Azure Web 应用程序防火墙监视和日志记录
Azure Web 应用程序防火墙 (WAF) 监视和日志记录通过记录并集成 Azure Monitor 和 Azure Monitor 日志提供。
Azure Monitor
带应用程序网关日志的 WAF 与 Azure Monitor 集成。 通过 Azure Monitor,可以跟踪诊断信息,包括 WAF 警报和日志。 可以在应用程序网关资源内配置 WAF 监视,方法是使用门户中的“诊断”选项卡,或直接使用 Azure Monitor 服务。
日志和诊断
带应用程序网关的 WAF 提供有关检测到的每个威胁的详细报告。 日志记录与 Azure 诊断日志集成,并且警报以 JSON 格式记录。 这些日志可与 Azure Monitor 日志集成。
有关诊断日志的更多信息,请参阅应用程序网关 WAF 资源日志。 如果启用日志记录并触发 WAF 规则,则任何匹配模式都会以纯文本形式记录,以帮助你分析和调试 WAF 策略行为。 可以使用排除项微调规则,并排除要从日志中排除的任何数据。 有关详细信息,请参阅 Web 应用程序防火墙中的 Web 应用程序防火墙排除列表。
应用程序网关 WAF v2 指标
新的 WAF 指标仅适用于 Core Rule Set 3.2 或更高版本,也可以与机器人防护和地区筛选配合使用。 可以在支持的维度上进一步筛选指标。
| 度量值 | 说明 | 维度 |
|---|---|---|
| WAF 总请求数 | WAF 引擎已处理的成功请求数 | 操作、国家/地区、方法、模式、策略名称、策略范围 |
| WAF 托管规则匹配数 | 托管规则匹配总数 | 操作、国家/地区、模式、策略名称、策略范围、规则组、规则 ID、规则集名称 |
| WAF 自定义规则匹配数 | 自定义规则匹配数 | 操作、国家/地区、模式、策略名称、策略范围、规则名称 |
| WAF 机器人防护匹配数1 | 已阻止或记录的来自恶意 IP 地址的机器人防护规则匹配总数。 IP 地址源自 Microsoft 威胁智能源。 | 操作、国家/地区、机器人类型、模式、策略名称、策略范围 |
1 只有机器人管理器规则集 0.1 才会在“WAF 机器人防护匹配数”下显示。 与机器人管理器规则集 1.0 匹配的请求将增加“WAF 总请求数”指标,而不是“WAF 机器人防护匹配数”。
有关应用程序网关 V2 SKU 支持的指标,请参阅应用程序网关 V2 指标
应用程序网关 WAF v1 指标
| 度量值 | 说明 | 维度 |
|---|---|---|
| Web 应用程序防火墙阻止的请求计数 | WAF 引擎已阻止的请求总数 | |
| Web 应用程序防火墙阻止的请求分发 | 按规则组和规则 ID 分布的已阻止请求的已命中规则总数 | 规则组、规则 ID |
| Web 应用程序防火墙规则分发总数 | 按规则组和规则 ID 分布的已匹配请求总数 | 规则组、规则 ID |
有关应用程序网关 V1 SKU 支持的指标,请参阅应用程序网关 V1 指标
在 Azure 门户中访问 WAF 指标
在 Azure 门户菜单中,选择“所有资源”>><your-Application-Gateway-profile>。
在“监视”下,选择“指标”:
在“指标”中,选择要添加的指标:
选择“添加筛选器”以添加筛选器:
选择“新建图表”以添加新图表
在 Azure 门户中配置警报
通过选择“监视”>>“警报”,设置 Azure 应用程序网关上的警报。
为“指标”部分中列出的指标选择“新建警报规则”。
警报将根据 Azure Monitor 进行收费。 有关警报的详细信息,请参阅 Azure Monitor 警报。
后续步骤
- 了解 Web 应用程序防火墙。
- 了解 Web 应用程序防火墙日志。