« Azure 应用服务集成 Azure Application Insights 集成 »
Elastic 文档 Elastic 集成 Azure 日志集成

Azure 应用程序网关日志

编辑

Azure 应用程序网关日志

编辑

版本

1.20.1 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全性
可观测性

订阅级别
这是什么?

基本

Azure 应用程序网关日志捕获重要信息,例如对网关的访问(调用者的 IP、响应延迟等)或安全事件,以检测或预防威胁。

支持的日志类别

日志类别 描述

访问日志

此日志可用于查看应用程序网关访问模式并分析重要信息。这包括调用者的 IP、请求的 URL、响应延迟、返回代码以及传入和传出的字节数。访问日志每 60 秒收集一次。此日志包含每个应用程序网关实例的一条记录。应用程序网关实例由 instanceId 属性标识。

防火墙日志

此日志可用于查看通过配置了 Web 应用程序防火墙的应用程序网关的检测或预防模式记录的请求。防火墙日志每 60 秒收集一次。

要求和设置

编辑

请参阅 Azure 日志 页面,了解有关设置和使用此集成的更多信息。

设置

编辑

eventhub: 字符串 事件中心是一种完全托管的实时数据提取服务。为了最大限度地提高兼容性,Elastic 建议事件中心名称仅使用字母、数字和连字符 (-)。您可以使用事件中心名称中带有下划线 (_) 的现有事件中心;在这种情况下,当集成使用事件中心名称在后台创建依赖的 Azure 资源时(例如,用于存储事件中心使用者偏移的存储帐户容器),它会将下划线替换为连字符 (-)。Elastic 还建议每个日志类型使用单独的事件中心,因为每个日志类型的字段映射不同。默认值 insights-operational-logs

consumer_group: 字符串 事件中心的发布/订阅机制是通过使用者组启用的。使用者组是整个事件中心的视图(状态、位置或偏移量)。使用者组使多个消费应用程序能够各自拥有事件流的单独视图,并以自己的速度和自己的偏移量独立读取流。默认值:$Default

connection_string: 字符串 需要连接字符串才能与事件中心通信,请参阅 此处 的步骤。

需要 Blob 存储帐户来存储/检索/更新事件中心消息的偏移量或状态。这意味着在停止 Azure 日志包后,它可以在停止处理消息的位置重新启动。

storage_account: 字符串 存储状态/偏移量将被存储和更新的存储帐户的名称。

storage_account_key: 字符串 存储帐户密钥,此密钥将用于授权访问您的存储帐户中的数据。

storage_account_container: 字符串 集成存储使用者组检查点数据的存储帐户容器。这是一个高级选项,使用时必须格外小心。您必须为每个 Azure 日志类型(活动、登录、审核日志等)使用专用的存储帐户容器。请勿为多个 Azure 日志类型重复使用相同的容器名称。有关 Microsoft 的命名规则的详细信息,请参阅 容器名称。如果未指定,集成将生成默认容器名称。

resource_manager_endpoint: 字符串 可选,默认情况下我们使用 Azure 公共环境,要覆盖,用户可以提供特定的资源管理器终结点,以便使用不同的 Azure 环境。

资源管理器终结点

# Azure ChinaCloud
https://management.chinacloudapi.cn/

# Azure GermanCloud
https://management.microsoftazure.de/

# Azure PublicCloud
https://management.azure.com/

# Azure USGovernmentCloud
https://management.usgovcloudapi.net/

日志

编辑
application_gateway
编辑

Azure 日志包的 application_gateway 数据流将收集已通过 Azure 事件中心流式传输的任何应用程序网关日志事件。

示例

application_gateway 的示例事件如下

{
    "@timestamp": "2017-04-26T19:27:38.000Z",
    "azure": {
        "application_gateway": {
            "instance_id": "ApplicationGatewayRole_IN_0",
            "operation_name": "ApplicationGatewayAccess"
        },
        "resource": {
            "group": "PEERINGTEST",
            "id": "/SUBSCRIPTIONS/23103928-B2CF-472A-8CDB-0146E2849129/RESOURCEGROUPS/PEERINGTEST/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/Application-Gateway-Name",
            "name": "Application-Gateway-Name",
            "provider": "MICROSOFT.NETWORK/APPLICATIONGATEWAYS"
        },
        "subscription_id": "23103928-B2CF-472A-8CDB-0146E2849129"
    },
    "cloud": {
        "account": {
            "id": "23103928-B2CF-472A-8CDB-0146E2849129"
        },
        "provider": "azure"
    },
    "destination": {
        "address": "www.contoso.com",
        "bytes": 553,
        "domain": "www.contoso.com"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "event": {
        "category": [
            "network"
        ],
        "kind": "event",
        "original": "{\"resourceId\":\"/SUBSCRIPTIONS/23103928-B2CF-472A-8CDB-0146E2849129/RESOURCEGROUPS/PEERINGTEST/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/Application-Gateway-Name\",\"operationName\":\"ApplicationGatewayAccess\",\"timestamp\":\"2017-04-26T19:27:38Z\",\"category\":\"ApplicationGatewayAccessLog\",\"properties\":{\"instanceId\":\"ApplicationGatewayRole_IN_0\",\"clientIP\":\"67.43.156.7\",\"clientPort\":46886,\"httpMethod\":\"GET\",\"requestUri\":\"/phpmyadmin/scripts/setup.php\",\"requestQuery\":\"X-AzureApplicationGateway-CACHE-HIT=0&SERVER-ROUTED=10.4.0.4&X-AzureApplicationGateway-LOG-ID=874f1f0f-6807-41c9-b7bc-f3cfa74aa0b1&SERVER-STATUS=404\",\"userAgent\":\"-\",\"httpStatus\":404,\"httpVersion\":\"HTTP/1.0\",\"receivedBytes\":65,\"sentBytes\":553,\"timeTaken\":205,\"sslEnabled\":\"off\",\"host\":\"www.contoso.com\",\"originalHost\":\"www.contoso.com\"}}",
        "type": [
            "connection"
        ]
    },
    "http": {
        "request": {
            "method": "GET"
        },
        "response": {
            "status_code": 404
        },
        "version": "1.0"
    },
    "network": {
        "bytes": 618,
        "protocol": "http"
    },
    "observer": {
        "name": "Application-Gateway-Name",
        "product": "Web Application Firewall",
        "type": "firewall",
        "vendor": "Azure"
    },
    "related": {
        "hosts": [
            "www.contoso.com"
        ],
        "ip": [
            "67.43.156.7"
        ]
    },
    "source": {
        "address": "67.43.156.7",
        "as": {
            "number": 35908
        },
        "bytes": 65,
        "geo": {
            "continent_name": "Asia",
            "country_iso_code": "BT",
            "country_name": "Bhutan",
            "location": {
                "lat": 27.5,
                "lon": 90.5
            }
        },
        "ip": "67.43.156.7",
        "port": 46886
    },
    "tags": [
        "preserve_original_event"
    ],
    "url": {
        "domain": "www.contoso.com",
        "path": "/phpmyadmin/scripts/setup.php",
        "query": "X-AzureApplicationGateway-CACHE-HIT=0&SERVER-ROUTED=10.4.0.4&X-AzureApplicationGateway-LOG-ID=874f1f0f-6807-41c9-b7bc-f3cfa74aa0b1&SERVER-STATUS=404"
    }
}

ECS 字段参考

有关 ECS 字段的详细信息,请参阅以下文档

导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

azure.application_gateway.action

对请求执行的操作。可用值包括:Blocked 和 Allowed(用于自定义规则)、Matched(当规则与请求的一部分匹配时)、Detected 和 Blocked(这些都用于强制规则,具体取决于 WAF 是处于检测模式还是预防模式)。

关键字

azure.application_gateway.hostname

应用程序网关的主机名或 IP 地址。

关键字

azure.application_gateway.instance_id

正在为其生成防火墙数据的应用程序网关实例。对于多实例应用程序网关,每个实例都有一行。

关键字

azure.application_gateway.operation_name

操作名称

关键字

azure.application_gateway.policy.id

与应用程序网关、侦听器或路径关联的防火墙策略的唯一 ID。

关键字

azure.application_gateway.policy.scope

策略的位置 - 值可以是“全局”、“侦听器”或“位置”。

关键字

azure.application_gateway.policy.scope_name

应用策略的对象的名称。

关键字

azure.application_gateway.transaction_id

给定事务的唯一 ID,有助于对同一请求中发生的多个规则冲突进行分组。

关键字

azure.correlation_id

关联 ID

关键字

azure.resource.authorization_rule

授权规则

关键字

azure.resource.group

资源组

关键字

azure.resource.id

资源 ID

关键字

azure.resource.name

名称

关键字

azure.resource.namespace

资源类型/命名空间

关键字

azure.resource.provider

资源类型/命名空间

关键字

azure.subscription_id

Azure 订阅 ID

关键字

azure.tenant_id

租户 ID

关键字

data_stream.dataset

数据流数据集。

常量_关键字

data_stream.namespace

数据流命名空间。

常量_关键字

data_stream.type

数据流类型。

常量_关键字

event.dataset

事件数据集

常量_关键字

event.module

事件模块

常量_关键字

变更日志

编辑
变更日志
版本 详情 Kibana 版本

1.20.1

错误修复 (查看拉取请求)
修复 Painless 脚本中的字符串字面量。

8.13.0 或更高版本

1.20.0

增强 (查看拉取请求)
添加 Azure 日志集成 v2(预览版)

8.13.0 或更高版本

1.19.4

错误修复 (查看拉取请求)
修复 destination.geo.region_name 映射。

8.13.0 或更高版本

1.19.3

错误修复 (查看拉取请求)
Identity 字段重命名为 identity 以保持一致性。

8.13.0 或更高版本

1.19.2

错误修复 (查看拉取请求)
properties 字段重命名为 properties.raw,以避免当 properties 字段包含字符串时出现解析错误。

8.13.0 或更高版本

1.19.1

错误修复 (查看拉取请求)
修复一个错误并澄清了有关存储帐户容器的文档。

8.13.0 或更高版本

1.18.0

增强 (查看拉取请求)
related.entity 添加实体标识符。

8.13.0 或更高版本

1.17.0

增强 (查看拉取请求)
为与防火墙规则匹配的请求中找到的精确数据添加 event.reason 日志字段。

8.13.0 或更高版本

1.16.0

增强 (查看拉取请求)
允许 @custom 管道访问 event.original,而无需设置 preserve_original_event。

8.13.0 或更高版本

1.15.1

错误修复 (查看拉取请求)
修复 [client|source].geo.location ECS 字段映射

8.13.0 或更高版本

1.15.0

增强 (查看拉取请求)
在 Azure Functions 托管计划中添加新部分。

8.13.0 或更高版本

1.14.0

增强 (查看拉取请求)
添加仪表板的全局数据集过滤器以提高性能。

8.13.0 或更高版本

1.13.1

增强 (查看拉取请求)
使用有关事件中心分区配置的更多详细信息扩展文档。

8.13.0 或更高版本

1.13.0

增强 (查看拉取请求)
向 Azure 防火墙添加结构化日志类别。

8.13.0 或更高版本

1.12.0

增强 (查看拉取请求)
ECS 版本更新为 8.11.0。将 Kibana 约束更新为 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板造成的冗余 ECS 字段。

重大更改 (查看拉取请求)
将“event.outcome”值从“Succeeded”更新为“success”,将“Failed”更新为“failure”。

8.13.0 或更高版本

1.11.4

错误修复 (查看拉取请求)
将 Azure AD 替换为 Microsoft Entra ID。

8.12.0 或更高版本

1.11.3

错误修复 (查看拉取请求)
更新 Azure 审核日志管道,以支持 initiated_by 用户字段。

8.12.0 或更高版本

1.11.2

错误修复 (查看拉取请求)
添加缺失的 ECS 字段定义。

8.12.0 或更高版本

1.11.1

增强 (查看拉取请求)
更新有关事件中心参数名称建议的描述。

8.12.0 或更高版本

1.11.0

增强 (查看拉取请求)
使用事件中心的 event.dataset 字段的 ecs 定义

8.12.0 或更高版本

1.10.0

增强 (查看拉取请求)
添加 Microsoft Graph 活动日志

8.12.0 或更高版本

1.9.2

增强 (查看拉取请求)
添加关于在防火墙后运行集成的文档。

8.12.0 或更高版本

1.9.1

错误修复 (查看拉取请求)
在密钥字段上将字段类型设置为密码。

8.12.0 或更高版本

1.9.0

增强 (查看拉取请求)
添加对集成密钥的支持

8.12.0 或更高版本

1.8.3

增强 (查看拉取请求)
在 Azure 登录日志的管道中添加 caller_ip_address 字段。

8.8.0 或更高版本

1.8.2

增强 (查看拉取请求)
更新 Azure 日志文档。

8.8.0 或更高版本

1.8.1

增强 (查看拉取请求)
更新 AD 日志文档。

8.8.0 或更高版本

1.8.0

增强 (查看拉取请求)
允许将 Azure 日志事件重新路由到不同的数据流。

8.8.0 或更高版本

1.7.0

增强 (查看拉取请求)
将 Azure Spring Cloud 日志重命名为 Azure Spring Apps

8.6.0 或更高版本

1.6.0

增强 (查看拉取请求)
将软件包 format_version 更新为 3.0.0。

8.6.0 或更高版本

1.5.33

错误修复 (查看拉取请求)
在应用程序网关日志中将 json.properties.clientIp 作为 json.properties.clientIP 的别名处理

8.6.0 或更高版本

1.5.32

错误修复 (查看拉取请求)
修复 azure.activitylogs.claims.* 的映射。

8.6.0 或更高版本

1.5.31

增强 (查看拉取请求)
将 Azure AD Identity Protection 仪表板迁移到 Lens。

8.6.0 或更高版本

1.5.30

增强 (查看拉取请求)
将 Azure AD Provisioning 日志仪表板迁移到 Lens。

8.6.0 或更高版本

1.5.29

增强 (查看拉取请求)
修复 Azure 仪表板的描述和标题。

8.6.0 或更高版本

1.5.28

增强 (查看拉取请求)
将警报概述仪表板迁移到 Lens

8.6.0 或更高版本

1.5.27

错误修复 (查看拉取请求)
修复防火墙仪表板中的问题

8.6.0 或更高版本

1.5.26

错误修复 (查看拉取请求)
处理 signinlogs 日志中重复的 user_agent.original 字段

8.6.0 或更高版本

1.5.25

错误修复 (查看拉取请求)
处理应用程序网关日志中重复的 url.path 字段

8.6.0 或更高版本

1.5.24

错误修复 (查看拉取请求)
处理具有属性的 DNAT 请求的防火墙事件

8.6.0 或更高版本

1.5.23

增强 (查看拉取请求)
更新 Azure 日志屏幕截图

8.6.0 或更高版本

1.5.22

增强 (查看拉取请求)
将 Azure 云概述仪表板迁移到 Lens 并进行样式更改

8.6.0 或更高版本

1.5.21

增强 (查看拉取请求)
将用户活动仪表板迁移到 Lens

8.6.0 或更高版本

1.5.20

增强 (查看拉取请求)
用于清理的集成设置 UI

8.6.0 或更高版本

1.5.17

增强 (查看拉取请求)
将 Spring Cloud 概述仪表板迁移到 Lens

8.6.0 或更高版本

1.5.16

增强 (查看拉取请求)
将 Azure Spring Cloud 日志应用程序云日志仪表板迁移到 Lens

8.6.0 或更高版本

1.5.15

增强 (查看拉取请求)
将 Spring Cloud 系统日志仪表板迁移到 Lens

8.6.0 或更高版本

1.5.14

增强 (查看拉取请求)
增强/提高仪表板的性能

8.6.0 或更高版本

1.5.13

增强 (查看拉取请求)
扩展存储帐户容器文档,并添加指向要求和设置说明的链接

7.16.0 或更高版本
8.0.0 或更高版本

1.5.12

增强 (查看拉取请求)
添加了类别和/或子类别。

7.16.0 或更高版本
8.0.0 或更高版本

1.5.11

增强 (查看拉取请求)
向 AzureFirewallNetworkRule 日志类别添加新的消息格式

7.16.0 或更高版本
8.0.0 或更高版本

1.5.10

错误修复 (查看拉取请求)
检查应用程序网关和事件中心提取管道中是否已存在 *event.original*

7.16.0 或更高版本
8.0.0 或更高版本

1.5.9

错误修复 (查看拉取请求)
检查防火墙日志提取管道中是否已存在 *event.original*

7.16.0 或更高版本
8.0.0 或更高版本

1.5.8

错误修复 (查看拉取请求)
向应用程序网关集成添加 storage_account_container 选项

7.16.0 或更高版本
8.0.0 或更高版本

1.5.7

错误修复 (查看拉取请求)
修复登录日志中 authentication_processing_details 字段的解析

7.16.0 或更高版本
8.0.0 或更高版本

1.5.6

错误修复 (查看拉取请求)
修复客户端端口为空白时的解析错误,并调整 timeStamp

7.16.0 或更高版本
8.0.0 或更高版本

1.5.5

错误修复 (查看拉取请求)
当值为字符串时,将 identity 重命名为 identity_name

7.16.0 或更高版本
8.0.0 或更高版本

1.5.4

增强 (查看拉取请求)
默认启用事件中心集成并改进文档

7.16.0 或更高版本
8.0.0 或更高版本

1.5.3

增强 (查看拉取请求)
新安装时数据流开始时处于禁用状态

7.16.0 或更高版本
8.0.0 或更高版本

1.5.2

错误修复 (查看拉取请求)
修复变更日志中的 PR 链接

7.16.0 或更高版本
8.0.0 或更高版本

1.5.1

错误修复 (查看拉取请求)
修复文档格式(删除额外的 *Overview* 标题)

7.16.0 或更高版本
8.0.0 或更高版本

1.5.0

增强 (查看拉取请求)
添加 Azure 应用程序网关数据流

7.16.0 或更高版本
8.0.0 或更高版本

1.4.1

增强 (查看拉取请求)
更新 Azure 日志文档

7.16.0 或更高版本
8.0.0 或更高版本

1.4.0

增强 (查看拉取请求)
向 Azure AD 日志集成添加两个新的数据流:Azure Identity Protection 日志和 Provisioning 日志

7.16.0 或更高版本
8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
添加覆盖默认生成的存储帐户容器的可能性

7.16.0 或更高版本
8.0.0 或更高版本

1.2.3

增强 (查看拉取请求)
使用推荐的事件中心配置更新文档

7.16.0 或更高版本
8.0.0 或更高版本

1.2.2

增强 (查看拉取请求)
更新软件包名称和描述以符合标准措辞

7.16.0 或更高版本
8.0.0 或更高版本

1.2.1

错误修复 (查看拉取请求)
修复 Azure 登录日志提取管道错误

7.16.0 或更高版本
8.0.0 或更高版本

1.2.0

增强 (查看拉取请求)
支持 Azure 防火墙日志

1.1.11

错误修复 (查看拉取请求)
改进对上游转发器中 event.original 字段的支持。

1.1.10

增强 (查看拉取请求)
使用指向 Microsoft 文档的链接更新自述文件

7.16.0 或更高版本
8.0.0 或更高版本

1.1.9

错误修复 (查看拉取请求)
改进 IPv6 IP 地址的处理。

1.1.8

增强 (查看拉取请求)
更新文档,其中包含有关事件中心名称建议的详细信息

7.16.0 或更高版本
8.0.0 或更高版本

1.1.7

缺陷修复 (查看拉取请求)
在 platformlogs 中添加 geo.name 和 result_description 字段

7.16.0 或更高版本
8.0.0 或更高版本

1.1.6

缺陷修复 (查看拉取请求)
使用具体值修复 azure.activitylogs.identity

缺陷修复 (查看拉取请求)
将 identity_name、tenant_id、level 和 operation_version 添加到活动日志中

7.16.0 或更高版本
8.0.0 或更高版本

1.1.5

增强 (查看拉取请求)
添加多字段的文档

1.1.4

缺陷修复 (查看拉取请求)
修复所有 Azure 数据流中 event.duration 字段映射冲突。

1.1.3

增强 (查看拉取请求)
默认将 forwarded 标签添加到所有日志类型。

1.1.2

缺陷修复 (查看拉取请求)
添加 device_detail.is_compliant 和 device_detail.is_managed 字段

缺陷修复 (查看拉取请求)
将 authentication_requirement_policies 更改为扁平类型

7.16.0 或更高版本
8.0.0 或更高版本

1.1.1

缺陷修复 (查看拉取请求)
修复 client.ip 的 auditlogs 数据流中的字段映射冲突。将 eventhub 数据流中的 azure-eventhub.offsetazure-eventhub.sequence_number 从关键字更改为 longs。

1.1.0

增强 (查看拉取请求)
支持新的 Azure 审计日志和登录日志

1.0.1

增强 (查看拉取请求)
从数据流中删除 beta 发布标签

7.16.0 或更高版本
8.0.0 或更高版本

1.0.0

增强 (查看拉取请求)
将 azure 包移动到 GA

7.16.0 或更高版本
8.0.0 或更高版本

0.12.3

增强 (查看拉取请求)
更新到 ECS 8.0

0.12.2

缺陷修复 (查看拉取请求)
使用新的 GeoIP 数据库重新生成测试文件

0.12.1

缺陷修复 (查看拉取请求)
将测试公共 IP 更改为支持的子集

0.12.0

增强 (查看拉取请求)
发布 azure 包 v8.0.0 版本

0.11.0

增强 (查看拉取请求)
添加 Azure 事件中心输入

0.10.1

增强 (查看拉取请求)
符合准则

0.10.0

增强 (查看拉取请求)
signinlogs - 添加对 ManagedIdentitySignInLogs、NonInteractiveUserSignInLogs 和 ServicePrincipalSignInLogs 的支持。

0.9.2

缺陷修复 (查看拉取请求)
防止管道脚本错误

0.9.1

缺陷修复 (查看拉取请求)
修复检查 forwarded 标签的逻辑

0.9.0

增强 (查看拉取请求)
更新到 ECS 1.12.0

0.8.6

缺陷修复 (查看拉取请求)
添加 ECS client.ip 映射

0.8.5

增强 (查看拉取请求)
更新文档和徽标

0.8.4

增强 (查看拉取请求)
转换为生成的 ECS 字段

0.8.3

增强 (查看拉取请求)
从 ECS 导入 geo_points

0.8.2

增强 (查看拉取请求)
更新错误消息

0.8.1

增强 (查看拉取请求)
在 platformlogs 管道内添加对 springcloud 日志的支持

0.8.0

增强 (查看拉取请求)
导入 ECS 字段定义

0.7.0

增强 (查看拉取请求)
添加 spring cloud 日志

0.6.2

增强 (查看拉取请求)
更新到 ECS 1.11.0

0.6.1

增强 (查看拉取请求)
转义文档中的特殊字符

0.6.0

增强 (查看拉取请求)
更新集成描述

0.5.1

增强 (查看拉取请求)
重新添加无效 json 的管道更改

0.5.0

增强 (查看拉取请求)
添加输入组

0.4.0

增强 (查看拉取请求)
设置 "event.module" 和 "event.dataset"

0.3.1

增强 (查看拉取请求)
将包与模块更改同步

0.3.0

增强 (查看拉取请求)
更新到 ECS 1.10.0 并添加 event.original 选项

0.2.3

增强 (查看拉取请求)
更新到 ECS 1.9.0

0.2.2

缺陷修复 (查看拉取请求)
更正示例事件文件。

0.2.1

缺陷修复 (查看拉取请求)
添加对空配置选项的检查。

0.2.0

增强 (查看拉取请求)
添加使用 ECS 1.8 字段的更改。

0.0.1

增强 (查看拉取请求)
首次发布

« Azure 应用服务集成 Azure Application Insights 集成 »