Konfigurieren der Azure DDoS Protection-Diagnoseprotokollierung über das Portal

  • Artikel

Konfigurieren Sie die Diagnoseprotokollierung für Azure DDoS Protection, um Einblicke in DDoS-Angriffe zu erhalten.

In diesem Tutorial lernen Sie Folgendes:

  • Konfigurieren von Diagnoseprotokollen
  • Abfragen von Protokollen im Log Analytics-Arbeitsbereich

Voraussetzungen

  • Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
  • Um die Schritte in diesem Leitfaden auszuführen, müssen Sie zunächst einen Azure DDoS Protection-Plan erstellen. In einem virtuellen Netzwerk muss DDoS-Netzwerkschutz aktiviert sein, oder für eine öffentliche IP-Adresse muss DDoS-IP-Schutz aktiviert sein.
  • Um diese Diagnoseprotokollierung verwenden zu können, müssen Sie zuerst einen Log Analytics-Arbeitsbereich mit aktivierten Diagnoseeinstellungen erstellen.
  • DDoS überwacht öffentliche IP-Adressen, die Ressourcen in einem virtuellen Netzwerk zugewiesen sind. Wenn Sie keine Ressourcen mit öffentlichen IP-Adressen im virtuellen Netzwerk besitzen, müssen Sie zunächst eine Ressource mit einer öffentlichen IP-Adresse erstellen. Sie können die öffentliche IP-Adresse aller Ressourcen (einschließlich Azure Load Balancer-Instanzen, bei denen sich die virtuellen Back-End-Computer im virtuellen Netzwerk befinden) überwachen, die über Resource Manager (nicht klassisch) bereitgestellt werden und unter virtuelles Netzwerk für Azure-Dienste aufgeführt sind, mit Ausnahme der Ressourcen für Azure App Service-Umgebungen. Um mit diesem Leitfaden fortzufahren, können Sie schnell eine Windows- oder Linux-VM erstellen.

Konfigurieren von Diagnoseprotokollen

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie in das Suchfeld oben im Portal Monitor ein. Wählen Sie in den Suchergebnissen den Eintrag Monitor aus.

  3. Wählen Sie zunächst im linken Bereich unter Einstellungen die Option Diagnoseeinstellungen und dann auf der Seite Diagnoseeinstellungen die folgenden Informationen aus. Als Nächstes wählen Sie Diagnoseeinstellung hinzufügen aus.

    Screenshot der Monitor-Diagnoseeinstellungen.

    Einstellung Wert
    Subscription Wählen Sie das Abonnement aus, in dem die öffentliche IP-Adresse enthalten ist, die Sie protokollieren möchten.
    Resource group Wählen Sie die Ressourcengruppe aus, die die zu protokollierende öffentliche IP-Adresse enthält.
    Ressourcentyp Wählen Sie Öffentliche IP-Adressen aus.
    Resource Wählen Sie die gewünschte Öffentliche IP-Adresse aus, für die Metriken protokolliert werden sollen.

  4. Wählen Sie auf der Seite Diagnoseeinstellung unter Zieldetails die Option An Log Analytics-Arbeitsbereich senden aus, geben Sie dann die folgenden Informationen ein, und klicken Sie anschließend auf Speichern.

    Screenshot: DDoS-Diagnoseeinstellungen

    Einstellung Wert
    Name der Diagnoseeinstellung Geben Sie myDiagnosticSettings ein.
    Protokolle Wählen Sie allLogs aus.
    Metriken Wählen Sie AllMetrics aus.
    Zieldetails Aktivieren Sie An Log Analytics-Arbeitsbereich senden.
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Log Analytics-Arbeitsbereich Wählen Sie myLogAnalyticsWorkspace aus.

Abfragen von Azure DDOS Protection-Protokollen im Log Analytics-Arbeitsbereich

Weitere Informationen zu Protokollschemas finden Sie unter Anzeigen von Diagnoseprotokollen.

DDoSProtectionNotifications-Protokolle

  1. Wählen Sie im Blatt Log Analytics-Arbeitsbereich Ihren Log Analytics-Arbeitsbereich aus.

  2. Wählen Sie unter Allgemein die Option Protokolle aus.

  3. Geben Sie im Abfrage-Explorer die folgende Kusto-Abfrage ein, und ändern Sie den Zeitbereich in „Benutzerdefiniert“ und in die letzten drei Monate. Wählen Sie dann „Ausführen“ aus.

    AzureDiagnostics
| where Category == "DDoSProtectionNotifications"

  4. Ändern Sie zum Anzeigen von DDoSMitigationFlowLogs die Abfrage wie folgt, behalten Sie den gleichen Zeitbereich bei, und wählen Sie „Ausführen“ aus.

    AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"

  5. Ändern Sie zum Anzeigen von DDoSMitigationReports die Abfrage wie folgt, behalten Sie den gleichen Zeitbereich bei, und wählen Sie „Ausführen“ aus.

    AzureDiagnostics
| where Category == "DDoSMitigationReports"

Überprüfen

  1. Geben Sie in das Suchfeld oben im Portal Monitor ein. Wählen Sie in den Suchergebnissen den Eintrag Monitor aus.

  2. Wählen Sie zunächst im linken Bereich unter Einstellungen die Option Einstellungen und dann auf der Seite Diagnoseeinstellungen die folgenden Informationen aus: Screenshot der aktivierten Monitor-Diagnoseeinstellungen der öffentlichen IP-Adresse.

    Einstellung Wert
    Subscription Wählen Sie das Abonnement aus, das die öffentliche IP-Adresse enthält.
    Resource group Wählen Sie die Ressourcengruppe aus, die die öffentliche IP-Adresse enthält.
    Ressourcentyp Wählen Sie Öffentliche IP-Adressen aus.

  3. Vergewissern Sie sich, dass der DiagnosestatusAktiviert ist.

Nächste Schritte

In diesem Tutorial haben Sie erfahren, wie Sie die Diagnoseprotokollierung für DDoS Protection konfigurieren. Informationen zur Konfiguration von Diagnoseprotokollierungswarnungen finden Sie im nächsten Artikel.

Konfigurieren der Azure DDoS Protection-Warnungen für die DiagnoseprotokollierungTesten mit SimulationspartnernAnzeigen von Azure DDoS Protection-Protokollen im Log Analytics-Arbeitsbereich