Usar o Log Analytics para examinar os logs do Application Gateway
Quando o Application Gateway estiver operacional, você poderá habilitar os logs para inspecionar os eventos que ocorrem para seu recurso. Por exemplo, os logs do Application Gateway Firewall fornecem informações sobre o que o Web Application Firewall (WAF) está avaliando, combinando e bloqueando. Com o Log Analytics, pode examinar os dados nos registos da firewall para obter ainda mais informações. Para obter mais informações sobre consultas de log, consulte Visão geral das consultas de log no Azure Monitor.
Neste artigo, examinaremos os logs do Web Application Firewall (WAF). Você pode configurar outros logs do Application Gateway de maneira semelhante.
Pré-requisitos
- É necessária uma conta do Azure com uma subscrição ativa. Se ainda não tiver uma conta, pode criar uma conta gratuitamente.
- Uma SKU WAK do Gateway de Aplicativo do Azure. Para obter mais informações, consulte Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure.
- Uma área de trabalho do Log Analytics. Para obter mais informações sobre como criar um espaço de trabalho do Log Analytics, consulte Criar um espaço de trabalho do Log Analytics no portal do Azure.
Envio de logs
Para exportar os logs do firewall para o Log Analytics, consulte Logs de diagnóstico para o Application Gateway. Quando você tiver os logs do firewall no espaço de trabalho do Log Analytics, poderá exibir dados, escrever consultas, criar visualizações e adicioná-las ao painel do portal.
Explore dados com exemplos
Ao usar a tabela AzureDiagnostics, você pode exibir os dados brutos no log do firewall executando a seguinte consulta:
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| limit 10
Isso é semelhante à seguinte consulta:
Ao usar a tabela específica do recurso, você pode exibir os dados brutos no log do firewall executando a consulta a seguir. Para saber mais sobre as tabelas específicas de recursos, visite Referência de dados de monitoramento.
AGWFirewallLogs
| limit 10
Você pode detalhar os dados e plotar gráficos ou criar visualizações a partir daqui. Aqui estão mais alguns exemplos de consultas AzureDiagnostics que você pode usar.
Solicitações correspondentes/bloqueadas por IP
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart
Solicitações correspondentes/bloqueadas por URI
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart
Principais regras correspondentes
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart
Os cinco principais grupos de regras correspondentes
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart
Adicionar ao seu painel
Depois de criar uma consulta, você pode adicioná-la ao seu painel. Selecione o painel Fixar no canto superior direito do espaço de trabalho de análise de log. Com as quatro consultas anteriores fixadas a um painel de exemplo, estes são os dados que você pode ver rapidamente:
Próximos passos
Backend health, diagnostic logs, and metrics for Application Gateway (Estado de funcionamento do back-end, registos de diagnósticos e métricas do Gateway de Aplicação)