【目次】

  1. 1. はじめに
  2. 2. WAF Insightsとは
  3. 3. Monitor(監視)タブについて
  4. 4. Triage(トリアージ)タブについて
  5. 5. おわりに

1. はじめに

2026年2月23日にWAF Insightsというダッシュボード機能がApplication Gateway向けのWAF PolicyにPublic Previewで追加されました。
Public Preview: WAF Insights for Application Gateway

※Public Preview(プレビュー版)は、フィードバックや評価の目的でAzureのユーザーに提供される機能となります。今後提供される可能性のある機能を試せる機会となりますが、一般提供されている他の機能とは異なりますので、リリースタイミングが確定していない点や、プレビュー版がそのままリリースされるとは限らない点に注意が必要です。

また、プレビューの追加使用条件が適用されます。詳細については、Microsoft Azure プレビューの追加使用条件をご参考ください。

2. WAF Insightsとは

WAF Insightsは、Application Gateway向けのWAF Policyで検査したリクエストのメトリクスやログを用いて、データを可視化するためのダッシュボード機能です。

これまではLogs Insightsを用いてクエリーを実行したり、クエリーの内容をAzure Workbookを用いてダッシュボード化したりと、データを可視化するには個別に対応する必要がありました。
WAF Insightsでは、診断設定(Diagnostic Settings)を有効化するだけで、主要な情報を閲覧できるダッシュボードがすぐに閲覧可能です。

3. Monitor(監視)タブについて

Monitorタブは、リクエスト数、検知したURIやルール名などのランキング、検知状況の詳細一覧など、現在の状況を示すさまざまなデータが閲覧可能です。
こちらは全体像のレポーティングを目的とした画面のようで、そのために必要なデータを閲覧できるように構成されています。

WAFログをもとに集計したデータと、メトリクスをもとにしたデータがそれぞれのタブで閲覧できるようになっているため、閲覧したい情報にあわせてタブを切り替える必要があります。
総リクエスト数などはメトリクス、検知状況はWAFログ、といった形での使い分けを想定しているように見受けられます。

検知・遮断状況の表示方法は、実際のFirewallログと同じように、WAF Policyのモードと、ルールそのもののアクションによって異なります。

Azure WAF ファイアウォールログのCRSバージョンごとの違いAzure WAF でカスタムルールを Log アクションに変える方法 といったブログ記事でもご紹介しておりますが、ポリシーモードが「検知モード」の場合はルールアクションに関わらず基本的にはDetectedと表示されるといった特徴があります。「防止モード」に変更すると、ルールがBlockアクションの場合はBlocked、ルールがLogアクションの場合はLogと表示されます。

ダッシュボード閲覧時には、現状のWAF Policyとルールそのもののアクションがどういった設定になっているかを認識した上で、検知されたのか、遮断されたのか判断する必要がありそうです。

4. Triage(トリアージ)タブについて

Triageタブは、なんらかのイベントが発生した際などに調査を援助するための画面のようです。まずは対象を選択することで詳細が閲覧できるようになっており、掘り下げを行うイメージになっています。

例えば、Monitorタブにて特定のルールでの検知が増えている場合に、「ルール別のトリアージ」を使用すると、検知したルールの一覧とそのカウントが表示されます。そこからルール名、対象のHost、URIといった順に絞り込むことで、検知原因が特定できます。

また、URL別での絞り込みも可能です。URL別での絞り込みの場合、Hostの次にURLを選択することで、検知したルールの一覧が表示されます。
ルール1にLogアクションでマッチしたあと、ルール2でBlockされたリクエストの場合、ルール1でLog、ルール2でBlockedといった形で表示されるため、特定のURLで誤検知が発生した場合に、対象のルールの絞り込みがしやすくなるかと思います。

Triageタブでは、画面の最後尾にある「選択の概要」という箇所で、これまで選択した情報をもとにしたサマリーも掲載されます。検知したルールや、選択事項によっても表示される項目が異なるようですが、Public Previewであることの影響か、現時点ですとプレースホルダーのままになってしまっているケースもあるようです。

5. おわりに

従来のLogs InsightsやAzure Workbookでのダッシュボード作成は、カスタマイズ性には優れているものの、気軽にデータを閲覧するにはハードルが高い面もありました。

WAF Insightsの追加により、ログやメトリクスを用いたデータの閲覧が容易になり、また1箇所で閲覧できるようになりました。WAF Insightsのデータ時はAzure Workbookとして用意されていますので、カスタマイズ性を維持したまま、より分析がしやすくなったように思います。