Azure FrontDoor Services の WAF のログを Log Analytics でみてみたよ。

Azure

こんにちは。

前回の、記事で設定した、Azure FrontDoor Service の WAF のログを、Log Analytics で色々とみてみました。

せっかく見たので、その辺のメモっす。

 

ちなみに、前回の記事はこれっす。

Azure FrontDoor Service を使って、このサイトを少しセキュアにしてみたよ
こんにちは。 今回は、このサイトを Azure FrontDoor Services の WAF を有効にしたお話です。 なんかこのサイト最近遅かったんですよねー。   今回の設定変更の経緯 このサイトは、Azure の App Servi...

 

WAF ログの確認

Azure FrontDoor Serviceのドキュメント

Azure FrontDoor Service のモニタリングとログについては、以下のドキュメントに記載されています。

 

ブロックされたログとアクセスログの見るためのクエリのサンプルが記載されています。

Azure Web Application Firewall monitoring and logging
Learn about Azure Web Application Firewall in Azure Front Door monitoring and logging.

 

ただ、上記のログは単純にログを確認するだけなので、分析するってなった場合にはもっと複雑な条件が必要になります。

 

Application Gateway のドキュメント

Application Gateway のドキュメントにも、WAF のログについてのものがあるので、こちらを参考にしました。

Examine WAF logs using Azure Log Analytics - Azure Application Gateway
This article shows you how you can use Azure Log Analytics to examine Application Gateway Web Application Firewall (WAF)...

 

Matched/Blocked requests by IPのクエリも

Application Gateway の場合

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Azure FrontDoor Services の場合

AzureDiagnostics
| where ResourceType == "FRONTDOORS" and Category == "FrontdoorWebApplicationFirewallLog"
| summarize count() by clientIP_s, bin(TimeGenerated, 1m)
| render timechart

みたいな感じで、ResourceType を変えてあげればだいたい動きます。
※ Azure FrontDoor Service と Application Gateway では項目名が違うものがあります。今回だと、clientIP_s の IP の部分が大文字/小文字で違ってます。

 

実行結果はこんな感じ。

 

でも、IP ごとに分けるよりも、1 分毎の量も見たい感じもしますよねー。ってときは、こんな感じ。IP 別でみると見えてこないけど、9/7に山があるのでそのときは色んな IP からアタックくらってたってことかな?

 

ついでに、リクエストURL。水色はOtherなので、バラバラなんですねー。

 

ついでに、WAF で Block したグラフはこんな感じ

 

まとめ

ひとまず、今回は WAF のログを、Log Analytics でグラフ化してみてみました。

実際に、ログの量も多いのでグラフにして傾向をつかむのは大切だと思います。

 

Azure Sentinel で WAF のログを受けることができるのですが、見てるとApplication gateway のログだけっぽいんだよなー。

Azure FrontDoor Service も対応してくれるといいんだけどなぁー

コメント

タイトルとURLをコピーしました