Azure

Azure FrontDoor Services の WAF のログを Log Analytics でみてみたよ。

投稿日:

こんにちは。

前回の、記事で設定した、Azure FrontDoor Service の WAF のログを、Log Analytics で色々とみてみました。

せっかく見たので、その辺のメモっす。

 

ちなみに、前回の記事はこれっす。

 

WAF ログの確認

Azure FrontDoor Serviceのドキュメント

Azure FrontDoor Service のモニタリングとログについては、以下のドキュメントに記載されています。

 

ブロックされたログとアクセスログの見るためのクエリのサンプルが記載されています。

 

ただ、上記のログは単純にログを確認するだけなので、分析するってなった場合にはもっと複雑な条件が必要になります。

 

Application Gateway のドキュメント

Application Gateway のドキュメントにも、WAF のログについてのものがあるので、こちらを参考にしました。

 

Matched/Blocked requests by IPのクエリも

Application Gateway の場合

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.NETWORK" and Category == "ApplicationGatewayFirewallLog"
| summarize count() by clientIp_s, bin(TimeGenerated, 1m)
| render timechart

Azure FrontDoor Services の場合

AzureDiagnostics
| where ResourceType == "FRONTDOORS" and Category == "FrontdoorWebApplicationFirewallLog"
| summarize count() by clientIP_s, bin(TimeGenerated, 1m)
| render timechart

みたいな感じで、ResourceType を変えてあげればだいたい動きます。
※ Azure FrontDoor Service と Application Gateway では項目名が違うものがあります。今回だと、clientIP_s の IP の部分が大文字/小文字で違ってます。

 

実行結果はこんな感じ。

 

でも、IP ごとに分けるよりも、1 分毎の量も見たい感じもしますよねー。ってときは、こんな感じ。IP 別でみると見えてこないけど、9/7に山があるのでそのときは色んな IP からアタックくらってたってことかな?

 

ついでに、リクエストURL。水色はOtherなので、バラバラなんですねー。

 

ついでに、WAF で Block したグラフはこんな感じ

 

まとめ

ひとまず、今回は WAF のログを、Log Analytics でグラフ化してみてみました。

実際に、ログの量も多いのでグラフにして傾向をつかむのは大切だと思います。

 

Azure Sentinel で WAF のログを受けることができるのですが、見てるとApplication gateway のログだけっぽいんだよなー。

Azure FrontDoor Service も対応してくれるといいんだけどなぁー

GA:アーカイブ - 1




GA:アーカイブ - 1




-Azure
-, , ,

Copyright© メモログ , 2019 All Rights Reserved Powered by STINGER.