Azure App ServiceでX-Forwarded-Forをアクセスログに残す方法

2021年7月5日

はじめに

App ServiceでX-Forwarded-Forをアクセスログに残す方法を解説していきます。
App Serviceの前にAppllication Gatewayを立てる場合のログの保存にハマったので書いています。

構成図


Windows限定です。

要件

アクセス元(X-Forwarded-For)のIPをログに残したい。
ある種、インフラ屋の性ですね。

問題点

診断ログ(AppServiceHTTPLogs)を保存する場合、保存されるログのc-ipがAppllication GatewayのIPになってしまいます。
診断ログ(AppServiceHTTPLogs)はIISでいうカスタムログに対応しておらず拡張ができません。

解決方法

App Serviceにすでに組み込まれているARR Helperを利用します。
これはApplication Request Routingではできないアクセス元のログを保存することのできるIISモジュールです。
アクセス元IPは、Appllication GatewayでX-Forwarded-Forに記録されます。
ARR HelperはこのX-Forwarded-Forをログに保存します。

ARR Helperの設定変更を行うことで、c-ipがX-Forwarded-Forと入れ替わりログに書き込まれます。

設定変更

applicationHost.xdtでARR Helperの設定を上書き(追記)します。
applicationHost.xdtは新規に作成し「C:\home\site」 に保存します。
保存することで設定ファイルの本体であるapplicationHost.configが変更されます。

Site ExtensionsのIIS Managerを利用すると楽です。

保存後は、「停止」「起動」を行います。(「再起動」でも大丈夫だと思うけど上手くいかなかった。)

修正箇所はIISの<proxyHelper>でなくは<arrHelper>になります。
適当なことを設定に書き込むとApp Service自体が正常に起動しない場合があります。
その場合は、FTPで接続してapplicationHost.xdtを削除してから再起動します。

確認

保存されているログを確認し、アクセス元IPが記録されていることを確認します。
IPはひとつだけ書き込まれます。
例えば、X-Forwarded-For : 1.2.3.4:3015,106.72.xxx.xxx:43103, 20.89.xxx.xx:4096 のように複数ある場合は1.2.3.4が書き込まれます。

まとめ

アクセス元IPを記録したい場合には上記の設定を行うとよいと思います。
通常はApp Service側で保存しなくても、Appllication Gatewayのログにアクセス元IPが保存されるので問題ないかと思います。
アクセス元IPを使用したアプリや、何かアラートを上げるなどの時には利用できると思います。

注意事項としてはX-Forwarded-Forは簡単に偽装できる点ですね。
そこが許容できるのであれば問題ないかと思います。

ログが拡張できれば楽なんですけどね。

以上