Compartir vía


Uso de Log Analytics para examinar registros de Application Gateway

Una vez que Application Gateway está operativo, puede habilitar registros para inspeccionar los eventos que se producen en el recurso. Por ejemplo, los registros de firewall de Application Gateway proporcionan información sobre lo que evalúa, empareja y bloquea el firewall de aplicaciones web (WAF). Con Log Analytics, puede examinar los datos de los registros del firewall para ofrecer aún más información. Para obtener más información sobre las consultas de registro, vea Análisis de datos de registro en Azure Monitor.

En este artículo, se examinarán los registros de Web Application Firewall (WAF). Puede configurar otros registros de Application Gateway de forma similar.

Requisitos previos

Envío de registros

Para exportar los registros del firewall en Log Analytics, vea Registros de diagnóstico para Application Gateway. Cuando tenga los registros del firewall en el área de trabajo de Log Analytics, puede ver datos, escribir consultas, crear visualizaciones y agregarlas al panel del portal.

Explorar datos con ejemplos

Al usar la tabla AzureDiagnostics, puede ver los datos sin procesar en el registro de firewall mediante la ejecución de la consulta siguiente:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| limit 10

Esto se parece a la siguiente consulta:

Recorte de pantalla de la consulta de Log Analytics.

Al usar la tabla Resource-specific, puede ver los datos sin procesar en el registro de firewall mediante la ejecución de la consulta siguiente. Para obtener información sobre las tablas específicas del recurso, visite Referencia de datos de supervisión.

AGWFirewallLogs
| limit 10

Puede explorar en profundidad los datos y trazar gráficos o crear visualizaciones desde aquí. Estos son algunos ejemplos más de consultas AzureDiagnostics que puede usar.

Solicitudes emparejadas o bloqueadas por IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Solicitudes emparejadas o bloqueadas por URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Principales reglas emparejadas

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Principales cinco grupos de reglas emparejadas

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Agregar al panel

Una vez que se crea una consulta, se puede agregar al panel. Seleccione Anclar al panel en la parte superior derecha del área de trabajo de Log Analytics. Con las cuatro consultas anteriores ancladas a un panel de ejemplo, estos son los datos que se pueden ver de un vistazo:

Captura de pantalla que muestra un panel de Azure en el que puede agregar una consulta.

Pasos siguientes

Mantenimiento de back-end, registro de diagnóstico y métricas de Application Gateway