Configurer des alertes de journalisation des diagnostics Azure DDoS Protection via le portail

Configurez la journalisation des diagnostics pour Azure DDoS Protection, afin d’obtenir une visibilité sur les attaques DDoS.

Dans ce tutoriel, vous allez apprendre à :

  • Configurer les journaux de diagnostic.
  • Interroger les journaux dans l’espace de travail Log Analytics.

Prérequis

  • Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
  • Avant de pouvoir exécuter la procédure de ce guide, vous devez créer un plan de protection Azure DDoS. La protection réseau DDoS doit être activée sur un réseau virtuel ou une protection IP DDoS doit être activée sur une adresse IP publique.
  • Pour utiliser la journalisation des diagnostics, vous devez d’abord créer un espace de travail Log Analytics avec les paramètres de diagnostic activés.
  • Le service DDoS surveille les adresses IP publiques affectées aux ressources dans un réseau virtuel. Si aucune ressource dans le réseau virtuel ne possède une adresse IP publique, vous devez d’abord créer une ressource dotée d’une adresse IP publique. Vous pouvez surveiller l’IP publique de toutes les ressources déployées par le biais de Resource Manager (non Classic) qui figurent dans Réseau virtuel pour services Azure (y compris les équilibreurs de charge Azure pour lesquels les machines virtuelles principales se trouvent dans le réseau virtuel), à l’exception des instances Azure App Service Environment. Pour poursuivre ce guide, vous pouvez créer rapidement une machine virtuelle Windows ou Linux.

Configurer les journaux de diagnostic

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche située en haut du portail, entrez Moniteur. Sélectionnez Moniteur dans les résultats de la recherche.

  3. Sélectionnez Paramètres de diagnostic sous Paramètres dans le volet gauche, puis sélectionnez les informations suivantes dans la page Paramètres de diagnostic. Ensuite, sélectionnez Ajouter un paramètre de diagnostic.

    Capture d’écran des paramètres de diagnostic sous Moniteur.

    Paramètre Valeur
    Abonnement Sélectionnez l’abonnement qui contient l’adresse IP publique que vous souhaitez journaliser.
    Resource group Sélectionnez le groupe de ressources qui contient l’adresse IP publique que vous souhaitez journaliser.
    Type de ressource Sélectionnez Adresses IP publiques.
    Ressource Sélectionnez l’Adresse IP publique spécifique dont vous souhaitez journaliser les métriques.
  4. Dans la page Paramètres de diagnostic, sous Détails de destination, sélectionnez Envoyer à l’espace de travail Log Analytics, puis entrez les informations suivantes, puis sélectionnez Enregistrer.

    Capture d’écran des paramètres de diagnostic DDoS.

    Paramètre Valeur
    Nom du paramètre de diagnostic Entrez myDiagnosticSettings.
    Journaux d’activité Sélectionnez allLogs.
    Métriques Sélectionnez AllMetrics.
    Détails de la destination Sélectionnez Envoyer à l’espace de travail Log Analytics.
    Abonnement Sélectionnez votre abonnement Azure.
    Espace de travail Log Analytics Sélectionnez myLogAnalyticsWorkspace.

Interroger les journaux Azure DDoS Protection dans l’espace de travail analytique des journaux d'activité

Pour plus d’informations sur les schémas de journalisation, consultez l’article Afficher les journaux de diagnostic.

Journaux DDoSProtectionNotifications

  1. Sous le panneau Espace de travail Log Analytics, sélectionnez votre espace de travail log analytics.

  2. Sous Général, sélectionnez Journaux.

  3. Dans l’Explorateur de requêtes, tapez la Requête Kusto suivante et remplacez l’intervalle de temps par Personnalisée et définissez l’intervalle de temps sur les trois derniers mois. Appuyez ensuite sur Exécuter.

    AzureDiagnostics
    | where Category == "DDoSProtectionNotifications"
    
  4. Pour afficher DDoSMitigationFlowLogs, remplacez la requête par ce qui suit et conservez la même intervalle de temps, puis appuyez sur Exécuter.

    AzureDiagnostics
    | where Category == "DDoSMitigationFlowLogs"
    
  5. Pour afficher DDoSMitigationReports, remplacez la requête par ce qui suit et conservez la même intervalle de temps, puis appuyez sur Exécuter.

    AzureDiagnostics
    | where Category == "DDoSMitigationReports"
    

Valider

  1. Dans la zone de recherche située en haut du portail, entrez Moniteur. Sélectionnez Moniteur dans les résultats de la recherche.

  2. Sélectionnez Paramètres de diagnostic sous Paramètres dans le volet gauche, puis sélectionnez les informations suivantes dans la page Paramètres de diagnostic : Capture d’écran des paramètres de diagnostic d’adresse IP publique sous Moniteur activés.

    Paramètre Valeur
    Abonnement Sélectionnez l’abonnement qui contient l’adresse IP publique.
    Resource group Sélectionnez le groupe de ressources qui contient l’adresse IP publique.
    Type de ressource Sélectionnez Adresses IP publiques.
  3. Vérifiez que votre état de diagnostic est Activé.

Étapes suivantes

Dans ce tutoriel, vous avez appris à configurer la journalisation des diagnostics pour la protection DDoS. Pour savoir comment configurer les alertes de journalisation des diagnostics, passez à l’article suivant.