Freigeben über


Tutorial: Anzeigen von Azure DDoS Protection-Protokollen im Log Analytics-Arbeitsbereich

In diesem Tutorial lernen Sie Folgendes:

  • Anzeigen von Azure DDoS Protection-Diagnoseprotokollen, einschließlich Benachrichtigungen, Entschärfungsberichten und Datenflussprotokollen zur Entschärfung

DDoS Protection-Diagnoseprotokolle bieten Ihnen die Möglichkeit, DDoS Protection-Benachrichtigungen, -Risikominderungsberichte und -Ablaufprotokolle nach einem DDoS-Angriff anzuzeigen. Sie können diese Protokolle in Ihrem Log Analytics-Arbeitsbereich anzeigen.

Für Berichte zur Entschärfung von Angriffen werden die NetFlow-Protokolldaten verwendet. Diese Daten werden aggregiert, um ausführliche Informationen zum Angriff auf Ihre Ressource zu liefern. Jedes Mal, wenn eine öffentliche IP-Ressource angegriffen wird, beginnt die Berichterstellung, sobald der Entschärfungsvorgang gestartet wurde. Alle fünf Minuten wird ein inkrementeller Bericht generiert, und für den gesamten Entschärfungszeitraum wird ein Abschlussbericht erstellt. So wird sichergestellt, dass Sie bei einem länger andauernden DDoS-Angriff die aktuellste Momentaufnahme des Berichts zur Entschärfung (alle fünf Minuten) und eine vollständige Zusammenfassung nach Abschluss der Entschärfung anzeigen können.

Voraussetzungen

Anzeigen im Log Analytics-Arbeitsbereich

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie in das Suchfeld oben im Portal den Suchbegriff Log Analytics-Arbeitsbereich ein. Wählen Sie in den Suchergebnissen Log Analytics-Arbeitsbereich aus.

  3. Wählen Sie im Blatt Log Analytics-Arbeitsbereiche Ihren Arbeitsbereich aus.

  4. Wählen Sie auf der linken Registerkarte Protokolle aus. Hier sehen Sie den Abfrage-Explorer. Beenden Sie den Bereich Abfragen, um die Seite Protokolle zu verwenden.

    Screenshot: Anzeigen eines Log Analytics-Arbeitsbereichs.

  5. Geben Sie auf der Seite Protokolle Ihre Abfrage ein, und klicken Sie dann auf Ausführen, um die Ergebnisse anzuzeigen.

    Screenshot: Anzeigen von DDoS Protection-Benachrichtigungsprotokollen im Log Analytics-Arbeitsbereich.

Abfragen von Azure DDoS Protection-Protokollen im Log Analytics-Arbeitsbereich

Weitere Informationen zu Protokollschemas finden Sie unter Anzeigen von Diagnoseprotokollen.

DDoSProtectionNotifications-Protokolle

  1. Wählen Sie im Blatt Log Analytics-Arbeitsbereich Ihren Log Analytics-Arbeitsbereich aus.

  2. Wählen Sie im linken Bereich Protokolle aus.

    Screenshot der Protokollabfrage in Log Analytics-Arbeitsbereichen.

  3. Geben Sie im Abfrage-Explorer die folgende Kusto-Abfrage ein, und ändern Sie den Zeitbereich in „Benutzerdefiniert“ und in die letzten drei Monate. Wählen Sie dann „Ausführen“ aus.

    AzureDiagnostics
    | where Category == "DDoSProtectionNotifications"
    
  4. Ändern Sie zum Anzeigen von DDoSMitigationFlowLogs die Abfrage wie folgt, behalten Sie den gleichen Zeitbereich bei, und wählen Sie „Ausführen“ aus.

    AzureDiagnostics
    | where Category == "DDoSMitigationFlowLogs"
    
  5. Ändern Sie zum Anzeigen von DDoSMitigationReports die Abfrage wie folgt, behalten Sie den gleichen Zeitbereich bei, und wählen Sie „Ausführen“ aus.

    AzureDiagnostics
    | where Category == "DDoSMitigationReports"
    

Beispiele für Protokollabfragen

DDoS Protection-Benachrichtigungen

Sie erhalten immer eine Benachrichtigung, wenn eine Ressource mit öffentlicher IP-Adresse angegriffen wird und wenn der Angriff entschärft wurde.

AzureDiagnostics
| where Category == "DDoSProtectionNotifications"

In der folgenden Tabelle sind die Feldnamen und Beschreibungen aufgeführt:

Feldname BESCHREIBUNG
TimeGenerated Hier werden das Datum und die Uhrzeit (UTC) der Erstellung der Benachrichtigung angegeben.
ResourceId Hier wird die Ressourcen-ID Ihrer öffentlichen IP-Adresse angegeben.
Kategorie Bei Benachrichtigungen ist der Wert für dieses Feld DDoSProtectionNotifications.
ResourceGroup Hier wird die Ressourcengruppe angegeben, die Ihre öffentliche IP-Adresse und Ihr virtuelles Netzwerk enthält.
SubscriptionId Hier wird die Abonnement-ID für Ihren DDoS-Schutzplan angegeben.
Ressource Hier wird der Name Ihrer öffentlichen IP-Adresse angegeben.
ResourceType Der Wert für dieses Feld ist immer PUBLICIPADDRESS.
OperationName Bei Benachrichtigungen ist dies DDoSProtectionNotifications.
Meldung Hier werden Details zum Angriff angegeben.
Type Hier wird der Benachrichtigungstyp angegeben. Mögliche Werte sind: MitigationStarted. MitigationStopped.
PublicIpAddress Hier wird Ihre öffentliche IP-Adresse angegeben.

Datenflussprotokolle zur DDoS-Entschärfung

Mit Datenflussprotokollen zur Entschärfung von Angriffen können Sie den verworfenen Datenverkehr, weitergeleiteten Datenverkehr und andere interessante Datenpunkte bei einem aktiven DDoS-Angriff nahezu in Echtzeit überprüfen. Sie können den konstanten Datenstrom dieser Daten in Microsoft Sentinel oder Ihren SIEM-Drittanbietersystemen per Event Hub erfassen, um eine Überwachung nahezu in Echtzeit zu ermöglichen, gegebenenfalls Aktionen durchzuführen und Ihre erforderlichen Abwehrmaßnahmen zu ermitteln.

AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"

In der folgenden Tabelle sind die Feldnamen und Beschreibungen aufgeführt:

Feldname BESCHREIBUNG
TimeGenerated Hier werden das Datum und die Uhrzeit (UTC) der Erstellung des Datenflussprotokolls angegeben.
ResourceId Hier wird die Ressourcen-ID Ihrer öffentlichen IP-Adresse angegeben.
Kategorie Bei Datenflussprotokollen ist der Wert für dieses Feld DDoSMitigationFlowLogs.
ResourceGroup Hier wird die Ressourcengruppe angegeben, die Ihre öffentliche IP-Adresse und Ihr virtuelles Netzwerk enthält.
SubscriptionId Hier wird die Abonnement-ID für Ihren DDoS-Schutzplan angegeben.
Ressource Hier wird der Name Ihrer öffentlichen IP-Adresse angegeben.
ResourceType Der Wert für dieses Feld ist immer PUBLICIPADDRESS.
OperationName Bei Datenflussprotokollen ist der Wert für dieses Feld DDoSMitigationFlowLogs.
Meldung Hier werden Details zum Angriff angegeben.
SourcePublicIpAddress Hier wird die öffentliche IP-Adresse des Clients angegeben, der Datenverkehr zu Ihrer öffentlichen IP-Adresse generiert.
SourcePort Hier wird eine Portnummer zwischen 0 und 65535 angegeben.
DestPublicIpAddress Hier wird Ihre öffentliche IP-Adresse angegeben.
DestPort Hier wird eine Portnummer zwischen 0 und 65535 angegeben.
Protokoll Hier wird der Protokolltyp angegeben. Mögliche Werte sind tcp, udp oder other.

Berichte zur DDoS-Entschärfung

AzureDiagnostics
| where Category == "DDoSMitigationReports"

In der folgenden Tabelle sind die Feldnamen und Beschreibungen aufgeführt:

Feldname BESCHREIBUNG
TimeGenerated Hier werden das Datum und die Uhrzeit (UTC) der Erstellung der Benachrichtigung angegeben.
ResourceId Hier wird die Ressourcen-ID Ihrer öffentlichen IP-Adresse angegeben.
Kategorie Bei Entschärfungsberichten ist der Wert für dieses Feld DDoSMitigationReports.
ResourceGroup Hier wird die Ressourcengruppe angegeben, die Ihre öffentliche IP-Adresse und Ihr virtuelles Netzwerk enthält.
SubscriptionId Hier wird die Abonnement-ID für Ihren DDoS-Schutzplan angegeben.
Ressource Hier wird der Name Ihrer öffentlichen IP-Adresse angegeben.
ResourceType Der Wert für dieses Feld ist immer PUBLICIPADDRESS.
OperationName Bei Entschärfungsberichten ist der Wert für dieses Feld DDoSMitigationReports
ReportType Mögliche Werte sind Incremental und PostMitigation.
MitigationPeriodStart Hier werden das Datum und die Uhrzeit (UTC) des Beginns der Entschärfung angegeben.
MitigationPeriodEnd Hier werden das Datum und die Uhrzeit (UTC) des Endes der Entschärfung angegeben.
IPAddress Ihre öffentliche IP-Adresse.
AttackVectors Verschlechterung der Angriffstypen. Zu den Schlüsseln gehören TCP SYN flood, TCP flood, UDP flood, UDP reflection und Other packet flood.
TrafficOverview Verschlechterung des Angriffsdatenverkehrs. Zu den Schlüsseln gehören Total packets, Total packets dropped, Total TCP packets, Total TCP packets dropped, Total UDP packets, Total UDP packets dropped, Total Other packets und Total Other packets dropped.
Protokolle   Aufschlüsselung der beteiligten Protokolle. Zu den Schlüsseln gehören TCP, UDP und Other.   
DropReasons Analyse der Ursachen für verworfene Pakete. Zu den Schlüsseln gehört Protocol violation invalid TCP. syn Protocol violation invalid TCP, Protocol violation invalid UDP, UDP reflection, TCP rate limit exceeded, UDP rate limit exceeded, Destination limit exceeded, Other packet flood Rate limit exceeded und Packet was forwarded to service. Gründe für das Verwerfen von Paketen mit dem Hinweis „Protocol violation invalid“ im Namen beziehen sich auf nicht wohlgeformte Pakete.
TopSourceCountries Aufschlüsselung der 10 wichtigsten Herkunftsländer für eingehenden Datenverkehr.
TopSourceCountriesForDroppedPackets Analyse der 10 wichtigsten Herkunftsländer für den gedrosselten Angriffsverkehr.
TopSourceASNs Analyse der 10 wichtigsten Quellen für autonome Systemnummern (ASNs) des eingehenden Datenverkehrs.  
SourceContinents Analyse des Herkunftskontinents für eingehenden Datenverkehr.
Type Hier wird der Benachrichtigungstyp angegeben. Mögliche Werte sind: MitigationStarted. MitigationStopped.

Nächste Schritte

In diesem Tutorial haben Sie gelernt, wie Sie DDoS Protection-Diagnoseprotokolle in einem Log Analytics-Arbeitsbereich anzeigen. Weitere Informationen zu den empfohlenen Schritten bei einem DDoS-Angriff finden Sie in den folgenden Artikeln.