■確認目的
Azure Application Gateway のWAFをよく使われます。カスタムルール上で通信を許可することもよくあります。
この場合、カスタムルールに該当して許可された通信はWAF ログに足跡が残されますか。残される場合、どんなWAFログで見えますか。
■許可確認
カスタムルールは以下です。0.0.0.0/32以外のIPなら許可します。
1.WAFを防止モードで設定します。
防止モード時のWAFログは以下です。
許可のメッセージがでますね。
Access allowed. Match of ipMatch 0.0.0.0/32, against RemoteAddr required.
2.WAFを検知モードで設定します。
検知モード時のWAFログは以下です。
警告のメッセージとなりますね。
Warning. Match of ipMatch 0.0.0.0/32, against RemoteAddr required.
■拒否確認
カスタムルールは以下です。0.0.0.0/32以外のIPなら拒否します。
1.WAFを防止モードで設定します。
防止モード時のWAFログは以下です。Deniedのメッセージがでますね。
Access denied with code 403. Match of ipMatch 0.0.0.0/32, against RemoteAddr required.
2.WAFを検知モードで設定します。
検知モード時のWAFログは以下です。
警告のメッセージとなりますね。
Warning. Match of ipMatch 0.0.0.0/32, against RemoteAddr required.
## 結論
検知モードの場合、該当カスタムルールに当たる通信は警告のメッセージで記載されます。こちらは今の仕様となります。