Udostępnij za pośrednictwem

Używanie usługi Log Analytics do sprawdzania dzienników zapory aplikacji internetowej usługi Application Gateway

  • Artykuł

Gdy zapora aplikacji internetowej usługi Application Gateway działa, możesz włączyć dzienniki, aby sprawdzić, co się dzieje z każdym żądaniem. Dzienniki zapory zapewniają wgląd w to, co zapora aplikacji internetowej ocenia, dopasowuje i blokuje. Dzięki usłudze Azure Monitor Log Analytics możesz zbadać dane wewnątrz dzienników zapory, aby uzyskać jeszcze więcej szczegółowych informacji. Aby uzyskać więcej informacji na temat tworzenia obszaru roboczego usługi Log Analytics, zobacz Tworzenie obszaru roboczego usługi Log Analytics w witrynie Azure Portal. Aby uzyskać więcej informacji na temat zapytań dzienników, zobacz Omówienie zapytań dzienników w usłudze Azure Monitor.

Importowanie dzienników zapory aplikacji internetowej

Aby zaimportować dzienniki zapory do usługi Log Analytics, zobacz Kondycja zaplecza, dzienniki zasobów i metryki dla usługi Application Gateway. Jeśli masz dzienniki zapory w obszarze roboczym usługi Log Analytics, możesz wyświetlać dane, zapisywać zapytania, tworzyć wizualizacje i dodawać je do pulpitu nawigacyjnego portalu.

Eksplorowanie danych przy użyciu przykładów

Aby wyświetlić nieprzetworzone dane w dzienniku zapory, możesz uruchomić następujące zapytanie:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

Będzie to wyglądać podobnie do następującego zapytania:

Zrzut ekranu przedstawiający analizę dzienników zapory aplikacji internetowej.

Możesz przejść do szczegółów danych i wykreślić wykresy lub utworzyć wizualizacje z tego miejsca. Zobacz następujące zapytania jako punkt wyjścia:

Dopasowane/zablokowane żądania według adresu IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Dopasowane/zablokowane żądania według identyfikatora URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Najważniejsze dopasowane reguły

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Pięć pierwszych pasowanych grup reguł

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Dodawanie do pulpitu nawigacyjnego

Po utworzeniu zapytania możesz dodać je do pulpitu nawigacyjnego. Wybierz pulpit nawigacyjny Przypnij do pulpitu nawigacyjnego w prawym górnym rogu obszaru roboczego usługi Log Analytics. Po przypiętych czterech poprzednich zapytaniach do przykładowego pulpitu nawigacyjnego są to dane, które można zobaczyć na pierwszy rzut oka:

Zrzut ekranu przedstawia pulpit nawigacyjny platformy Azure, na którym można dodać zapytanie.

Następne kroki

Kondycja zaplecza, dzienniki zasobów i metryki dla usługi Application Gateway