Журналы диагностики для Шлюза приложений

Шлюз приложений журналы предоставляют подробные сведения о событиях, связанных с ресурсом и его операциями. Эти журналы доступны для таких событий, как Access, Activity, Firewall и Performance (только для версии 1). Подробные сведения в журналах полезны при устранении неполадок или создании панели мониторинга аналитики путем использования этих необработанных данных.

Журналы доступны для всех ресурсов Шлюз приложений; однако для их использования необходимо включить их коллекцию в выбранном расположении хранилища. Вход в Шлюз приложений Azure включен службой Azure Monitor. Рекомендуется использовать рабочую область Log Analytics, так как можно легко использовать предопределенные запросы и задавать оповещения на основе определенных условий журнала.

Типы журналов ресурсов

В Azure можно использовать различные виды журналов для управления шлюзами приложений и устранения возникающих в них неполадок.

Примечание.

Журналы доступны только для ресурсов, развернутых в модели развертывания с помощью Azure Resource Manager. Журналы нельзя использовать для ресурсов в классической модели развертывания. Чтобы получить более полное представление об этих двух моделях, см. статью Развертывание с помощью Azure Resource Manager и классическое развертывание: сведения о моделях развертывания и состоянии ресурсов.

Примеры оптимизации журналов доступа с помощью преобразований рабочей области

Пример 1. Выборочная проекция столбцов. Представьте, что у вас есть журналы доступа шлюза приложений с 20 столбцами, но вы заинтересованы в анализе данных только из 6 определенных столбцов. С помощью преобразования рабочей области можно проецирование этих 6 столбцов в рабочую область, эффективно исключая другие 14 столбцов. Несмотря на то что исходные данные из этих исключенных столбцов не будут храниться, пустые заполнители для них по-прежнему отображаются в колонке "Журналы". Этот подход оптимизирует хранение и гарантирует, что для анализа хранятся только соответствующие данные.

Примечание.

В колонке "Журналы" при выборе параметра Try New Log Analytics можно больше контролировать столбцы, отображаемые в пользовательском интерфейсе.

Пример 2. Фокусирование на определенных кодах состояния: при анализе журналов доступа вместо обработки всех записей журнала можно написать запрос, чтобы получить только строки с определенными кодами состояния HTTP (например, 4xx и 5xx). Так как большинство запросов в идеале попадают под категории 2xx и 3xx (представляющих успешные ответы), фокус на коды проблемных состояний сужает набор данных. Этот целевой подход позволяет извлекать наиболее релевантную и действимую информацию, что делает ее полезной и экономичной.

Рекомендуемая стратегия перехода из диагностики Azure в определенную таблицу ресурсов:

  1. Оценка текущего хранения данных. Определите длительность, в течение которой данные хранятся в таблице диагностика Azure (например, предположим, что таблица диагностика сохраняет данные в течение 15 дней).
  2. Установка хранения для конкретного ресурса. Реализуйте новый параметр диагностики с конкретной таблицей ресурсов.
  3. Параллельная сбор данных. Для временного периода одновременно собирают данные как в Диагностика Azure, так и в параметрах, относящихся к ресурсу.
  4. Подтвердите точность данных: убедитесь, что сбор данных является точным и согласованным в обоих параметрах.
  5. Удалите параметр диагностика Azure: удалите параметр диагностики Azure, чтобы предотвратить повторную сбор данных.

Другие расположения хранилища:

  • служба хранилища Azure учетная запись. Учетные записи хранения лучше всего использовать для журналов, когда журналы хранятся в течение длительного времени и проверяются при необходимости.
  • Центры событий Azure. Центры событий — отличный вариант интеграции с другими средствами управления сведениями о безопасности и событиями (SIEM) для получения оповещений о ресурсах.
  • Интеграция партнеров Azure Monitor.

Дополнительные сведения о назначениях параметров диагностики Azure Monitor.

Включение ведения журнала с помощью PowerShell

Ведение журнала действий автоматически включается для каждого ресурса Resource Manager. Нужно включить ведение журналов доступа и производительности, чтобы начать сбор связанных данных. Вот как можно включить ведение журнала:

  1. Запишите или запомните ИД ресурса учетной записи хранения, где хранятся данные журнала, в формате: /subscriptions/<идентификатор_подписки>/resourceGroups/<имя_группы_ресурсов>/providers/Microsoft.Storage/storageAccounts/<имя_учетной_записи_хранения>. Можно использовать любую учетную запись хранения в подписке. Получить эти сведения можно на портале Azure.

    Снимок экрана: конечные точки учетной записи хранения

  2. Запишите или запомните идентификатор ресурса шлюза приложений, для которого нужно включить ведение журнала. в формате: /subscriptions/<идентификатор_подписки>/resourceGroups/<имя_группы_ресурсов>/providers/Microsoft.Network/applicationGateways/<имя_шлюза_приложений>. Получить эти сведения можно на портале.

    Снимок экрана: свойства шлюза приложений

  3. Включите ведение журнала диагностики с помощью следующего командлета PowerShell:

    Set-AzDiagnosticSetting  -ResourceId /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/applicationGateways/<application gateway name> -StorageAccountId /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> -Enabled $true     
    

Совет

Для журналов действий отдельная учетная запись хранения не требуется. За использование хранилища для журналов доступа и производительности взимается плата.

Включение ведения журнала на портале Azure

  1. На портале Azure найдите нужный ресурс и выберите Параметры диагностики.

    Для шлюза приложений доступны три журнала:

    • журнал доступа;
    • журнал производительности;
    • журнал брандмауэра.
  2. Чтобы начать сбор данных, нажмите Включить диагностику.

    Включение диагностики

  3. На странице Параметры диагностики представлены параметры журналов диагностики. В этом примере для хранения журналов используется Log Analytics. хранения журналов диагностики можно также использовать концентраторы событий и учетную запись хранения.

    Начало процесса настройки

  4. Введите имя для параметров, подтвердите их и нажмите Сохранить.

Сведения о просмотре и анализе данных журнала действий см. в статье "Анализ данных мониторинга".

Просмотр и анализ журналов доступа, производительности и брандмауэра

Журналы Azure Monitor позволяют собирать файлы журналов счетчиков и событий из вашей учетной записи хранилища BLOB-объектов. Дополнительные сведения см. в разделе "Анализ данных мониторинга".

Вы также можете подключиться к учетной записи хранения и извлечь записи журнала JSON для журналов доступа и производительности. После скачивания JSON-файлов их можно преобразовать в формат CSV и просматривать в Excel, Power BI или другом средстве визуализации данных.

Совет

Если вы знакомы с Visual Studio и основными понятиями изменения значений констант и переменных в C#, то можете использовать инструменты преобразования журналов, доступные на сайте GitHub.

Следующие шаги