Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zusammenfassung
Sobald Ihr Application Gateway betriebsbereit ist, können Sie Protokolle aktivieren, um die Ereignisse zu untersuchen, die für Ihre Ressource auftreten. Beispielsweise geben die Protokolle der Anwendungsgateway-Firewall Einblicke in das, was die Web Application Firewall (WAF) bewertet, Übereinstimmungen findet und blockiert. Mit Log Analytics können Sie die Daten in den Firewallprotokollen untersuchen, um noch mehr Einblicke zu geben. Weitere Informationen zu Protokollabfragen finden Sie unter Overview of log queries in Azure Monitor.
In diesem Artikel sehen wir uns die Web Application Firewall (WAF)-Protokolle an. Sie können andere Application Gateway-Protokolle auf ähnliche Art und Weise einrichten.
Voraussetzungen
- Ein Azure Konto mit einem aktiven Abonnement ist erforderlich. Wenn Sie noch kein Konto haben, können Sie kostenlos ein Konto erstellen.
- Eine Azure Application Gateway WAK SKU. Weitere Informationen finden Sie unter Azure Web Application Firewall zu Azure Application Gateway.
- Ein Log Analytics Arbeitsbereich. Weitere Informationen zum Erstellen eines Log Analytics-Arbeitsbereichs finden Sie unter Create a Log Analytics workspace in the Azure portal.
Senden von Protokollen
Informationen zum Exportieren ihrer Firewallprotokolle in Log Analytics finden Sie unter Diagnostische Protokolle für das Anwendungsgateway. Wenn Sie über die Firewallprotokolle in Ihrem Log Analytics Arbeitsbereich verfügen, können Sie Daten anzeigen, Abfragen schreiben, Visualisierungen erstellen und dem Portaldashboard hinzufügen.
Erkunden von Daten anhand von Beispielen
Wenn Sie die Tabelle AzureDiagnostics verwenden, können Sie die Rohdaten im Firewallprotokoll anzeigen, indem Sie die folgende Abfrage ausführen:
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| limit 10
Dies sieht ähnlich wie die folgende Abfrage aus:
Wenn Sie die ressourcenspezifische Tabelle verwenden, können Sie die Rohdaten im Firewallprotokoll anzeigen, indem Sie die folgende Abfrage ausführen. Informationen zu den ressourcenspezifischen Tabellen finden Sie unter Überwachungsdatenreferenz.
AGWFirewallLogs
| limit 10
Von hier aus können Sie einen Drilldown für die Daten durchführen und Grafiken oder Visualisierungen erstellen. Hier sind einige weitere Beispiele für AzureDiagnostics-Abfragen, die Sie verwenden können.
Anforderungen nach IP-Adresse abgeglichen/blockiert
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart
Durch URI abgeglichene/blockierte Anforderungen
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart
Top-entsprechende Regeln
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart
Die ersten fünf übereinstimmenden Regelgruppen
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart
Hinzufügen zum Dashboard
Nachdem Sie eine Abfrage erstellt haben, können Sie sie zu Ihrem Dashboard hinzufügen. Wählen Sie An Dashboard anheften in der oberen rechten Ecke des Log Analytics-Arbeitsbereichs aus. Wenn die vorherigen vier Abfragen an ein Beispieldashboard angeheftet sind, sind dies die Daten, die Sie auf einen Blick sehen können:
Nächste Schritte
Backend-Integrität, Diagnoseprotokolle und Metriken des Application Gateways