Use o Log Analytics para examinar os logs do Gateway de Aplicativo

Artigo
10/16/2024

Quando seu Gateway de Aplicativo estiver operacional, você poderá habilitar logs para inspecionar os eventos que ocorrem no seu recurso. Por exemplo, os logs do Gateway de Aplicativo Firewall fornecem informações sobre o que o Web Application Firewall (WAF) está avaliando, correspondendo e bloqueando. Com o Log Analytics, você pode examinar os dados nos logs do firewall para fornecer ainda mais insights. Para obter mais informações sobre consultas de log, confira Visão geral de consultas de log no Azure Monitor.

Nesse artigo, veremos os logs do Web Application Firewall (WAF). Você pode configurar outros logs do Gateway de Aplicativo de maneira semelhante.

Pré-requisitos

É necessária uma conta do Azure com uma assinatura ativa. Caso ainda não tenha uma conta, crie uma gratuitamente.
Um SKU WAK do Gateway de Aplicativo do Azure. Para obter mais informações, confira Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure.
Um espaço de trabalho do Log Analytics. Para mais informações sobre como criar o workspace do Log Analytics, confira Criar um workspace do Log Analytics no portal do Azure.

Enviando logs

Para exportar seus logs de firewall para o Log Analytics, veja Logs de diagnóstico para Gateway de Aplicativo. Quando você tiver os logs de firewall em seu workspace do Log Analytics, poderá ver dados, gravar consultas, criar visualizações e adicioná-las ao painel do portal.

Explorar dados com exemplos

Ao usar a tabela AzureDiagnostics, você pode visualizar os dados brutos no log do firewall executando a seguinte consulta:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| limit 10

Isso é semelhante à seguinte consulta:

Ao usar a tabela Específica do recurso, você pode visualizar os dados brutos no log do firewall executando a seguinte consulta. Para saber mais sobre as tabelas específicas de recursos, visite Referência de dados de monitoramento.

AGWFirewallLogs
| limit 10

Você pode fazer busca detalhada nos dados e plotar grafos ou criar visualizações aqui. Aqui estão mais alguns exemplos de consultas do AzureDiagnostics que você pode usar.

Solicitações de correspondência/bloqueadas por IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Solicitações de correspondência/bloqueadas por URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Principais regras de correspondência

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Cinco principais grupos de regras de correspondência

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Adicionar ao seu painel

Depois de criar uma consulta, você pode adicioná-la ao seu painel. Selecione Fixar no painel no canto superior direito do workspace do Log Analytics. Com as quatro consultas anteriores fixadas em um painel de exemplo, esses são os dados que você pode ver rapidamente:

A captura de tela mostra um painel do Azure no qual você pode adicionar sua consulta.

Próximas etapas

Integridade de back-end, logs de diagnóstico e métricas para o Gateway de Aplicativo

Compartilhar via