Usar o Log Analytics para examinar os logs de WAF (Firewall de Aplicativo Web) do Gateway de Aplicativo

  • Artigo

Depois que o WAF do Gateway de Aplicativo estiver operacional, você poderá habilitar os logs para inspecionar o que está acontecendo com cada solicitação. Os logs de firewall fornecem insights sobre o que o WAF está avaliando, correspondendo e bloqueando. Com o Log Analytics do Azure Monitor, você pode examinar os dados nos logs do firewall para fornecer ainda mais insights. Para mais informações sobre como criar o workspace do Log Analytics, confira Criar um workspace do Log Analytics no portal do Azure. Para obter mais informações sobre consultas de log, confira Visão geral de consultas de log no Azure Monitor.

Importar logs do WAF

Para importar os logs de firewall no Log Analytics, confira Integridade de back-end, logs de recursos e métricas para o Gateway de Aplicativo. Quando você tiver os logs de firewall em seu workspace do Log Analytics, poderá ver dados, gravar consultas, criar visualizações e adicioná-las ao painel do portal.

Explorar dados com exemplos

Para ver os dados brutos no log do firewall, você pode executar a seguinte consulta:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"

Isso parecerá com a seguinte consulta:

Captura de tela que mostra a análise de logs do WAF.

Você pode fazer busca detalhada nos dados e plotar grafos ou criar visualizações aqui. Veja as seguintes consultas como um ponto de partida:

Solicitações de correspondência/bloqueadas por IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Solicitações de correspondência/bloqueadas por URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Principais regras de correspondência

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Cinco principais grupos de regras de correspondência

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Adicionar ao seu painel

Depois de criar uma consulta, você pode adicioná-la ao seu painel. Selecione Fixar no painel no canto superior direito do workspace do Log Analytics. Com as quatro consultas anteriores fixadas em um painel de exemplo, esses são os dados que você pode ver rapidamente:

A captura de tela mostra um painel do Azure no qual você pode adicionar sua consulta.

Próximas etapas

Integridade de back-end, logs de diagnóstico e métricas para o Gateway de Aplicativo