Zobrazení protokolů Azure DDoS Protection v pracovním prostoru služby Log Analytics
Diagnostické protokoly služby DDoS Protection umožňují zobrazit oznámení služby DDoS Protection, sestavy zmírnění rizik a protokoly toku zmírnění rizik po útoku DDoS. Tyto protokoly můžete zobrazit ve svém pracovním prostoru služby Log Analytics.
V tomto kurzu se naučíte:
- Zobrazte si diagnostické protokoly Služby Azure DDoS Protection, včetně oznámení, sestav o zmírnění rizik a protokolů toků zmírnění rizik.
Požadavky
- Účet Azure s aktivním předplatným. Vytvořte si účet zdarma.
- Služba DDoS Network Protection musí být povolená ve virtuální síti nebo ochrana DDoS IP na veřejné IP adrese.
- Nakonfigurujte diagnostické protokoly služby DDoS Protection. Další informace najdete v tématu Konfigurace diagnostických protokolů.
- Simulace útoku pomocí jednoho z našich partnerů simulace Další informace najdete v tématu Testování s partnery simulace.
Zobrazení v pracovním prostoru služby Log Analytics
Přihlaste se k webu Azure Portal.
Do vyhledávacího pole v horní části portálu zadejte Pracovní prostor služby Log Analytics. Ve výsledcích hledání vyberte Pracovní prostor služby Log Analytics .
V okně Pracovní prostory služby Log Analytics vyberte svůj pracovní prostor.
Na levé straně karty vyberte Protokoly. Tady uvidíte průzkumník dotazů. Ukončete podokno Dotazy a využijte stránku Protokoly .
Na stránce Protokoly zadejte dotaz a pak stiskněte Spustit a zobrazte výsledky.
Příklady dotazů na protokoly
Oznámení ochrany před útoky DDoS
Oznámení vás upozorní vždy, když dojde k útoku na prostředek veřejné IP adresy a o ukončení omezení rizik útoku.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
V následující tabulce jsou uvedeny názvy a popisy polí:
| Název pole | Description |
|---|---|
| TimeGenerated | Datum a čas ve standardu UTC, kdy bylo oznámení vytvořeno. |
| ResourceId | ID prostředku vaší veřejné IP adresy. |
| Kategorie | U oznámení to bude DDoSProtectionNotifications. |
| Skupina prostředků | Skupina prostředků, která obsahuje vaši veřejnou IP adresu a virtuální síť. |
| Id předplatného | ID vašeho předplatného plánu ochrany před útoky DDoS. |
| Prostředek | Název vaší veřejné IP adresy. |
| Resourcetype | Vždy to bude PUBLICIPADDRESS. |
| Název operace | U oznámení to bude DDoSProtectionNotifications. |
| Zprávu | Podrobnosti o útoku |
| Typ | Typ oznámení. Mezi možné hodnoty patří MitigationStarted. MitigationStopped. |
| PublicIpAddress | Vaše veřejná IP adresa. |
Protokoly toků pro zmírnění rizik DDoS
Protokoly toku zmírnění útoků umožňují téměř v reálném čase zkontrolovat ukončený provoz, přesměrovaný provoz a další zajímavé datové body během aktivního útoku DDoS. Konstantní datový proud těchto dat můžete ingestovat do služby Microsoft Sentinel nebo do systémů SIEM třetích stran prostřednictvím centra událostí pro monitorování téměř v reálném čase, provádět potenciální akce a řešit potřebu operací ochrany.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
V následující tabulce jsou uvedeny názvy a popisy polí:
| Název pole | Description |
|---|---|
| TimeGenerated | Datum a čas ve standardu UTC, kdy byl protokol toku vytvořen. |
| ResourceId | ID prostředku vaší veřejné IP adresy. |
| Kategorie | Pro protokoly toku to bude DDoSMitigationFlowLogs. |
| Skupina prostředků | Skupina prostředků, která obsahuje vaši veřejnou IP adresu a virtuální síť. |
| Id předplatného | ID vašeho předplatného plánu ochrany před útoky DDoS. |
| Prostředek | Název vaší veřejné IP adresy. |
| Resourcetype | Vždy to bude PUBLICIPADDRESS. |
| Název operace | Pro protokoly toku to bude DDoSMitigationFlowLogs. |
| Zprávu | Podrobnosti o útoku |
| SourcePublicIpAddress | Veřejná IP adresa klienta, který generuje provoz na vaši veřejnou IP adresu. |
| SourcePort | Číslo portu v rozsahu od 0 do 65535. |
| DestPublicIpAddress | Vaše veřejná IP adresa. |
| DestPort | Číslo portu v rozsahu od 0 do 65535. |
| Protokol | Typ protokolu. Mezi možné hodnoty patří tcp, udp, . other |
Sestavy omezení rizik DDoS
Sestavy zmírnění útoků používají data protokolu Netflow, která se agregují k poskytování podrobných informací o útoku na váš prostředek. Kdykoliv dojde k útoku na prostředek veřejné IP adresy, spustí se generování sestavy hned po zahájení zmírnění rizik. Každých 5 minut se vygeneruje přírůstková sestava a sestava po zmírnění rizik za celé období zmírnění rizik. Tím zajistíte, že v případě, že útok DDoS trvá delší dobu, budete moct každých 5 minut zobrazit nejnovější snímek sestavy zmírnění rizik a úplný souhrn, jakmile omezení rizik útoku skončí.
AzureDiagnostics
| where Category == "DDoSMitigationReports"
V následující tabulce jsou uvedeny názvy a popisy polí:
| Název pole | Description |
|---|---|
| TimeGenerated | Datum a čas ve standardu UTC, kdy bylo oznámení vytvořeno. |
| ResourceId | ID prostředku vaší veřejné IP adresy. |
| Kategorie | Pro sestavy zmírnění rizik to bude DDoSMitigationReports. |
| Skupina prostředků | Skupina prostředků, která obsahuje vaši veřejnou IP adresu a virtuální síť. |
| ID předplatného | ID předplatného plánu ochrany před útoky DDoS. |
| Prostředek | Název vaší veřejné IP adresy. |
| Resourcetype | Vždycky to bude PUBLICIPADDRESS. |
| Název operace | Pro sestavy zmírnění rizik to bude DDoSMitigationReports. |
| Typ sestavy | Možné hodnoty jsou Incremental a PostMitigation. |
| MitigationPeriodStart | Datum a čas ve standardu UTC, kdy bylo zmírnění rizik zahájeno. |
| MitigationPeriodEnd | Datum a čas ve standardu UTC, kdy zmírnění rizik skončilo. |
| IPAddress | Vaše veřejná IP adresa. |
| AttackVectors | Snížení počtu typů útoků. Mezi tyto klíče patří TCP SYN flood, TCP flood, UDP flood, UDP reflectiona Other packet flood. |
| TrafficOverview | Snížení provozu útoku. Mezi klíče patří Total packets, , Total packets dropped, Total TCP packets droppedTotal TCP packets, Total UDP packets, Total UDP packets dropped, Total Other packetsa Total Other packets dropped. |
| Protokoly | Včetně rozpisu protokolů. Mezi tyto klíče patří TCP, UDPa Other. |
| DropReasons | Analýza příčin zahozených paketů Mezi klíče patří Protocol violation invalid TCP. syn Protocol violation invalid TCP, Protocol violation invalid UDP, , TCP rate limit exceededUDP reflection, UDP rate limit exceeded, Destination limit exceeded, Other packet flood Rate limit exceededa Packet was forwarded to service. Neplatné důvody vyřazení porušení protokolu odkazují na poškozené pakety. |
| TopSourceCountries | Rozčlenění prvních 10 zdrojových zemí na příchozí provoz |
| TopSourceCountriesForDroppedPackets | Analýza 10 hlavních zdrojových zemí pro provoz útoků, které byly omezeny. |
| TopSourceASNs | Analýza 10 hlavních zdrojů čísel autonomních systémů (ASN) příchozího provozu |
| Zdrojovécontinenty | Analýza zdrojového kontinentu pro příchozí provoz |
| Typ | Typ oznámení Mezi možné hodnoty patří MitigationStarted. MitigationStopped. |
Další kroky
V tomto kurzu jste zjistili, jak zobrazit diagnostické protokoly služby DDoS Protection v pracovním prostoru služby Log Analytics. Další informace o doporučených krocích v případě útoku DDoS najdete v následujících krocích.