Überwachen öffentlicher IP-Adressen

Wenn Sie über unternehmenskritische Anwendungen und Geschäftsprozesse verfügen, die auf Azure-Ressourcen beruhen, sollten Sie Verfügbarkeit, Leistung und Betrieb dieser Ressourcen überwachen.

In diesem Artikel werden die von öffentlichen IP-Adressen generierten Überwachungsdaten erläutert. Öffentliche IP-Adressen verwenden Azure Monitor. Wenn Sie nicht mit den Features von Azure Monitor vertraut sind, die Bestandteil aller Azure-Dienste sind, für die Azure Monitor verwendet wird, lesen Sie den Artikel Überwachen von Azure-Ressourcen mit Azure Monitor.

Erkenntnisse („Insights“) bezüglich öffentlicher IP-Adressen

Für einige Dienste in Azure enthält das Azure-Portal ein spezielles, vorgefertigtes Überwachungsdashboard, das als Ausgangspunkt für die Überwachung Ihres Diensts dient. Diese speziellen Dashboards werden als „Insights“ (Erkenntnisse) bezeichnet.

Öffentliche IP-Adressen bieten die folgenden Erkenntnisse:

• Datenverkehrsdaten

• DDoS-Informationen

Überwachungsdaten

Öffentlich IP-Adressen sammeln dieselben Arten von Überwachungsdaten wie andere Azure-Ressourcen, die unter Überwachen von Daten aus Azure-Ressourcen beschrieben werden.

Weitere Informationen zu den Metriken und Protokollmetriken, die von öffentlichen IP-Adressen erstellt werden, finden Sie in der Referenz zum Überwachen der Daten öffentlicher IP-Adressen.

Sammlung und Routing

Plattformmetriken und das Aktivitätsprotokoll werden automatisch erfasst und gespeichert, können jedoch mithilfe einer Diagnoseeinstellung an andere Speicherorte weitergeleitet werden.

Ressourcenprotokolle werden erst erfasst und gespeichert, sobald Sie eine Diagnoseeinstellung erstellt und an einen oder mehrere Standorte weitergeleitet haben.

Eine allgemeine Anleitung zum Erstellen einer Diagnoseeinstellung über das Azure-Portal, die CLI oder PowerShell finden Sie unter Erstellen einer Diagnoseeinstellung zum Erfassen von Plattformprotokollen und Metriken in Azure. Wenn Sie eine Diagnoseeinstellung erstellen, legen Sie fest, welche Kategorien von Protokollen gesammelt werden sollen. Die Kategorien für Öffentliche IP-Adressen werden in der Referenz zum Überwachen der Daten öffentlicher IP-Adressen aufgeführt.

Erstellen einer Diagnoseeinstellung

Sie können eine Diagnoseeinstellung über das Azure-Portal, PowerShell oder die Azure CLI erstellen.

Portal

1. Melden Sie sich am Azure-Portal an.

2. Geben Sie am oberen Rand des Portals den Suchbegriff Öffentliche IP-Adresse in das Suchfeld ein. Wählen Sie in den Suchergebnissen Öffentliche IP-Adressen aus.

3. Wählen Sie die öffentliche IP-Adresse aus, für die Sie die Einstellung aktivieren möchten. In diesem Beispiel wird myPublicIP verwendet.

4. Wählen Sie im Abschnitt Überwachung Ihrer öffentlichen IP-Adresse Diagnoseeinstellungen aus.

5. Klicken Sie auf Diagnoseeinstellung hinzufügen.

6. Geben Sie die folgenden Informationen für die Diagnoseeinstellung an, oder wählen Sie sie aus.

   Einstellung	Wert
   Name der Diagnoseeinstellung	Geben Sie einen Namen für die Diagnoseeinstellung ein.
   Protokolle
   Kategorien	Wählen Sie DDoSProtectionNotifications, DDoSMitigationFlowLogs und DDoSMitigationReports aus.
   Metriken
   Wählen Sie AllMetrics aus.

7. Wählen Sie die Zieldetails aus. Dies sind einige der Zieloptionen:

   • Senden an den Log Analytics-Arbeitsbereich

     • Wählen Sie das Abonnement und den Log Analytics-Arbeitsbereich aus.

   • In einem Speicherkonto archivieren

     • Wählen Sie das Abonnement und das Speicherkonto aus.

   • An einen Event Hub streamen

     • Wählen Sie das Abonnement, den Event Hub-Namespace, den Event Hub-Namen (optional) und den Event Hub-Richtliniennamen aus.

   • Senden an eine Partnerlösung

     • Wählen Sie das Abonnement und das Ziel aus.

8. Wählen Sie Speichern aus.

PowerShell

Melden Sie sich bei Azure PowerShell an:

Connect-AzAccount 

Log Analytics-Arbeitsbereich

Um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu senden, geben Sie diese Befehle ein. In diesem Beispiel werden myResourceGroup, myLogAnalyticsWorkspace und myPublicIP als Ressourcenwerte verwendet. Ersetzen Sie diese Werte durch Ihre eigenen Werte.

## Place the public IP in a variable. ##
$ippara = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPublicIP'
}
$ip = Get-AzPublicIPAddress @ippara
    
## Place the workspace in a variable. ##
$wspara = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myLogAnalyticsWorkspace'
}
$ws = Get-AzOperationalInsightsWorkspace @wspara
    
## Enable the diagnostic setting. ##
$diag = @{
	ResourceId = $ip.id
	Name = 'myDiagnosticSetting'
	Enabled = $true
	WorkspaceId = $ws.ResourceId
}
Set-AzDiagnosticSetting @diag

Speicherkonto

Geben Sie diese Befehle ein, um Ressourcenprotokolle an ein Speicherkonto zu senden. In diesem Beispiel werden myResourceGroup, mystorageaccount8675 und myPublicIP als Ressourcenwerte verwendet. Ersetzen Sie diese Werte durch Ihre eigenen Werte.

## Place the public IP in a variable. ##
$ippara = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPublicIP'
}
$lb = Get-AzPublicIPAddress @ippara
    
## Place the storage account in a variable. ##
$storpara = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'mystorageaccount8675'
}
$storage = Get-AzStorageAccount @storpara
    
## Enable the diagnostic setting. ##
$diag = @{
	ResourceId = $ip.id
	Name = 'myDiagnosticSetting'
	StorageAccountId = $storage.id
  Enabled = $true
}
Set-AzDiagnosticSetting @diag

Event Hub

Geben Sie diese Befehle ein, um Ressourcenprotokolle an einen Event Hub-Namespace zu senden. In diesem Beispiel werden myResourceGroup, myeventhub8675 und myPublicIP als Ressourcenwerte verwendet. Ersetzen Sie diese Werte durch Ihre eigenen Werte.

## Place the public IP in a variable. ##
$ippara = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPublicIP'
}
$lb = Get-AzPublicIPAddress @ippara
    
## Place the event hub in a variable. ##
$hubpara = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myeventhub8675'
}
$eventhub = Get-AzEventHubNamespace @hubpara

## Place the event hub authorization rule in a variable. ##    
$hubrule = @{
    ResourceGroupName = 'myResourceGroup'
    Namespace = 'myeventhub8675'
}
$eventhubrule = Get-AzEventHubAuthorizationRule @hubrule

## Enable the diagnostic setting. ##
$diag = @{
	ResourceId = $ip.id
	Name = 'myDiagnosticSetting'
	EventHubName = $eventhub.Name
  EventHubAuthorizationRuleId = $eventhubrule.Id
  Enabled = $true
}
Set-AzDiagnosticSetting @diag

Azure CLI

Anmelden bei der Azure CLI an:

az login

Log Analytics-Arbeitsbereich

Um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu senden, geben Sie diese Befehle ein. In diesem Beispiel werden myResourceGroup, myLogAnalyticsWorkspace und myPublicIP als Ressourcenwerte verwendet. Ersetzen Sie diese Werte durch Ihre eigenen Werte.

ipid=$(az network public-ip show \
    --name myPublicIP \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

wsid=$(az monitor log-analytics workspace show \
    --resource-group myResourceGroup \
    --workspace-name myLogAnalyticsWorkspace \
    --query id \
    --output tsv)
    
az monitor diagnostic-settings create \
    --name myDiagnosticSetting \
    --resource $ipid \
    --logs '[{"category": "DDoSProtectionNotifications","enabled": true},{"category": "DDoSMitigationFlowLogs","enabled": true},{"category": "DDoSMitigationReports","enabled": true}]' \
    --metrics '[{"category": "AllMetrics","enabled": true}]' \
    --workspace $wsid

Speicherkonto

Geben Sie diese Befehle ein, um Ressourcenprotokolle an ein Speicherkonto zu senden. In diesem Beispiel werden myResourceGroup, mystorageaccount8675 und myPublicIP als Ressourcenwerte verwendet. Ersetzen Sie diese Werte durch Ihre eigenen Werte.

ipid=$(az network public-ip show \
    --name myPublicIP \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

storid=$(az storage account show \
        --name mystorageaccount8675 \
        --resource-group myResourceGroup \
        --query id \
        --output tsv)
    
az monitor diagnostic-settings create \
    --name myDiagnosticSetting \
    --resource $ipid \
    --logs '[{"category": "DDoSProtectionNotifications","enabled": true},{"category": "DDoSMitigationFlowLogs","enabled": true},{"category": "DDoSMitigationReports","enabled": true}]' \
    --metrics '[{"category": "AllMetrics","enabled": true}]' \
    --storage-account $storid

Event Hub

Geben Sie diese Befehle ein, um Ressourcenprotokolle an einen Event Hub-Namespace zu senden. In diesem Beispiel werden myResourceGroup, myeventhub8675 und myPublicIP als Ressourcenwerte verwendet. Ersetzen Sie diese Werte durch Ihre eigenen Werte.

ipid=$(az network public-ip show \
    --name myPublicIP \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az monitor diagnostic-settings create \
    --name myDiagnosticSetting \
    --resource $ipid \
    --event-hub myeventhub8675 \
    --event-hub-rule RootManageSharedAccessKey \
    --logs '[{"category": "DDoSProtectionNotifications","enabled": true},{"category": "DDoSMitigationFlowLogs","enabled": true},{"category": "DDoSMitigationReports","enabled": true}]' \
    --metrics '[{"category": "AllMetrics","enabled": true}]'

In den folgenden Abschnitten werden die Metriken und Protokolle behandelt, die Sie erfassen können.

Analysieren von Metriken

Sie können im Metrik-Explorer Metriken für öffentliche IP-Adressen mit Metriken aus anderen Azure-Diensten analysieren, indem Sie im Menü Azure Monitor die Option Metriken öffnen. Ausführliche Informationen zur Verwendung dieses Tools finden Sie unter Analysieren von Metriken mit Azure Metrik-Explorer.

Eine Liste der für die öffentliche IP-Adresse erfassten Plattformmetriken finden Sie in der Referenz zum Überwachen der Daten öffentlicher IP-Adressen.

Sie können zur Referenz auf eine Liste aller in Azure Monitor unterstützter Ressourcenmetriken anzeigen.

Analysieren von Protokollen

Daten in Azure Monitor-Protokollen werden in Tabellen gespeichert, wobei jede Tabelle ihren eigenen Satz an eindeutigen Eigenschaften hat.

Alle Ressourcenprotokolle in Azure Monitor enthalten dieselben Felder, gefolgt von dienstspezifischen Feldern. Das allgemeine Schema wird in Azure Monitor-Ressourcenprotokollschema beschrieben.

Das Aktivitätsprotokoll ist ein Plattformprotokolltyp in Azure, das Erkenntnisse zu Ereignissen auf Abonnementebene liefert. Sie können es unabhängig anzeigen oder an Azure Monitor-Protokolle weiterleiten, in denen Sie mithilfe von Log Analytics viel komplexere Abfragen durchführen können.

Eine Liste der Typen von Ressourcenprotokollen, die für öffentliche IP-Adressen erfasst werden, finden Sie in der Referenz zum Überwachen der Daten öffentlicher IP-Adressen.

Eine Liste der Tabellen, die von Azure Monitor-Protokollen verwendet und von Log Analytics abgefragt werden können, finden Sie in der Referenz zum Überwachen der Daten öffentlicher IP-Adressen.

Kusto-Beispielabfragen

Wichtig

Wenn Sie im Menü der öffentlichen IP-Adressen Protokolle auswählen, wird Log Analytics geöffnet, wobei der Abfragebereich auf die aktuelle öffentliche IP-Adresse festgelegt ist. Dies bedeutet, dass Protokollabfragen nur Daten aus dieser Ressource umfassen. Wenn Sie eine Abfrage ausführen möchten, die Daten aus anderen Ressourcen oder Daten aus anderen Azure-Diensten enthält, wählen Sie im Menü Azure Monitor die Option Protokolle aus. Ausführliche Informationen finden Sie unter Protokollabfragebereich und Zeitbereich in Azure Monitor Log Analytics.

Eine Liste häufiger Abfragen für öffentliche IP-Adressen finden Sie unter der Log Analytics-Abfrageschnittstelle.

Im Folgenden finden Sie ein Beispiel für die integrierten Abfragen für öffentliche IP-Adressen, die in der Log Analytics-Abfrageschnittstelle im Azure-Portal vorhanden sind.

Alerts

Azure Monitor-Warnungen informieren Sie proaktiv, wenn wichtige Bedingungen in Ihren Überwachungsdaten gefunden werden. Sie ermöglichen Ihnen, Probleme in Ihrem System zu identifizieren und zu beheben, bevor Ihre Kunden sie bemerken. Sie können Warnungen für Metriken, Protokolle und das Aktivitätsprotokoll festlegen. Verschiedene Arten von Warnungen haben Vor- und Nachteile.

In der folgenden Tabelle werden gängige und empfohlene Warnungsregeln für öffentliche IP-Adressen aufgeführt.

Warnungstyp	Bedingung	BESCHREIBUNG
Unter DDoS-Angriff oder nicht	GreaterThan 0. 1 wird derzeit angegriffen. 0 gibt normale Aktivität an	Im Rahmen des Edgeschutzes von Azure werden öffentliche IP-Adressen für DDoS-Angriffe überwacht. Eine Warnung ermöglicht es Ihnen, eine Benachrichtigung zu erhalten, wenn Ihre öffentliche IP-Adresse betroffen ist.

Nächste Schritte

• Eine Referenz zu den Metriken, Protokollen und anderen wichtigen Werten, die von öffentlichen IP-Adressen erstellt werden, finden Sie in der Referenz zum Überwachen der Daten öffentlicher IP-Adressen.

• Ausführliche Informationen zur Überwachung von Azure-Ressourcen finden Sie unter Überwachen von Azure-Ressourcen mit Azure Monitor.