Sdílet prostřednictvím

Použití Log Analytics k prozkoumání protokolů firewallu webových aplikací služby Application Gateway (WAF)

  • Článek

Jakmile bude waF služby Application Gateway funkční, můžete povolit protokoly, abyste mohli zkontrolovat, co se děje s jednotlivými požadavky. Protokoly brány firewall poskytují přehled o tom, co WAF vyhodnocuje, porovnává a blokuje. Pomocí Služby Azure Monitor Log Analytics můžete prozkoumat data v protokolech brány firewall, abyste získali ještě lepší přehledy. Další informace o vytvoření pracovního prostoru služby Log Analytics najdete v tématu Vytvoření pracovního prostoru služby Log Analytics na webu Azure Portal. Další informace o dotazech protokolu najdete v tématu Přehled dotazů protokolu ve službě Azure Monitor.

Import protokolů WAF

Pokud chcete importovat protokoly brány firewall do Log Analytics, přečtěte si téma Stav back-endu, protokoly prostředků a metriky služby Application Gateway. Pokud máte protokoly brány firewall v pracovním prostoru služby Log Analytics, můžete zobrazit data, psát dotazy, vytvářet vizualizace a přidávat je na řídicí panel portálu.

Prozkoumání dat pomocí příkladů

Pokud chcete zobrazit nezpracovaná data v protokolu brány firewall, můžete spustit následující dotaz:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

Bude vypadat podobně jako v následujícím dotazu:

Snímek obrazovky zobrazující analýzu protokolů WAF

Můžete přejít k podrobnostem dat a vykreslit grafy nebo odtud vytvářet vizualizace. Jako výchozí bod se podívejte na následující dotazy:

Spárované nebo blokované požadavky podle IP adresy

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Spárované nebo blokované požadavky podle identifikátoru URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Pravidla s nejvyšší shody

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Top five matched rule groups

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Přidání na řídicí panel

Po vytvoření dotazu ho můžete přidat do řídicího panelu. V pravém horním rohu pracovního prostoru služby Log Analytics vyberte připnout na řídicí panel. S předchozími čtyřmi dotazy připnutými na ukázkový řídicí panel je to data, která můžete vidět na první pohled:

Snímek obrazovky znázorňující řídicí panel Azure, kde můžete přidat dotaz

Další kroky

Stav back-endu, protokoly prostředků a metriky služby Application Gateway