Compartir a través de


Uso de Log Analytics para examinar los registros de Application Gateway

Resumen

Cuando su Application Gateway está funcionando, puede habilitar los registros para inspeccionar los eventos que ocurren para su recurso. Por ejemplo, los registros del firewall de Application Gateway proporcionan información sobre lo que el firewall de aplicaciones web (WAF) está evaluando, comparando y bloqueando. Mediante Log Analytics, puede examinar los datos dentro de los registros de firewall para obtener aún más información. Para obtener más información sobre las consultas de registro, consulte Información general de las consultas de registro en Azure Monitor.

En este artículo, obtendrá información sobre los registros de Firewall de aplicaciones web (WAF). Puede configurar otros registros de Application Gateway de forma similar.

Prerrequisitos

Envío de registros

Para exportar los registros del firewall a Log Analytics, consulte Registros de Diagnóstico para Application Gateway. Cuando tenga los registros de firewall en el área de trabajo de Log Analytics, puede ver datos, escribir consultas, crear visualizaciones y agregarlos al panel del portal.

Explorar datos con ejemplos

Al usar la tabla AzureDiagnostics, visualice los datos sin procesar en el registro del firewall ejecutando la siguiente consulta:

AzureDiagnostics 
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| limit 10

Esta consulta es similar a la siguiente:

Captura de pantalla de la consulta de Log Analytics.

Al usar la tabla específica del recurso, vea los datos sin procesar en el log de firewall ejecutando la siguiente consulta. Para obtener información sobre las tablas específicas del recurso, consulte Referencia de datos de supervisión.

AGWFirewallLogs
| limit 10

Puede explorar en profundidad los datos y trazar gráficos o crear visualizaciones desde aquí. En los ejemplos siguientes se muestran las consultas de AzureDiagnostics que puede usar.

Solicitudes coincidentes o bloqueadas por IP

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Solicitudes coincidentes o bloqueadas por URI

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by requestUri_s, bin(TimeGenerated, 1m)
| render timechart

Principales reglas coincidentes

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by ruleId_s, bin(TimeGenerated, 1m)
| where count_ > 10
| render timechart

Principales cinco grupos de reglas emparejadas

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize Count=count() by details_file_s, action_s
| top 5 by Count desc
| render piechart

Añadir al panel de control

Después de crear una consulta, agréguela al panel. Seleccione Anclar al panel en el área de trabajo de Análisis de Registros. Al anclar las cuatro consultas anteriores a un panel de ejemplo, verá estos datos de un vistazo:

Captura de pantalla que muestra un panel de Azure donde puede agregar la consulta.

Pasos siguientes

Salud del back-end, registro de diagnóstico y métricas para Application Gateway