【目次】
1. はじめに
今回は Azure WAF のアクティビティログからルールの更新状況を確認する方法をご案内します。
WafCharm ではブラックリストの更新などでお客様ポリシーを更新しています。お客様側でもポリシーのメンテナンスを実施することもあるかと思いますので、どちらの更新であるかといったことを見分けるためにどのような内容が記載されるか解説します。
2. アクティビティログ とは
アクティビティ ログは、Azure のプラットフォーム ログとなります。サブスクリプションレベルのイベントの分析情報が提供され、リソースが変更されたときや仮想マシンが起動されたときなどの情報が含まれます。Azure WAF の WAF ポリシーの画面で表示した場合、サブスクリプションレベルで取得している情報の中から、該当のポリシー情報のみフィルターして表示されます。
公式情報
https://learn.microsoft.com/ja-jp/azure/azure-monitor/essentials/activity-log?tabs=powershell
3. Azure WAF でのアクティビティログの確認方法
対象のポリシーを Azure Portal から確認し、画面左のアクティビティログを選択します。
表示するとフィルターされている内容が確認できます。
更新がなかったため、期間を変更します。
複数のイベント開始者の操作が行われていることがわかります。
この環境で行った操作は「xxx-test-app」が WafCharm に登録したアプリの操作で「xxx@cscloud.co.jp」が Azure Portal 上で行った操作となります。
ログを確認することで誰の操作がいつ行われたかが一目瞭然となり、意図していない変更がなかったかなどの確認が簡単に行えます。
4. Azure WAF ポリシー操作でアクティビティログに記載される内容
WafCharm ではブラックリストの更新処理が定期的に行われています。その操作のログを確認してみましょう。
一つの操作を開くと3つの状態が記載されています。
指示を受けた・指示を承認した・変更が成功したといった流れのようです。
成功のログを確認します。
別画面が表示され変更履歴からIPアドレスが追加されている様子が確認できます。
さらに変更されたプロパティを選択すると JSON で変更箇所の詳細まで確認することができました。
ここまで詳細に確認する機会はあまりないかと思いますが、変更内容を後から振り返ることもできるということがおわかりいただけたかと思います。
5. おわりに
Azure WAF でのアクティビティログの確認方法をご紹介しました。
かなりのレアケースかとは思いますが、ポリシーの更新にはある程度時間がかかることもあるため、更新処理が重複し、更新処理が完了しないタイミングで別の更新処理を実施して、変更内容が反映されなかったというケースもございました。変更実施時に他のアカウントからの更新がないかを確認したい場合はアクティビティログを利用してみてください。