L’Azure Application Gateway è un load balancer applicativo (OSI layer 7) per il traffico web, disponibile in ambiente Azure, che consente di gestire il traffico HTTP e HTTPS delle applicazioni. In questo articolo verrà approfondito come effettuare il monitor degli Azure Application Gateway utilizzando Log Anaytics.
Figura 1 – Schema di base dell’Azure Application Gateway
Utilizzando l’Azure Application Gateway è possibile usufruire delle seguenti funzionalità:
- Routing basato su URL
- Redirection
- Multiple-site hosting
- Session affinity
- Secure Sockets Layer (SSL) termination
- Web application firewall (WAF)
- Supporto nativo per i protocolli WebSocket e HTTP/2
Per maggiori dettagli sugli Azure Application Gateway è possibile consultare la documentazione ufficiale Microsoft.
Configurazione Diagnostics logs dell’Application Gateway
L’Azure Application Gateway prevede l’invio dei log di diagnostica verso un workspace di Log Analytics. Questa funzionalità è molto utile per controllare le performance, per rilevare eventuali errori ed è fondamentale per operazioni di troubleshooting, in particolare in presenza del modulo WAF. Per abilitare la diagnostica dal portale Azure è possibile selezionare la risorsa Application Gateway specifica ed accedere alla sezione “Diagnostics logs”:
Figura 2 – Avvio della configurazione dei Diagnostics logs
Figura 3 – Configurazione dei Diagnostics logs
Dopo aver scelto il workspace di Log Analytics dove inviare i dati di diagnostica, nella sezione Log, è possibile selezionare quale tipologia di Log collezionare tra i seguenti:
- Access log (ApplicationGatewayAccessLog)
- Performance log (ApplicationGatewayPerformanceLog)
- Firewall log (ApplicationGatewayFirewallLog): questi log vengono generati solo se il Web Application Firewall è configurato sull’Application Gateway.
Oltre a questi log sono inoltre collezionati di default gli Activity Log generati da Azure. Questi log vengono mantenuti per 90 giorni nello store dell’Azure event logs. Per maggiori dettagli è possibile consultare questo documento specifico.
Solution Azure Application Gateway analytics di Log Analytics
Microsoft mette a disposizione la solution Azure Application Gateway analytics che può essere aggiunta al workspace di Log Analytics seguendo questi semplici step:
Figura 4 – Avvio della procedura di aggiunta della solution al workspace OMS
Figura 5 – Selezione della solution Azure Application Gateway analytics
Figura 6 – Aggiunta della solution nel workspace selezionato
Dopo aver abilitato l’invio dei log di diagnostica verso il workspace di Log Analytics ed aver aggiunto sullo stesso la solution, selezionando il tile Azure Application Gateway analytics presente nella pagina di Overview, si potrà visualizzare una overview dei dati di log raccolti dall’Application Gateway:
Figura 7 – Schermata di overview della solution Azure Application Gateway analytics
Sarà inoltre possibile consultare i dettagli per le seguenti categorie.
- Application Gateway Access logs:
- Client and server errors for Application Gateway access logs
- Requests per hour for each Application Gateway
- Failed requests per hour for each Application Gateway
- Errors by user agent for Application Gateways
Figura 8 – Schermata degli Application Gateway Access logs
- Application Gateway performance:
- Host health for Application Gateway
- Maximum and 95th percentile for Application Gateway failed requests
Figura 9 – Schermata delle performance degli Application Gateway
Dashboard personalizzata di Log Analytics per il monitor dell’Application Gateway
Oltre a questa solution può essere conveniente utilizzare anche una apposita dashboard di Log Analytics, specifica per il monitoring dell’Application Gateway, reperibile a questo indirizzo. Il deploy della dashboard avviene tramite template ARM e richiede anche in questo caso l’abilitazione dei Diagnostics logs dell’Application Gateway, come descritto precedentemente. Le varie query di Log Analytics, utilizzate dalla dashboard, sono documentate in questo blog. Grazie a queste query la dashboard riporta diverse informazioni aggiuntive esposte dalla diagnostica dell’Application Gateway.
Figura 10 – Dashboard custom di Log Analytics per il monitor dell’Application Gateway
Query di Log Analytics per monitorare i Firewall Log
Utilizzando la solution Azure Application Gateway analytics di Log Analytics oppure la dashboard custom (riportata nel paragrafo precedente) non sono al momento contemplati i Firewall log, generati quando risulta attivo il Web Application Firewall (WAF) sull’Application Gateway. Il WAF si basa sulle regole di OWASP Core Rule Set 3.0 o 2.2.9 per intercettare gli attacchi, alle applicazioni Web, che sfruttano le più note vulnerabilità. Per citarne alcune, troviamo ad esempio gli attacchi SQL injection e gli attacchi cross site scripting.
In questo caso, qualora si decida di verificare i Firewall log, è necessario eseguire direttamente delle query di Log Analytics, come ad esempio:
Figura 11 – Query di LA per recuperare le richieste bloccate dal modulo WAF, negli ultimi 7 giorni, per uno specifico URI, suddivise per RuleId
Per consultare la lista delle regole del WAF, associando il RuleId alla relativa description, è possibile consultare questo documento.
Il messaggio descrittivo della rule viene riportato anche all’interno dei risultati restituiti dalla query:
Figura 12 – Query di LA per recuperare le richieste bloccate dal modulo WAF, negli ultimi 7 giorni, per uno specifico URI e per specifica RuleId
Conclusioni
Secondo la mia esperienza, nelle architetture Azure che richiedono la pubblicazione sicura di servizi Web verso internet, è spesso utilizzato il servizio Azure Application Gateway con il modulo WAF attivo. Grazie alla possibilità di inviare i log di diagnostica di questo componente verso Log Analytics si ha la possibilità di avere un monitor completo, che risulta fondamentale per analizzare eventuali condizioni di errore e per valutare lo stato del componete in tutte le sue sfaccettature.
