Använda Log Analytics för att undersöka Application Gateway-loggar

Artikel
10/16/2024

När application gatewayen är i drift kan du aktivera loggar för att inspektera de händelser som inträffar för din resurs. Loggarna för Application Gateway-brandväggen ger till exempel insikter om vad brandväggen för webbprogram (WAF) utvärderar, matchar och blockerar. Med Log Analytics kan du undersöka data i brandväggsloggarna för att ge ännu fler insikter. Mer information om loggfrågor finns i Översikt över loggfrågor i Azure Monitor.

I den här artikeln tittar vi på LOGGARna för brandväggen för webbaserade program (WAF). Du kan konfigurera andra Application Gateway-loggar på ett liknande sätt.

Förutsättningar

Ett Azure-konto med en aktiv prenumeration krävs. Om du inte redan har ett konto kan du skapa ett konto kostnadsfritt.
En Azure Application Gateway WAK SKU. Mer information finns i Azure Web Application Firewall på Azure Application Gateway.
En Log Analytics-arbetsyta. Mer information om hur du skapar en Log Analytics-arbetsyta finns i Skapa en Log Analytics-arbetsyta i Azure Portal.

Skicka loggar

Information om hur du exporterar brandväggsloggarna till Log Analytics finns i Diagnostikloggar för Application Gateway. När du har brandväggsloggarna på Log Analytics-arbetsytan kan du visa data, skriva frågor, skapa visualiseringar och lägga till dem på portalens instrumentpanel.

Utforska data med exempel

När du använder AzureDiagnostics-tabellen kan du visa rådata i brandväggsloggen genom att köra följande fråga:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| limit 10

Detta liknar följande fråga:

När du använder resursspecifik tabell kan du visa rådata i brandväggsloggen genom att köra följande fråga. Information om de resursspecifika tabellerna finns i Referens för övervakning av data.

AGWFirewallLogs
| limit 10

Du kan öka detaljnivån i data och rita grafer eller skapa visualiseringar härifrån. Här följer några fler exempel på AzureDiagnostics-frågor som du kan använda.

Matchade/blockerade begäranden efter IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Matchade/blockerade begäranden av URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Regler som matchar mest

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

De fem vanligaste matchningsregelgrupperna

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Lägg till på instrumentpanelen

När du har skapat en fråga kan du lägga till den på instrumentpanelen. Välj fäst på instrumentpanelen längst upp till höger på log analytics-arbetsytan. Med de föregående fyra frågorna fästa på en exempelinstrumentpanel är detta de data som du kan se snabbt:

Skärmbild som visar en Azure-instrumentpanel där du kan lägga till din fråga.

Nästa steg

Backend-hälsotillstånd, diagnostikloggar och mått för Application Gateway

Dela via