Usare Log Analytics per esaminare i log del gateway applicazione
Quando il gateway applicazione è operativo, è possibile abilitare i log per controllare gli eventi che si verificano nella risorsa. Ad esempio, i log del firewall del gateway applicazione forniscono informazioni dettagliate sul web application firewall (WAF) che valuta, confronta e blocca. Con Log Analytics è possibile esaminare i dati all'interno dei log del firewall per ottenere ancora più informazioni. Per altre informazioni sulle query di log, vedere Panoramica delle query di log in Monitoraggio di Azure.
In questo articolo verranno esaminati i log di Web Application Firewall (WAF). È possibile configurare altri log del gateway applicazione in modo analogo.
Prerequisiti
- È richiesto un account Azure con una sottoscrizione attiva. Se non si ha già un account, è possibile creare un account gratuitamente.
- Una SKU WAK del gateway applicazione di Azure. Per altre informazioni, vedere Web application firewall di Azure nel gateway applicazione di Azure.
- Un'area di lavoro Log Analytics. Per altre informazioni sulla creazione di un'area di lavoro Log Analytics, vedere Creare un'area di lavoro Log Analytics nel portale di Azure.
Invio di log
Per esportare i log del firewall in Log Analytics, vedi Log di diagnostica per il gateway applicazione. Quando si hanno dei log del firewall nell'area di lavoro Log Analytics, è possibile visualizzare i dati, scrivere query, creare visualizzazioni e aggiungerli alla dashboard del portale.
Esplorare i dati con esempi
Quando si usa la tabella AzureDiagnostics, è possibile visualizzare i dati non elaborati nel log del firewall eseguendo la query seguente:
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| limit 10
Questo è simile alla query seguente:
Quando si usa la tabella specifica della risorsa, è possibile visualizzare i dati non elaborati nel log del firewall eseguendo la query seguente. Per informazioni sulle tabelle specifiche delle risorse, visitare Riferimento ai dati di monitoraggio.
AGWFirewallLogs
| limit 10
È possibile eseguire il drill-down dei dati e tracciare grafici o creare visualizzazioni da qui. Di seguito sono riportati altri esempi di query di AzureDiagnostics che è possibile usare.
Richieste corrispondenti/bloccate per IP
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart
Richieste corrispondenti/bloccate per URI
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart
Regole corrispondenti principali
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart
Primi cinque gruppi di regole corrispondenti
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart
Aggiungere alla dashboard
Dopo aver creato una query, è possibile aggiungerla alla dashboard. Selezionare il Aggiungi alla dashboard in alto a destra nell'area di lavoro Log Analytics. Con le quattro query precedenti aggiunte a una dashboard di esempio, questi sono i dati che è possibile visualizzare a prima vista:
Passaggi successivi
Integrità di back-end, log di diagnostica e metriche per il gateway applicazione