Partilhar via

Usar o Log Analytics para examinar os logs do Application Gateway Web Application Firewall (WAF)

  • Artigo

Quando o WAF do Application Gateway estiver operacional, você poderá habilitar os logs para inspecionar o que está acontecendo com cada solicitação. Os logs do firewall fornecem informações sobre o que o WAF está avaliando, combinando e bloqueando. Com o Azure Monitor Log Analytics, você pode examinar os dados dentro dos logs do firewall para fornecer ainda mais informações. Para obter mais informações sobre como criar um espaço de trabalho do Log Analytics, consulte Criar um espaço de trabalho do Log Analytics no portal do Azure. Para obter mais informações sobre consultas de log, consulte Visão geral das consultas de log no Azure Monitor.

Importar logs WAF

Para importar os logs do firewall para o Log Analytics, consulte Integridade do back-end, logs de recursos e métricas do Application Gateway. Quando você tiver os logs do firewall no espaço de trabalho do Log Analytics, poderá exibir dados, escrever consultas, criar visualizações e adicioná-las ao painel do portal.

Explore dados com exemplos

Para exibir os dados brutos no log do firewall, você pode executar a seguinte consulta:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

Isso será semelhante à seguinte consulta:

Captura de tela mostrando a análise de log do WAF.

Você pode detalhar os dados e plotar gráficos ou criar visualizações a partir daqui. Veja as seguintes consultas como ponto de partida:

Solicitações correspondentes/bloqueadas por IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Solicitações correspondentes/bloqueadas por URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Principais regras correspondentes

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Os cinco principais grupos de regras correspondentes

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Adicionar ao seu painel

Depois de criar uma consulta, você pode adicioná-la ao seu painel. Selecione o painel Fixar no canto superior direito do espaço de trabalho de análise de log. Com as quatro consultas anteriores fixadas a um painel de exemplo, estes são os dados que você pode ver rapidamente:

A captura de tela mostra um painel do Azure onde você pode adicionar sua consulta.

Próximos passos

Integridade de back-end, logs de recursos e métricas para o Application Gateway