Azure Web Application Firewall の監視とログ
Azure Web アプリケーション ファイアウォール (WAF) の監視とログ記録は、Azure Monitor および Azure Monitor ログのログ記録およびそれらとの統合を通じて提供されます。
Azure Monitor
Application Gateway での WAF のログは、Azure Monitor と統合されます。 Azure Monitor により、WAF のアラートやログなどの診断情報を追跡できます。 Application Gateway リソース内での WAF の監視は、ポータルの [診断] タブから、または Azure Monitor サービスから直接、構成できます。
ログと診断
Application Gateway での WAF により、検出された脅威ごとに詳細なレポートが提供されます。 ログ記録は Azure Diagnostics ログに統合されており、json 形式でアラートが記録されます。 これらのログは、Azure Monitor ログと統合できます。
診断ログの詳細については、「Application Gateway WAF リソース ログ」を参照してください。 ログ記録が有効で WAF ルールがトリガーされた場合は、WAF ポリシーの動作を分析およびデバッグするために、一致するパターンがプレーン テキストでログに記録されます。 除外を使用すると、ルールを微調整し、ログから除外するデータを除外できます。 詳細については、Azure Application Gateway の「Web アプリケーション ファイアウォールの除外リスト」を参照してください。
Application Gateway WAF v2 のメトリック
WAF の新しいメトリックは、コア ルール セット 3.2 以上、またはボット保護とジオフィルタリングでのみ使用できます。 メトリックは、サポートされているディメンションでさらにフィルター処理できます。
Metrics | 説明 | ディメンション |
---|---|---|
WAF 合計要求数 | WAF エンジンが処理して成功した要求の数 | アクション、国/リージョン、メソッド、モード、ポリシー名、ポリシー スコープ |
WAF マネージド ルールの一致数 | マネージド ルールの一致数の合計 | アクション、国/リージョン、モード、ポリシー名、ポリシー スコープ、ルール グループ、ルール ID、ルール セット名 |
WAF カスタム ルールの一致数 | カスタム ルールの一致数 | アクション、国/リージョン、モード、ポリシー名、ポリシー スコープ、ルール名 |
WAF ボット保護の一致数1 | ブロックまたはログに記録された、悪意のある IP アドレスからのボット保護ルールの一致数の合計。 この IP アドレスのソースは、Microsoft の脅威インテリジェンス フィードです。 | アクション、国/リージョン、ボット タイプ、モード、ポリシー名、ポリシー スコープ |
WAF JS チャレンジ要求数 | JS チャレンジ WAF ルールに一致する要求の数をカウントします。 | アクション、ポリシー名、ポリシー スコープ、ルール2 |
1 "WAF ボット保護の一致数" の下には、Bot Manager ルール セット 0.1 のみが表示されます。 Bot Manager ルール セット 1.0 に一致する要求では、"WAF ボット保護の一致数" ではなく、"WAF 合計要求数" メトリックが増加します。
2 カスタム ルールのルール名と、Bot Manager ルール セットのルール ID。
Application Gateway V2 SKU によってサポートされるメトリックについては、Application Gateway v2 のメトリックに関する記事をご覧ください
Application Gateway WAF v1 のメトリック
Metrics | 説明 | ディメンション |
---|---|---|
Web アプリケーション ファイアウォールのブロックされた要求数 | WAF エンジンによってブロックされた要求の総数 | |
Web アプリケーション ファイアウォールのブロックされた要求の分布 | ルール グループとルール ID 別のブロックされた要求に対するヒットしたルールの総数の分布 | ルール グループ、ルール ID |
Web アプリケーション ファイアウォールの合計規則の分布 | ルール グループとルール ID 別の一致した要求の総数の分布 | ルール グループ、ルール ID |
Application Gateway V1 SKU によってサポートされるメトリックについては、Application Gateway v1 のメトリックに関する記事をご覧ください
Azure portal で WAF のメトリックにアクセスする
Azure portal のメニューから [すべてのリソース]>><自分の Application Gateway プロファイル> を選びます。
[監視] で [メトリック] を選択します。
[メトリック] で、追加するメトリックを選択します。
フィルターを追加するには、 [フィルターの追加] を選択します。
[新しいグラフ] を選んで、新しいグラフを追加します
Azure portal でアラートを構成する
[監視]>>[アラート] を選び、Azure Application Gateway でアラートを設定します。
[メトリック] セクションにリストされているメトリックに対して [新しいアラート ルール] を選択します。
アラートは Azure Monitor に基づいて課金されます。 アラートの詳細については、Azure Monitor のアラートに関する記事を参照してください。
次のステップ
- Web アプリケーション ファイアウォールについて学習する。
- Web アプリケーション ファイアウォールのログについて理解する。