Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- tekintse meg az Azure DDoS Protection diagnosztikai naplóit, beleértve az értesítéseket, a kockázatcsökkentési jelentéseket és a kockázatcsökkentési folyamat naplóit.
A DDoS Protection diagnosztikai naplói lehetővé teszik a DDoS Protection-értesítések, a kockázatcsökkentési jelentések és a kockázatcsökkentési folyamat naplóinak megtekintését egy DDoS-támadás után. Ezeket a naplókat a Log Analytics-munkaterületen tekintheti meg.
A támadáscsökkentési jelentések a Netflow protokoll adatait használják, amelyek összesítve részletes információkat nyújtanak az erőforrás elleni támadásról. Amikor egy nyilvános IP-erőforrás támadás alatt áll, a jelentés létrehozása a kockázatcsökkentés megkezdésekor azonnal elindul. 5 percenként növekményes jelentés jön létre, és egy kockázatcsökkentés utáni jelentés lesz a teljes kárenyhítési időszakra vonatkozóan. Ez annak biztosítása, hogy ha a DDoS-támadás hosszabb ideig folytatódik, 5 percenként megtekintheti a kockázatcsökkentési jelentés legfrissebb pillanatképét, és teljes összefoglalást kaphat a támadás elhárításának befejezését követően.
Előfeltételek
- Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
- A DDoS Network Protectiont engedélyezni kell egy virtuális hálózaton, vagy a DDoS IP-védelmet nyilvános IP-címen kell engedélyezni.
- A DDoS Protection diagnosztikai naplóinak konfigurálása. További információ: Diagnosztikai naplók konfigurálása.
- Szimuláljon egy támadást az egyik szimulációs partnerünkkel. További információ: Tesztelés szimulációs partnerekkel.
Megtekintés a Log Analytics-munkaterületen
Jelentkezzen be az Azure Portalra.
A portál tetején található keresőmezőbe írja be a Log Analytics-munkaterületet. Válassza a Log Analytics-munkaterületet a keresési eredmények között.
A Log Analytics-munkaterületek panelen válassza ki a munkaterületet.
A bal oldali lapon válassza a Naplók lehetőséget. Itt láthatja a lekérdezéskezelőt. Lépjen ki a Lekérdezések panelről a Naplók lap használatához.
A Naplók lapon írja be a lekérdezést, majd nyomja le a Futtatás elemet az eredmények megtekintéséhez.
Azure DDoS Protection-naplók lekérdezése a Log Analytics-munkaterületen
A naplós sémákról további információt a diagnosztikai naplók megtekintése című témakörben talál.
DDoSProtectionNotifications naplóbejegyzések
A Log Analytics-munkaterületek panelen válassza ki a log analytics-munkaterületet.
A bal oldali panelen válassza a Naplók lehetőséget. Itt láthatja a lekérdezéskezelőt.
A Lekérdezéskezelőben írja be a következő Kusto-lekérdezést, és módosítsa az időtartományt egyénire, és módosítsa az időtartományt az utolsó három hónapra. Ezután kattintson a Futtatás gombra.
AzureDiagnostics | where Category == "DDoSProtectionNotifications"A DDoSMitigationFlowLogs megtekintéséhez módosítsa a lekérdezést a következőre, tartsa meg ugyanazt az időtartományt, és nyomja le a Futtatás elemet.
AzureDiagnostics | where Category == "DDoSMitigationFlowLogs"A DDoSMitigationReports megtekintéséhez módosítsa a lekérdezést a következőre, tartsa meg ugyanazt az időtartományt, és nyomja le a Futtatás elemet.
AzureDiagnostics | where Category == "DDoSMitigationReports"
Példák naplólekérdezésekre
DDoS Protection-értesítések
Az értesítések értesítést küldenek, ha egy nyilvános IP-erőforrás támadás alatt áll, és ha a támadás elhárítása véget ért.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
Az alábbi táblázat a mezőneveket és a leírásokat sorolja fel:
| Mező neve | Leírás |
|---|---|
| TimeGenerated | Az értesítés létrehozásának dátuma és időpontja (UTC). |
| ResourceId | A nyilvános IP-cím erőforrás-azonosítója. |
| Kategória | Értesítések esetén ez lesz DDoSProtectionNotifications. |
| ResourceGroup | A nyilvános IP-címet és a virtuális hálózatot tartalmazó erőforráscsoport. |
| SubscriptionId | A DDoS védelmi csomag előfizetés-azonosítója. |
| Erőforrás | A nyilvános IP-cím neve. |
| ResourceType | Ez mindig így lesz PUBLICIPADDRESS. |
| OperationName | Értesítések esetén ez a DDoSProtectionNotifications. |
| Üzenet | A támadás részletei. |
| Típus | Az értesítés típusa. A lehetséges értékek közé tartoznak a következők MitigationStarted: .
MitigationStopped. |
| PublicIpAddress | Az Ön nyilvános IP-címe. |
DDoS-kockázatcsökkentési folyamatnaplók
A támadáscsökkentési folyamatnaplók lehetővé teszik az eldobott forgalom, a továbbított forgalom és más érdekes adatpontok közel valós idejű áttekintését egy aktív DDoS-támadás során. Az adatok folyamatos adatfolyamát betöltheti a Microsoft Sentinelbe vagy a külső SIEM-rendszerekbe eseményközponton keresztül a közel valós idejű monitorozáshoz, a lehetséges műveletek végrehajtásához és a védelmi műveletek szükségességének kezeléséhez.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
Az alábbi táblázat a mezőneveket és a leírásokat sorolja fel:
| Mező neve | Leírás |
|---|---|
| TimeGenerated | A folyamatnapló létrehozásának dátuma és időpontja (UTC). |
| ResourceId | A nyilvános IP-cím erőforrás-azonosítója. |
| Kategória | Folyamatnaplók esetében ez a DDoSMitigationFlowLogs. |
| ResourceGroup | A nyilvános IP-címet és a virtuális hálózatot tartalmazó erőforráscsoport. |
| SubscriptionId | A DDoS védelmi csomag előfizetés-azonosítója. |
| Erőforrás | A nyilvános IP-cím neve. |
| ResourceType | Ez mindig így lesz PUBLICIPADDRESS. |
| OperationName | Folyamatnaplók esetében ez a DDoSMitigationFlowLogs. |
| Üzenet | A támadás részletei. |
| SourcePublicIpAddress | A nyilvános IP-cím felé forgalmat generáló ügyfél nyilvános IP-címe. |
| SourcePort | Portszám 0 és 65535 között. |
| DestPublicIpAddress | Az Ön nyilvános IP-címe. |
| DestPort | Portszám 0 és 65535 között. |
| Protokoll | A protokoll típusa. Lehetséges értékek: tcp, udpother. |
DDoS-kockázatcsökkentési jelentések
AzureDiagnostics
| where Category == "DDoSMitigationReports"
Az alábbi táblázat a mezőneveket és a leírásokat sorolja fel:
| Mező neve | Leírás |
|---|---|
| TimeGenerated | Az értesítés létrehozásának dátuma és időpontja (UTC). |
| ResourceId | A nyilvános IP-cím erőforrás-azonosítója. |
| Kategória | A kockázatcsökkentési jelentések esetében ez DDoSMitigationReports. |
| ResourceGroup | A nyilvános IP-címet és a virtuális hálózatot tartalmazó erőforráscsoport. |
| SubscriptionId | A DDoS védelmi csomag előfizetés-azonosítója. |
| Erőforrás | A nyilvános IP-cím neve. |
| ResourceType | Ez mindig így lesz PUBLICIPADDRESS. |
| OperationName | A kockázatcsökkentési jelentések esetében ez DDoSMitigationReports. |
| ReportType | A lehetséges értékek a következők: Incremental és PostMitigation. |
| EnyhítésiIdőszakKezdete | A kockázatcsökkentés megkezdésének dátuma és időpontja (UTC). |
| EnyhítésiIdőszakVége | A kockázatcsökkentés befejezésének dátuma és időpontja (UTC). |
| IPAddress | Nyilvános IP-cím. |
| AttackVectors | A támadástípusok romlása. A kulcsok közé tartoznak: TCP SYN flood, TCP flood, UDP flood, UDP reflection és Other packet flood. |
| TrafficOverview | A támadási forgalom csökkenése. A kulcsok közé tartozik Total packets, Total packets dropped, Total TCP packets, Total TCP packets dropped, Total UDP packets, Total UDP packets dropped, Total Other packets és Total Other packets dropped. |
| Protocols | A mellékelt protokollok lebontása. A kulcsok közé tartozik az TCP, UDP és a Other. |
| DropReasons | Az elvetett csomagok okainak elemzése. A kulcsok közé tartoznak a következők Protocol violation invalid TCP: .
syn Protocol violation invalid TCP, Protocol violation invalid UDP, UDP reflection, TCP rate limit exceeded, UDP rate limit exceededDestination limit exceeded, Other packet flood Rate limit exceededés Packet was forwarded to service. A protokoll megsértésének érvénytelen elvetési okai hibásan formázott csomagokra hivatkoznak. |
| TopSourceCountries | Az első 10 forrásország/régió lebontása bejövő forgalomra. |
| Legtöbb csomagvesztéssel járó forrásországok | Elemzés az első 10 olyan forrásországról/régióról, amelynél korlátozták a támadási forgalmat. |
| TopSourceASNs | A bejövő forgalom autonóm rendszerszámainak (ASN-jei) top 10 forrásának elemzése. |
| SourceContinents | A bejövő forgalom forrás kontinensének elemzése. |
| Típus | Az értesítés típusa. A lehetséges értékek közé tartoznak a következők MitigationStarted: .
MitigationStopped. |
Következő lépések
Ebben az oktatóanyagban megtanulta, hogyan tekintheti meg a DDoS Protection diagnosztikai naplóit egy Log Analytics-munkaterületen. Ha többet szeretne megtudni a DDoS-támadás esetén javasolt lépésekről, tekintse meg ezeket a következő lépéseket.