こんにちは。
前回の、記事で設定した、Azure FrontDoor Service の WAF のログを、Log Analytics で色々とみてみました。
せっかく見たので、その辺のメモっす。
ちなみに、前回の記事はこれっす。
WAF ログの確認
Azure FrontDoor Serviceのドキュメント
Azure FrontDoor Service のモニタリングとログについては、以下のドキュメントに記載されています。
ブロックされたログとアクセスログの見るためのクエリのサンプルが記載されています。
ただ、上記のログは単純にログを確認するだけなので、分析するってなった場合にはもっと複雑な条件が必要になります。
Application Gateway のドキュメント
Application Gateway のドキュメントにも、WAF のログについてのものがあるので、こちらを参考にしました。
Matched/Blocked requests by IPのクエリも
Application Gateway の場合
AzureDiagnostics | where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog" | summarize count() by clientIp_s, bin(TimeGenerated, 1m) | render timechart
Azure FrontDoor Services の場合
AzureDiagnostics | where ResourceType == "FRONTDOORS" and Category == "FrontdoorWebApplicationFirewallLog" | summarize count() by clientIP_s, bin(TimeGenerated, 1m) | render timechart
みたいな感じで、ResourceType を変えてあげればだいたい動きます。
※ Azure FrontDoor Service と Application Gateway では項目名が違うものがあります。今回だと、clientIP_s の IP の部分が大文字/小文字で違ってます。
実行結果はこんな感じ。
でも、IP ごとに分けるよりも、1 分毎の量も見たい感じもしますよねー。ってときは、こんな感じ。IP 別でみると見えてこないけど、9/7に山があるのでそのときは色んな IP からアタックくらってたってことかな?
ついでに、リクエストURL。水色はOtherなので、バラバラなんですねー。
ついでに、WAF で Block したグラフはこんな感じ
まとめ
ひとまず、今回は WAF のログを、Log Analytics でグラフ化してみてみました。
実際に、ログの量も多いのでグラフにして傾向をつかむのは大切だと思います。
Azure Sentinel で WAF のログを受けることができるのですが、見てるとApplication gateway のログだけっぽいんだよなー。
Azure FrontDoor Service も対応してくれるといいんだけどなぁー
