Überwachung und Protokollierung von Azure Web Application Firewall

Überwachung und Protokollierung von Azure Web Application Firewall (WAF) werden mittels Protokollierung und Integration in Azure Monitor und Azure Monitor-Protokolle ermöglicht.

Azure Monitor

WAF mit Application Gateway ist in Azure Monitor integriert. Über Azure Monitor können Sie Diagnoseinformationen einschließlich WAF-Warnungen und -Protokolle nachverfolgen. Sie können die WAF-Überwachung in der Application Gateway-Ressource-Ressource im Portal auf der Registerkarte Diagnose oder direkt über den Azure Monitor-Dienst konfigurieren.

Protokolle und Diagnose

WAF mit Application Gateway bietet detaillierte Berichte zu jeder erkannten Bedrohung. Die Protokollierung ist in Azure Diagnostics-Protokolle integriert, und Warnungen werden in einem JSON-Format erfasst. Diese Protokolle können in Azure Monitor-Protokolle integriert werden.

WAFDiag

Weitere Informationen zu Diagnoseprotokollen finden Sie unter Application Gateway WAF-Ressourcenprotokolle. Wenn die Protokollierung aktiviert ist und eine WAF-Regel ausgelöst wird, werden alle übereinstimmenden Muster im Klartext protokolliert, damit Sie das Verhalten der WAF-Richtlinie analysieren und debuggen können. Mithilfe von Ausschlüssen können Sie Regeln optimieren, indem Sie alle Daten ausschließen, die nicht in die Protokolle einfließen sollen. Weitere Informationen finden Sie unter Web Application Firewall (WAF) mit Ausschlusslisten in Azure Application Gateway.

Application Gateway WAF V2-Metriken

Neue WAF-Metriken sind nur für Core Rule Set 3.2 oder höher oder mit Bot-Schutz und Geofilterung verfügbar. Die Metriken können nach den unterstützten Dimensionen weiter gefiltert werden.

Metriken Beschreibung Dimension
WAF Total Requests Anzahl der erfolgreichen Anforderungen, die von der WAF-Engine bedient wurden Aktion, Land/Region, Methode, Modus, Richtlinienname, Richtlinienbereich
WAF Managed Rule Matches Gesamtanzahl verwalteter Regelübereinstimmungen Aktion, Land/Region, Modus, Richtlinienname, Richtlinienbereich, Regelgruppe, Regel-ID, Regelsatzname
WAF Custom Rule Matches Anzahl benutzerdefinierter Regelübereinstimmungen Aktion, Land/Region, Modus, Richtlinienname, Richtlinienbereich, Regelname
WAF-Bot-Schutzübereinstimmungen1 Die Gesamtanzahl der Übereinstimmungen von Bot-Schutzregeln von schädlichen IP-Adressen, die gesperrt oder protokolliert wurden. Die IP-Adressen stammen aus dem Microsoft Threat Intelligence-Feed. Aktion, Land/Region, Bottyp, Modus, Richtlinienname, Richtlinienbereich
JS Challenge Request Count von WAF Zählen der Anzahl der Anforderungen, die mit den WAF-Regeln der JS-Überprüfung übereinstimmen. Aktion, Richtlinienname, Richtlinienbereich, Regel2

1 Nur Bot Manager-Regelsatz 0.1 wird unter „WAF-Bot-Schutzübereinstimmungen“ angezeigt. Anfragen, die dem Bot Manager-Regelsatz 1.0 entsprechen, erhöhen die Metriken für „WAF-Gesamtanfragen“ und nicht die „WAF-Bot-Schutzübereinstimmungen".

2 Regelname für benutzerdefinierte Regeln und Regel-ID für den Bot Manager-Regelsatz.

Informationen zu Metriken, die von Application Gateway V2 SKU unterstützt werden, finden Sie unter Application Gateway v2-Metriken.

Application Gateway WAF V1-Metriken

Metriken Beschreibung Dimension
Anzahl der von Web Application Firewall blockierten Anforderungen Gesamtanzahl der Anforderungen, die von der WAF-Engine blockiert wurden
Verteilung der von Web Application Firewall blockierten Anforderungen Gesamtanzahl der Regeltreffer – Verteilung für die blockierten Anforderungen nach Regelgruppe und Regel-ID Regelgruppe, Regel-ID
Gesamtregelverteilung in Web Application Firewall Gesamtanzahl der übereinstimmenden Anforderungen – Verteilung nach Regelgruppe und Regel-ID Regelgruppe, Regel-ID

Informationen zu Metriken, die von Application Gateway V1 SKU unterstützt werden, finden Sie unter Application Gateway v1-Metriken.

Zugreifen auf WAF-Metriken im Azure-Portal

  1. Wählen Sie im Menü des Azure-Portals Alle Ressourcen>><Ihr-Applicatin Gateway-Profil>> aus.

  2. Wählen Sie unter Überwachung die Option Metriken aus:

  3. Wählen Sie in Metriken die hinzuzufügende Metrik aus:

    Screenshot: Seite mit WAF-Metriken

  4. Wählen Sie Filter hinzufügen aus, um einen Filter hinzuzufügen:

    Screenshot: Hinzufügen von Filtern zu Metriken

  5. Wählen Sie „Neues Diagramm“ aus, um ein neues Diagramm hinzuzufügen

Konfigurieren von Warnungen im Azure-Portal

  1. Richten Sie Warnungen im Azure Application Gateway ein, indem Sie Überwachung>>Warnungen auswählen.

  2. Wählen Sie Neue Warnungsregel für die im Abschnitt „Metriken“ aufgeführten Metriken aus.

Die Warnung wird basierend auf Azure Monitor abgerechnet. Weitere Informationen zu Warnungen finden Sie unter Azure Monitor-Warnungen.

Nächste Schritte