适用于: ✔️应用程序网关
Azure Web 应用程序防火墙 (WAF) 的监视和日志记录功能通过日志记录以及与 Azure Monitor 和 Azure Monitor 日志的集成来提供。
Azure Monitor
WAF 的 Application Gateway 日志已与 Azure Monitor 集成。 通过 Azure Monitor,可以跟踪诊断信息,包括 WAF 警报和日志。 可以在应用程序网关资源内配置 WAF 监视,方法是使用门户中的“诊断”选项卡,或直接使用 Azure Monitor 服务。
日志和诊断
带应用程序网关的 WAF 提供有关检测到的每个威胁的详细报告。 日志记录与 Azure 诊断日志集成,并且警报以 JSON 格式记录。 这些日志可与 Azure Monitor 日志 集成。
有关诊断日志的详细信息,请参阅 Application Gateway WAF resource logs。 如果启用日志记录并触发 WAF 规则,则任何匹配模式都会以纯文本形式记录,以帮助你分析和调试 WAF 策略行为。 可以使用排除项微调规则,并排除要从日志中排除的任何数据。 有关详细信息,请参阅 Azure 应用程序网关中的 Web 应用程序防火墙排除列表。
应用程序网关 WAF v2 指标
新的 WAF 指标仅适用于 Core Rule Set 3.2 或更高版本,也可以与机器人防护和地区筛选配合使用。 可以在支持的维度上进一步筛选指标。
| 指标 | 说明 | 维度 |
|---|---|---|
| WAF 总请求数 | WAF 引擎已处理的成功请求数 | 操作、国家/地区、方法、模式、策略名称、策略范围 |
| WAF 托管规则匹配 | 托管规则匹配总数 | 操作、国家/地区、模式、策略名称、策略范围、规则组、规则 ID、规则集名称 |
| WAF 自定义规则匹配次数 | 自定义规则匹配数 | 操作、国家/地区、模式、策略名称、策略范围、规则名称 |
| WAF 机器人防护匹配1 | 来自恶意 IP 地址且被阻止或记录的机器人防护规则匹配总数。 这些 IP 地址来自 Microsoft 威胁情报源。 | 操作、国家/地区、机器人类型、模式、策略名称、策略范围 |
| WAF JS 验证请求次数3 | 统计匹配到 JS 挑战 WAF 规则的请求数量。 | 操作, 策略名称, 策略范围, 规则2 |
1 仅 Bot Manager 规则集 0.1 将显示在“WAF 机器人防护匹配项”下。 与机器人管理器规则集 1.0 匹配的请求将增加“WAF 总请求数”指标,而不是“WAF 机器人防护匹配数”。
2 自定义规则的规则名称,以及 Bot Manager 规则集的规则 ID。
3 容器应用程序网关 WAF 不支持 JavaScript 挑战。
有关应用程序网关 V2 SKU 支持的指标,请参阅 应用程序网关 V2 指标
应用程序网关 WAF v1 指标
| 指标 | 说明 | 维度 |
|---|---|---|
| Web 应用程序防火墙拦截请求数量 | WAF 引擎已阻止的请求总数 | |
| Web 应用程序防火墙阻止的请求分布 | 按规则组和规则 ID 划分的被阻止请求命中规则总数分布 | 规则组,规则标识 |
| Web 应用程序防火墙规则分发总数 | 按规则组和规则 ID 分布的已匹配请求总数 | 规则组、规则 ID |
有关 Application Gateway V1 SKU 支持的指标,请参阅 Application Gateway v1 指标
在 Azure 门户中访问 WAF 指标
在 Azure 门户菜单中,选择所有资源>><your-Application-Gateway-profile>。
在“监视”下,选择“指标”:
在“指标”中,选择要添加的指标:
选择“添加筛选器”以添加筛选器:
选择“新建图表”以添加新图表
在 Azure 门户中配置警报
通过选择 监视>>警报,在 Azure 应用程序网关上设置警报。
为“指标”部分中列出的指标选择“新建警报规则”。
警报将按照 Azure Monitor 的计费方式收费。 有关警报的详细信息,请参阅 Azure Monitor 警报。
后续步骤
- 了解Web 应用程序防火墙。
- 了解Web 应用程序防火墙日志。