Condividi tramite

Usare Log Analytics per esaminare i log di Web application firewall (WAF) del gateway applicazione

  • Articolo

Quando il WAF del gateway applicazione è operativo, è possibile abilitare i log per controllare cosa accade con ogni richiesta. I log del firewall forniscono informazioni dettagliate sulle valutazioni, la corrispondenza e il blocco del WAF. Con Log Analytics di Monitoraggio di Azure è possibile esaminare i dati all'interno dei log del firewall per ottenere ancora più informazioni. Per altre informazioni sulla creazione di un'area di lavoro Log Analytics, vedere Creare un'area di lavoro Log Analytics nel portale di Azure. Per altre informazioni sulle query di log, vedere Panoramica delle query di log in Monitoraggio di Azure.

Importare i log WAF

Per importare i log del firewall in Log Analytics, vedere integrità back-end, log di risorse e metriche per il gateway applicazione. Quando si hanno dei log del firewall nell'area di lavoro Log Analytics, è possibile visualizzare i dati, scrivere query, creare visualizzazioni e aggiungerli alla dashboard del portale.

Esplorare i dati con esempi

Per visualizzare i dati non elaborati nel log del firewall, è possibile eseguire la query seguente:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

L'aspetto sarà simile alla query seguente:

Screenshot che mostra l'analisi dei log WAF.

È possibile eseguire il drill-down dei dati e tracciare grafici o creare visualizzazioni da qui. Considerare le query seguenti come punto di partenza:

Richieste corrispondenti/bloccate per IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Richieste corrispondenti/bloccate per URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Regole corrispondenti principali

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Primi cinque gruppi di regole corrispondenti

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Aggiungere alla dashboard

Dopo aver creato una query, è possibile aggiungerla alla dashboard. Selezionare il Aggiungi alla dashboard in alto a destra nell'area di lavoro Log Analytics. Con le quattro query precedenti aggiunte a una dashboard di esempio, questi sono i dati che è possibile visualizzare a prima vista:

Screenshot che mostra un dashboard di Azure in cui è possibile aggiungere la query.

Passaggi successivi

Integrità back-end, log delle risorse e metriche per il gateway applicazione