Azure Front Door(WAF)のログをLog Analyticsで確認

2020-04-27Azure,Front Door,Log Analytics,Web Application Firewall

Azure Front Doorの診断設定を使うと、アクセスログやWeb Application Firewall(WAF)ログをLog Analyticsワークスペース等に転送が出来ます。
Azure Front Doorのトラフィック状況や配信元(Origin)の状況を転送したログから確認出来ます。

Azure Front Doorの診断設定から取得されたログ確認までを纏めてみました。
転送先にはLog Analyticsワークスペースを指定しています。

※今回はAzure Front Door PremiumもしくはStandardを利用しています。

スポンサーリンク

Azure Front Doorのログ取得設定は診断設定

診断設定

Azure Front Doorのログを外部に転送する場合は診断設定を利用します。

Azure Front Door ログを構成する

※今回はLog Analyticsワークスペースへ転送します。

診断設定

左側のメニューで診断設定を選択します。

ログのカテゴリで転送対象のログを選択します。
宛先の詳細でLog Analyticsワークスペースへの送信を選択します。
保存します。

診断設定されている事が確認出来ます。

※診断設定は複数設定出来ます。

ログを確認

診断設定後10分から20分程度経過するとログ取得が始まります。
ログのメニューから確認出来ます。

ログ確認

左側のメニューでログを選択すると診断設定したLog Analyticsワークスペースが表示されます。
検索するとログが表示されます。

—広告—

Azure Front Doorで確認出来るログ

ログの種類

診断設定で選択した通りログには4種類あります。

ログ(Azure Front Door でのメトリックとログの監視)

    • AzureDiagnostics
      •  アクセスログ
        • Category:FrontDoorAccessLog
        • Azure Front Doorへのアクセス
      • Web Application Firewall(WAF) ログ
        • Category:FrontDoorWebApplicationFirewallLog
        • WAFに合致した場合のログ(カスタムルールログも含まれます)
      • 正常性プローブログ
        • Category:FrontDoorHealthProbeLog
        • 配信元への正常性プローブ結果ログ
    • AzureActivity
      •  アクテビティログ
        • リソース操作に関するログ

アクセスログ

Azure Front Doorへのアクセスや配信元へのトラフィックなどの状況を確認出来ます。

アクセス ログ(Azure Front Door でのメトリックとログの監視)

※キャッシュの利用状況なども確認出来ます。

アクセスログ

エンドポイントのドメイン名、アクセス元クライアントのIPアドレス、応答コード、配信元リソースなどを表示しています。

#アクセスログを表示する

AzureDiagnostics
| where Category == “FrontDoorAccessLog"
| project TimeGenerated, Resource, hostName_s, requestUri_s, clientIp_s, httpStatusCode_s, originName_s
| order by TimeGenerated
| limit 3 
 

Web Application Firewall(WAF)ログ

Azure Front Doorでセキュリティポリシーの設定をしている場合に利用します。
Web Application Firewall(WAF)で設定したルールに合致したトラフィックのログを見る事が出来ます。

WAF ログ(Azure Web アプリケーション ファイアウォールの監視とログ記録)

※Web Application Firewallポリシー(WAF)には診断設定はありません。割り当てたAzure Front Door側の診断設定を利用します。
※Azure Front Door Standardの場合でもカスタムルールのログを取得する事が出来ます。

Web Application Firewall(WAF)ログ

適用されたポリシー、ルール、アクション(動作)、アクセス元のクライアントIPを表示しています。

#Web Application Firewall(WAF)ログを表示する

AzureDiagnostics
| where Category == “FrontDoorWebApplicationFirewallLog"
| project TimeGenerated, Resource, requestUri_s, policy_s, ruleName_s, action_s, clientIP_s
| order by TimeGenerated
| limit 3
 

※サンプル画面のruleName_sはカスタムルールで設定したルールです。

正常性プローブログ

配信元(Origin)への正常性プローブの状況を見る事が出来ます。

正常性プローブ ログ(Azure Front Door でのメトリックとログの監視)

配信元(Origin)の応答速度なども見る事が出来ます。

※正常性がエラーになった場合のログが出力されます。

正常性プローブログ

配信元、配信元リソースのIP、応答速度、ステータスコードを表示しています。 

#正常性プローブのログを表示する

AzureDiagnostics
| where Category == “FrontDoorHealthProbeLog"
| project TimeGenerated, Resource, originName_s, probeURL_s, originIP_s, totalLatencyMilliseconds_s, httpStatusCode_s
| order by TimeGenerated
| limit 3
 

 

—広告—

最後に

Azure Front DoorのログをLog Analyticワークスペースで見る事が出来ました。

    • アクセスログからどの配信元(Origin)へ転送されたか確認
    • Web Application Firewall(WAF)ログからどのルールでブロックされた確認
    • 正常プローブログから配信元(Origin)の状況確認

Azure Front Doorの概要やデプロイ手順についてはこちらに纏めています。

Azure Front DoorでのWAF有効化やポリシーの適用についてはこちらに纏めています。

Azure Front Doorのカスタムルールで出来る事の確認や設定出来る事はこちらに纏めています。

Azure Application Gatewayでのログ確認はこちらに纏めています。

Azure,Front Door,Log Analytics,Web Application Firewall