Uso de Log Analytics para examinar registros del firewall de aplicaciones web (WAF) de Application Gateway

Artículo
12/22/2023

Una vez que el WAF de Application Gateway está operativo, puede habilitar registros para inspeccionar lo que sucede con cada solicitud. Los registros del firewall proporcionan información sobre lo que el WAF evalúa, empareja y bloquea. Con Log Analytics, puede examinar los datos de los registros del firewall para ofrecer aún más información. Para obtener más información sobre las consultas de registro, vea Análisis de datos de registro en Azure Monitor.

Requisitos previos

Se requiere una cuenta de Azure con una suscripción activa. Si aún no tiene una cuenta, puede crear una de forma gratuita.
Una instancia de Azure Web Application Firewall con registros habilitados. Para más información, consulte Azure Web Application Firewall en Azure Application Gateway.
Un área de trabajo de Log Analytics. Para obtener más información sobre la creación de un área de trabajo de Log Analytics, vea Creación de un área de trabajo de Log Analytics en Azure Portal.

Importar registros de WAF

Para importar registros del firewall en Log Analytics, vea Mantenimiento del back-end, registros de diagnóstico y métricas de Application Gateway. Cuando tenga los registros del firewall en el área de trabajo de Log Analytics, puede ver datos, escribir consultas, crear visualizaciones y agregarlas al panel del portal.

Explorar datos con ejemplos

Para ver los datos sin procesar del registro del firewall, puede ejecutar la consulta siguiente:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

Esto se parece a la siguiente consulta:

Puede explorar en profundidad los datos y trazar gráficos o crear visualizaciones desde aquí. Vea las siguientes consultas como punto de partida:

Solicitudes emparejadas o bloqueadas por IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Solicitudes emparejadas o bloqueadas por URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Principales reglas emparejadas

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Principales cinco grupos de reglas emparejadas

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Agregar al panel

Una vez que se crea una consulta, se puede agregar al panel. Seleccione Anclar al panel en la parte superior derecha del área de trabajo de Log Analytics. Con las cuatro consultas anteriores ancladas a un panel de ejemplo, estos son los datos que se pueden ver de un vistazo:

Screenshot shows an Azure dashboard where you can add your query.

Pasos siguientes

Mantenimiento de back-end, registro de diagnóstico y métricas de Application Gateway