Snippets

Snippet KQL : lister rapidement les URI bloquées par Azure WAF

Une requête KQL courte pour identifier les URI les plus bloquées par Azure Web Application Firewall sur Application Gateway.

02 juin 2026 azurewafkqlapplication-gatewaysecurity

Quand un WAF bloque du trafic, commencer par les URI les plus touchées évite de partir sur un cas isolé. Cette requête donne une première vue exploitable par hostname, URI et règle.

kusto top-blocked-waf-uris.kql

AzureDiagnostics
| where TimeGenerated > ago(24h)
| where Category == "ApplicationGatewayFirewallLog"
| where action_s =~ "Blocked"
| summarize hits = count() by hostname_s, requestUri_s, ruleId_s, Message
| top 20 by hits desc

À lire ensuite avec prudence : un volume élevé ne signifie pas automatiquement faux positif. Il faut vérifier la méthode HTTP, les paramètres, l’IP source, le user-agent et le contexte applicatif avant d’ajouter une exclusion.