=0&SERVER-ROUTED=10.4.0.4&X-AzureApplicationGateway-LOG-ID=874f1f0f-6807-41c9-b7bc-f3cfa74aa0b1&SERVER-STATUS=404",
"userAgent": "-",
"httpStatus": 404,
"httpVersion": "HTTP/1.0",
"receivedBytes": 65,
"sentBytes": 553,
"timeTaken": 205,
"sslEnabled": "off",
"host": "www.contoso.com",
"originalHost": "www.contoso.com"
}
}
Application Gateway ve WAF v2 için günlükler biraz daha fazla bilgi gösterir:
| Değer | Açıklama |
|---|---|
| instanceId | Application Gateway istekte bulunan örnek. |
| clientIP | İstek için kaynak IP. |
| clientPort | İstek için kaynak bağlantı noktası. |
| httpMethod | İstek tarafından kullanılan HTTP yöntemi. |
| Requesturi | Alınan isteğin URI'sini. |
| Useragent | HTTP isteği üst bilgisinden kullanıcı aracısı. |
| httpStatus | http durum kodu Application Gateway istemciye döndürüldü. |
| httpVersion | İsteğin HTTP sürümü. |
| receivedBytes | Alınan paketin bayt cinsinden boyutu. |
| sentBytes | Gönderilen paketin bayt cinsinden boyutu. |
| timeTaken | İsteğin işlenmesi ve yanıtının gönderilmesi için gereken süre (milisaniye cinsinden). Bu, Application Gateway bir HTTP isteğinin ilk baytını aldığından yanıt gönderme işleminin sona erdiği zamana kadar olan zaman aralığı olarak hesaplanır. Time-Taken alanının genellikle istek ve yanıt paketlerinin ağ üzerinden seyahat etme zamanını içerdiğini unutmayın. |
| sslEnabled | Arka uç havuzlarıyla iletişimin TLS kullanıp kullanmadığı. Geçerli değerler açık ve kapalı. |
| sslCipher | TLS iletişimi için kullanılan şifreleme paketi (TLS etkinse). |
| sslProtocol | Kullanılan TLS protokolü (TLS etkinse). |
| serverRouted | Application Gateway'in isteği yönlendirdiğini arka uç sunucusu. |
| serverStatus | Arka uç sunucusunun HTTP durum kodu. |
| serverResponseLatency | Arka uç sunucusundan gelen yanıtın gecikme süresi. |
| konak | İsteğin ana bilgisayar üst bilgisinde listelenen adres. |
{
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/PEERINGTEST/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{applicationGatewayName}",
"operationName": "ApplicationGatewayAccess",
"time": "2017-04-26T19:27:38Z",
"category": "ApplicationGatewayAccessLog",
"properties": {
"instanceId": "appgw_1",
"clientIP": "191.96.249.97",
"clientPort": 46886,
"httpMethod": "GET",
"requestUri": "/phpmyadmin/scripts/setup.php",
"userAgent": "-",
"httpStatus": 404,
"httpVersion": "HTTP/1.0",
"receivedBytes": 65,
"sentBytes": 553,
"timeTaken": 205,
"sslEnabled": "off",
"sslCipher": "",
"sslProtocol": "",
"serverRouted": "104.41.114.59:80",
"serverStatus": "200",
"serverResponseLatency": "0.023",
"host": "www.contoso.com",
}
}
Performans günlüğü
Performans günlüğü yalnızca önceki adımlarda açıklandığı gibi her Application Gateway örneğinde etkinleştirdiyseniz oluşturulur. Veriler, günlüğü etkinleştirdiğinizde belirttiğiniz depolama hesabında depolanır. Performans günlüğü verileri 1 dakikalık aralıklarla oluşturulur. Yalnızca v1 SKU'su için kullanılabilir. v2 SKU'su için performans verileri için Ölçümler'i kullanın. Aşağıdaki veriler günlüğe kaydedilir:
| Değer | Açıklama |
|---|---|
| instanceId | Performans verilerinin oluşturulduğu Application Gateway örnek. Çok örnekli bir uygulama ağ geçidi için örnek başına bir satır vardır. |
| healthyHostCount | Arka uç havuzundaki iyi durumdaki konakların sayısı. |
| unHealthyHostCount | Arka uç havuzundaki iyi durumda olmayan konakların sayısı. |
| requestCount | Sunulan istek sayısı. |
| gecikme süresi | Örnekten isteklere hizmet eden arka uca yönelik isteklerin ortalama gecikme süresi (milisaniye cinsinden). |
| failedRequestCount | Başarısız istek sayısı. |
| aktarım hızı | Saniye başına bayt cinsinden ölçülen son günlükten bu yana ortalama aktarım hızı. |
{
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{applicationGatewayName}",
"operationName": "ApplicationGatewayPerformance",
"time": "2016-04-09T00:00:00Z",
"category": "ApplicationGatewayPerformanceLog",
"properties":
{
"instanceId":"ApplicationGatewayRole_IN_1",
"healthyHostCount":"4",
"unHealthyHostCount":"0",
"requestCount":"185",
"latency":"0",
"failedRequestCount":"0",
"throughput":"119427"
}
}
Not
Gecikme süresi, HTTP isteğinin ilk baytının alındığı zamandan HTTP yanıtının son baytının gönderildiği zamana kadar hesaplanır. bu, Application Gateway işleme süresinin yanı sıra arka uca ağ maliyetinin yanı sıra arka ucun isteği işleme süresi toplamıdır.
Güvenlik duvarı günlüğü
Güvenlik duvarı günlüğü yalnızca önceki adımlarda açıklandığı gibi her uygulama ağ geçidi için etkinleştirdiyseniz oluşturulur. Bu günlük, web uygulaması güvenlik duvarının bir uygulama ağ geçidinde yapılandırılmasını da gerektirir. Veriler, günlüğü etkinleştirdiğinizde belirttiğiniz hedefte depolanır. Aşağıdaki veriler günlüğe kaydedilir:
| Değer | Açıklama |
|---|---|
| instanceId | Güvenlik duvarı verilerinin oluşturulduğu Application Gateway örnek. Çok örnekli bir uygulama ağ geçidi için örnek başına bir satır vardır. |
| clientIp | İstek için kaynak IP. |
| clientPort | İstek için kaynak bağlantı noktası. |
| Requesturi | Alınan isteğin URL'si. |
| ruleSetType | Kural kümesi türü. Kullanılabilir değer OWASP'dir. |
| ruleSetVersion | Kullanılan kural kümesi sürümü. Kullanılabilir değerler 2.2.9 ve 3.0'dır. |
| ruleId | Tetikleyen olayın kural kimliği. |
| message | Tetikleme olayı için kullanıcı dostu ileti. Ayrıntılar bölümünde daha fazla ayrıntı sağlanır. |
| action | İlke Modu: Algılama - Algılandı - Algılama modundayken WAF için tek eylem budur. Belirli bir kuralın tüm koşulları eşleştirildi ve istek günlüğe kaydedildi ve ardından arka uçtan geçirildi. İlke Modu: Önlemeye - İzin Verildi - Belirli bir kural için tüm koşullar eşleştirildi ve istek arka uca geçirildi. - Engellendi - Belirli bir kural için tüm koşullar eşleştirildi ve istek engellendi. - Eşleştirildi - Belirli bir kural için bir/daha fazla koşul eşleştirildi, ancak isteği engelleme veya geçirme kararı daha fazla değerlendirmeye ihtiyaç duyar ve son anomali puanlama kuralına göre değerlendirilir. |
| Site | Günlüğün oluşturulduğu site. Şu anda kurallar genel olduğundan yalnızca Genel listelenmiştir. |
| ayrıntılar | Tetikleme olayının ayrıntıları. |
| details.message | Kuralın açıklaması. |
| details.data | İstekte bulunan ve kuralla eşleşen belirli veriler. |
| details.file | Kuralı içeren yapılandırma dosyası. |
| details.line | Olayı tetikleyen yapılandırma dosyasındaki satır numarası. |
| Ana bilgisayar adı | Application Gateway ana bilgisayar adı veya IP adresi. |
| Transactionıd | Aynı istekte gerçekleşen birden çok kural ihlalini gruplandırmada yardımcı olan belirli bir işlem için benzersiz kimlik. |
| policyId | Application Gateway, Dinleyici veya Yol ile ilişkili Güvenlik Duvarı İlkesinin benzersiz kimliği. |
| policyScope | İlkenin konumu - değerler "Genel", "Dinleyici" veya "Konum" olabilir. |
| policyScopeName | İlkenin uygulandığı nesnenin adı. |
{
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{applicationGatewayName}",
"operationName": "ApplicationGatewayFirewall",
"time": "2017-03-20T15:52:09.1494499Z",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "ApplicationGatewayRole_IN_0",
"clientIp": "52.161.109.147",
"clientPort": "0",
"requestUri": "/",
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"ruleId": "920350",
"ruleGroup": "920-PROTOCOL-ENFORCEMENT",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
"data": "127.0.0.1",
"file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
"line": "791"
},
"hostname": "127.0.0.1",
"transactionId": "16861477007022634343",
"policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/perListener",
"policyScope": "Listener",
"policyScopeName": "httpListener1"
}
}
}
Etkinlik günlüğünü görüntüleme ve analiz etme
Aşağıdaki yöntemlerden birini kullanarak etkinlik günlüğü verilerini görüntüleyebilir ve analiz edebilirsiniz:
- Azure araçları: Etkinlik günlüğü verilerini Azure PowerShell, Azure CLI, Azure REST API veya Azure portal üzerinden alabilirsiniz. Her yöntemle ilgili ayrıntılı adımlar Kaynak Yöneticisi etkinlik işlemleri makalesinde ayrıntılı bir şekilde anlatılmıştır.
- Power BI: Power BI hesabınız yoksa ücretsiz oluşturabilirsiniz. Power BI şablon uygulamalarını kullanarak verilerinizi analiz edebilirsiniz.
Erişim, performans ve güvenlik duvarı günlüklerini görüntüleme ve analiz etme
Azure İzleyici günlükleri , Blob depolama hesabınızdan sayaç ve olay günlüğü dosyalarını toplayabilir. Günlüklerinizi analiz etmek için görselleştirmelere ve güçlü arama özelliklerine sahiptir.
Dilerseniz depolama hesabınıza bağlanabilir ve JSON erişim günlüklerini ve performans günlüklerini alabilirsiniz. İndirdiğiniz JSON dosyalarını CSV biçimine dönüştürebilir ve Excel, Power BI veya diğer veri görselleştirme araçlarında görüntüleyebilirsiniz.
İpucu
Visual Studio ve C# ile sabit ve değişken değerlerini değiştirme konusunda temel kavramlara hakimseniz GitHub'daki günlük dönüştürücü araçlarını kullanabilirsiniz.
GoAccess aracılığıyla Erişim günlüklerini çözümleme
Application Gateway Erişim Günlükleri için popüler GoAccess günlük çözümleyicisini yükleyen ve çalıştıran bir Resource Manager şablonu yayımladık. GoAccess Benzersiz Ziyaretçiler, İstenen Dosyalar, Konaklar, İşletim Sistemleri, Tarayıcılar, HTTP Durum kodları ve daha fazlası gibi değerli HTTP trafik istatistikleri sağlar. Diğer ayrıntılar için lütfen GitHub'daki Resource Manager şablonu klasöründeki Benioku dosyasına bakın.
Sonraki adımlar
- Azure İzleyici günlüklerini kullanarak sayaç ve olay günlüklerini görselleştirme.
- Power BI blog gönderisi ile Azure etkinlik günlüğünüzü görselleştirme .
- Power BI'da Azure etkinlik günlüklerini ve daha fazla blog gönderisi görüntüleyin ve analiz edin.