Surveillance et journalisation du WAF (Azure Web Application Firewall)

La surveillance et la journalisation du pare-feu d’applications web (WAF) Azure sont fournies via la journalisation et l’intégration avec Azure Monitor et les journaux Azure Monitor.

Azure Monitor

Le WAF avec le journal d’Application Gateway est intégré avec Azure Monitor. Azure Monitor vous permet d’effectuer le suivi des informations de diagnostic, y compris des alertes et des journaux WAF. Vous pouvez configurer la surveillance du WAF dans la ressource Application Gateway sur le portail sous l’onglet Diagnostics ou directement via le service Azure Monitor.

Journaux et diagnostics

Le WAF avec Application Gateway fournit des rapports détaillés sur chaque menace détectée. La journalisation est intégrée aux journaux Diagnostics Azure et les alertes sont enregistrées au format json. Ces journaux d’activité peuvent être intégrés aux journaux d’activité Azure Monitor.

WAFDiag

Pour plus d’informations sur les journaux de diagnostic, consultez Journaux de ressources du WAF d’Application Gateway. Si la journalisation est activée et qu’une règle WAF est déclenchée, tous les modèles correspondants sont enregistrés en texte brut pour vous aider à analyser et à déboguer le comportement de la stratégie WAF. Vous pouvez utiliser des exclusions pour affiner les règles et exclure toutes les données que vous souhaitez exclure des journaux. Pour plus d’informations, consultez Listes d’exclusion du pare-feu d’applications web dans Azure Application Gateway.

Métriques du WAF d’Application Gateway v2

Les nouvelles métriques du WAF sont uniquement disponibles pour l’ensemble de règles de base version 3.2 ou supérieure, ou avec la protection bot et le filtrage géographique. Les métriques peuvent être filtrées davantage sur les dimensions prises en charge.

Métriques Description Dimension
Total des demandes du WAF Nombre de demandes réussies servies par le moteur du WAF Action, Pays/Région, Méthode, Mode, Nom de stratégie, Étendue de la stratégie
Correspondances de règle managée du WAF Nombre total de correspondances de règles managées Action, Pays/Région, Mode, Nom de stratégie, Étendue de la stratégie, Groupe de règles, ID de règle, Nom de l’ensemble de règles
Correspondances de règle personnalisée du WAF Nombre de correspondances de règles personnalisées Action, Pays/Région, Mode, Nom de stratégie, Étendue de la stratégie, Nom de règle
Correspondances de protection du bot WAF1 Nombre total de correspondances de règles de protection bot qui ont été bloquées ou journalisées à partir d’adresses IP malveillantes. Ces adresses IP proviennent du flux Microsoft Threat Intelligence. Action, Pays/Région, Type de bot, Mode, Nom de stratégie, Étendue de la stratégie
Nombre de requêtes de défi JS WAF Comptez le nombre de requêtes qui correspondent aux règles WAF du défi JS. Action, nom de stratégie, étendue de stratégie, règle2

1 Seul l’ensemble de règles Bot Manager 0.1 s’affiche sous « Correspondances de protection du bot WAF ». Les demandes correspondant à l’ensemble de règles Bot Manager 1.0 augmentent les métriques « Nombre total de demandes WAF », et non les « correspondances de protection du bot WAF ».

2 Nom de règle pour les règles personnalisées et ID de règle pour l’ensemble de règles Bot Manager.

Pour les métriques prises en charge par Application Gateway référence SKU V2, consultez Métriques d’Application Gateway v2

Métriques du WAF d’Application Gateway v1

Métriques Description Dimension
Nombre de demandes bloquées par le pare-feu d’applications web Nombre total de demandes qui ont été bloquées par le moteur du WAF
Distribution des règles de demandes bloquées par le pare-feu d’applications web Nombre total de règles de distribution des correspondances pour les demandes bloquées par groupe de règles et ID de règle Groupe de règles, ID de règle
Distribution totale des règles du pare-feu d’applications web Distribution du nombre total de demandes correspondantes par groupe de règles et ID de règle Groupe de règles, ID de règle

Pour les métriques prises en charge par Application Gateway référence SKU V1, consultez Métriques d’Application Gateway v1

Accéder aux métriques du WAF dans le portail Azure

  1. Dans le menu du portail Azure, sélectionnez Toutes les ressources>><votre-profil-Application-Gateway>.

  2. Sous Supervision, sélectionnez Métriques :

  3. Dans Métriques, sélectionnez la métrique à ajouter :

    Capture d’écran de la page des métriques WAF.

  4. Sélectionnez Ajouter un filtre pour ajouter un filtre :

    Capture d’écran de l’ajout de filtres aux métriques.

  5. Sélectionnez Nouveau graphique pour ajouter un nouveau graphique

Configurer des alertes dans le portail Azure

  1. Configurez des alertes sur Azure Application Gateway en sélectionnant Surveillance>>Alertes.

  2. Sélectionnez Nouvelle règle d’alerte pour les métriques listées dans la section Métriques.

L’alerte sera facturée conformément à Azure Monitor. Pour plus d’informations sur les alertes, consultez Alertes Azure Monitor.

Étapes suivantes