Używanie usługi Log Analytics do sprawdzania dzienników zapory aplikacji internetowej usługi Application Gateway

Artykuł
10/24/2023

Gdy zapora aplikacji internetowej usługi Application Gateway działa, możesz włączyć dzienniki, aby sprawdzić, co się dzieje z każdym żądaniem. Dzienniki zapory zapewniają wgląd w to, co zapora aplikacji internetowej ocenia, dopasowuje i blokuje. Za pomocą usługi Log Analytics możesz badać dane w dziennikach zapory, aby uzyskać jeszcze więcej szczegółowych informacji. Aby uzyskać więcej informacji na temat zapytań dzienników, zobacz Omówienie zapytań dzienników w usłudze Azure Monitor.

Wymagania wstępne

Wymagane jest konto platformy Azure z aktywną subskrypcją. Jeśli nie masz jeszcze konta, możesz bezpłatnie utworzyć konto.
Zapora aplikacji internetowej platformy Azure z włączonymi dziennikami. Aby uzyskać więcej informacji, zobacz Azure Web Application Firewall on aplikacja systemu Azure Gateway (Zapora aplikacji internetowej platformy Azure w usłudze aplikacja systemu Azure Gateway).
Obszar roboczy usługi Log Analytics. Aby uzyskać więcej informacji na temat tworzenia obszaru roboczego usługi Log Analytics, zobacz Tworzenie obszaru roboczego usługi Log Analytics w witrynie Azure Portal.

Importowanie dzienników zapory aplikacji internetowej

Aby zaimportować dzienniki zapory do usługi Log Analytics, zobacz Kondycja zaplecza, dzienniki diagnostyczne i metryki dla usługi Application Gateway. Jeśli masz dzienniki zapory w obszarze roboczym usługi Log Analytics, możesz wyświetlać dane, zapisywać zapytania, tworzyć wizualizacje i dodawać je do pulpitu nawigacyjnego portalu.

Eksplorowanie danych przy użyciu przykładów

Aby wyświetlić nieprzetworzone dane w dzienniku zapory, możesz uruchomić następujące zapytanie:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

Wygląda to podobnie do następującego zapytania:

Możesz przejść do szczegółów danych i wykreślić wykresy lub utworzyć wizualizacje z tego miejsca. Zobacz następujące zapytania jako punkt wyjścia:

Dopasowane/zablokowane żądania według adresu IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Dopasowane/zablokowane żądania według identyfikatora URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Najważniejsze dopasowane reguły

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Pięć pierwszych pasowanych grup reguł

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Dodawanie do pulpitu nawigacyjnego

Po utworzeniu zapytania możesz dodać je do pulpitu nawigacyjnego. Wybierz pulpit nawigacyjny Przypnij do pulpitu nawigacyjnego w prawym górnym rogu obszaru roboczego usługi Log Analytics. Po przypiętych czterech poprzednich zapytaniach do przykładowego pulpitu nawigacyjnego są to dane, które można zobaczyć na pierwszy rzut oka:

Screenshot shows an Azure dashboard where you can add your query.

Następne kroki

Kondycja zaplecza, dzienniki diagnostyczne i metryki dla usługi Application Gateway