共用方式為


使用 Log Analytics 檢查應用程式閘道 Web 應用程式防火牆 (WAF) 記錄

應用程式閘道 WAF 運作之後,您可以啟用記錄來檢查每個要求的情況。 防火牆記錄會深入解析 WAF 正在評估、比對和封鎖的項目。 您可以使用 Azure 監視器 Log Analytics,檢查防火牆記錄中的資料,更深入解析。 如需如何建立 Log Analytics 工作區的詳細資訊,請參閱在 Azure 入口網站中建立 Log Analytics 工作區 (機器翻譯)。 如需記錄查詢的詳細資訊,請參閱 Azure 監視器中的記錄查詢概觀

匯入 WAF 記錄

若要將防火牆記錄匯入 Log Analytics,請參閱應用程式閘道的後端健康情況、資源記錄和計量 (機器翻譯)。 Log Analytics 工作區中有防火牆記錄時,您可以檢視資料、寫入查詢、建立視覺效果,並將其新增至入口網站儀表板。

透過範例探索資料

若要檢視防火牆記錄中的未經處理資料,您可以執行以下查詢:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

這看起來會類似以下查詢:

顯示 WAF 記錄分析的螢幕擷取畫面。

您可以向下鑽研資料,並從此處繪製圖表或建立視覺效果。 請參閱下列查詢當作起點:

依 IP 比對/封鎖的要求

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

依 URI 比對/封鎖的要求

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

最符合的規則

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

前五個最符合的規則群組

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

新增至您的儀表板

建立查詢之後,您可以將其新增至儀表板。 選取 Log Analytics 工作區右上角的 [釘選到儀表板]。 將前四個查詢釘選到範例儀表板時,以下是您可一覽的資料:

螢幕擷取畫面顯示您可以新增查詢的 Azure 儀表板。

下一步

應用程式閘道的後端健康情況、資源記錄和計量 (機器翻譯)