Azure DDoS Protection-naplók megtekintése a Log Analytics-munkaterületen
A DDoS Protection diagnosztikai naplói lehetővé teszik a DDoS Protection-értesítések, a kockázatcsökkentési jelentések és a kockázatcsökkentési folyamat naplóinak megtekintését egy DDoS-támadás után. Ezeket a naplókat a Log Analytics-munkaterületen tekintheti meg.
Eben az oktatóanyagban az alábbiakkal fog megismerkedni:
- tekintse meg az Azure DDoS Protection diagnosztikai naplóit, beleértve az értesítéseket, a kockázatcsökkentési jelentéseket és a kockázatcsökkentési folyamat naplóit.
Előfeltételek
- Egy Azure-fiók, aktív előfizetéssel. Hozzon létre ingyenes fiókot.
- A DDoS Network Protectiont engedélyezni kell egy virtuális hálózaton, vagy a DDoS IP Protectiont nyilvános IP-címen kell engedélyezni.
- A DDoS Protection diagnosztikai naplóinak konfigurálása. További információ: Diagnosztikai naplók konfigurálása.
- Szimuláljon egy támadást az egyik szimulációs partnerünkkel. További információ: Tesztelés szimulációs partnerekkel.
Megtekintés a Log Analytics-munkaterületen
Jelentkezzen be az Azure Portalra.
A portál tetején található keresőmezőbe írja be a Log Analytics-munkaterületet. A keresési eredmények között válassza a Log Analytics-munkaterület lehetőséget.
A Log Analytics-munkaterületek panelen válassza ki a munkaterületet.
A bal oldali lapon válassza a Naplók lehetőséget. Itt megjelenik a lekérdezéskezelő. Lépjen ki a Lekérdezések panelről a Naplók lap használatához.
A Naplók lapon írja be a lekérdezést, majd nyomja le a Futtatás elemet az eredmények megtekintéséhez.
Példák naplólekérdezésekre
DDoS Protection-értesítések
Az értesítések értesítést küldenek, ha egy nyilvános IP-erőforrás támadás alatt áll, és amikor a támadás elhárítása véget ér.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
Az alábbi táblázat a mezőneveket és a leírásokat sorolja fel:
Mező neve | Description |
---|---|
TimeGenerated | Az értesítés létrehozásának dátuma és időpontja (UTC). |
ResourceId | A nyilvános IP-cím erőforrás-azonosítója. |
Kategória | Értesítések esetén ez lesz a következő DDoSProtectionNotifications : . |
ResourceGroup | A nyilvános IP-címet és a virtuális hálózatot tartalmazó erőforráscsoport. |
SubscriptionId | A DDoS védelmi csomag előfizetés-azonosítója. |
Erőforrás | A nyilvános IP-cím neve. |
ResourceType | Ez mindig a következő lesz PUBLICIPADDRESS : . |
OperationName | Értesítések esetén ez lesz a következő DDoSProtectionNotifications : . |
Üzenetet | A támadás részletei. |
Típus | Az értesítés típusa. A lehetséges értékek közé tartoznak a következők: MitigationStarted . MitigationStopped . |
PublicIpAddress | Az Ön nyilvános IP-címe. |
DDoS-kockázatcsökkentési folyamatnaplók
A támadáscsökkentési folyamatnaplókkal közel valós időben áttekintheti az elvetett forgalmat, a továbbított forgalmat és más érdekes adatpontokat egy aktív DDoS-támadás során. Az adatok folyamatos adatfolyamát betöltheti a Microsoft Sentinelbe vagy a külső SIEM-rendszerekbe az eseményközponton keresztül a közel valós idejű monitorozáshoz, a lehetséges műveletek végrehajtásához és a védelmi műveletek szükségességének kezeléséhez.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
Az alábbi táblázat a mezőneveket és a leírásokat sorolja fel:
Mező neve | Description |
---|---|
TimeGenerated | A folyamatnapló létrehozásának dátuma és időpontja (UTC). |
ResourceId | A nyilvános IP-cím erőforrás-azonosítója. |
Kategória | A folyamatnaplók esetében ez lesz a következő DDoSMitigationFlowLogs : . |
ResourceGroup | A nyilvános IP-címet és a virtuális hálózatot tartalmazó erőforráscsoport. |
SubscriptionId | A DDoS védelmi csomag előfizetés-azonosítója. |
Erőforrás | A nyilvános IP-cím neve. |
ResourceType | Ez mindig a következő lesz PUBLICIPADDRESS : . |
OperationName | A folyamatnaplók esetében ez lesz a következő DDoSMitigationFlowLogs : . |
Üzenetet | A támadás részletei. |
SourcePublicIpAddress | A nyilvános IP-cím felé forgalmat generáló ügyfél nyilvános IP-címe. |
SourcePort | Portszám 0 és 65535 között. |
DestPublicIpAddress | Az Ön nyilvános IP-címe. |
DestPort | Portszám 0 és 65535 között. |
Protokoll | A protokoll típusa. Lehetséges értékek: tcp , udp . other |
DDoS-kockázatcsökkentési jelentések
A támadáscsökkentési jelentések a Netflow protokoll adatait használják, amelyek összesítve részletes információkat nyújtanak az erőforrás elleni támadásról. Amikor egy nyilvános IP-erőforrás támadás alatt áll, a jelentés létrehozása a kockázatcsökkentés megkezdésekor azonnal elindul. 5 percenként létre fog hozni egy növekményes jelentést, és egy kockázatcsökkentés utáni jelentést a teljes kockázatcsökkentési időszakra vonatkozóan. Ennek az a célja, hogy ha a DDoS-támadás hosszabb ideig folytatódik, 5 percenként meg tudja tekinteni a kockázatcsökkentési jelentés legfrissebb pillanatképét, és egy teljes összefoglalást, miután a támadáscsökkentés véget ért.
AzureDiagnostics
| where Category == "DDoSMitigationReports"
Az alábbi táblázat a mezőneveket és a leírásokat sorolja fel:
Mező neve | Description |
---|---|
TimeGenerated | Az értesítés létrehozásának dátuma és időpontja (UTC). |
ResourceId | A nyilvános IP-cím erőforrás-azonosítója. |
Kategória | A kockázatcsökkentési jelentések esetében a következő lesz DDoSMitigationReports : . |
ResourceGroup | A nyilvános IP-címet és a virtuális hálózatot tartalmazó erőforráscsoport. |
SubscriptionId | A DDoS védelmi csomag előfizetés-azonosítója. |
Erőforrás | A nyilvános IP-cím neve. |
ResourceType | Ez mindig a következő lesz PUBLICIPADDRESS : . |
OperationName | A kockázatcsökkentési jelentések esetében a következő lesz DDoSMitigationReports : . |
Jelentéstípus | A lehetséges értékek a és PostMitigation a.Incremental |
MitigationPeriodStart | A kockázatcsökkentés megkezdésének dátuma és időpontja (UTC). |
MitigationPeriodEnd | A kockázatcsökkentés befejezésének dátuma és időpontja (UTC). |
IPAddress | Az Ön nyilvános IP-címe. |
AttackVectors | A támadástípusok romlása. A kulcsok a következők: TCP SYN flood , TCP flood , UDP flood , UDP reflection és Other packet flood . |
TrafficOverview | A támadási forgalom romlása. A kulcsok a következők: Total packets , Total packets dropped , Total TCP packets , Total TCP packets dropped , Total UDP packets , Total UDP packets dropped , Total Other packets , és Total Other packets dropped . |
Protokollok | A mellékelt protokollok lebontása. A kulcsok a következők: TCP , UDP és Other . |
DropReasons | Az elvetett csomagok okainak elemzése. A kulcsok közé tartoznak a következők: Protocol violation invalid TCP . syn Protocol violation invalid TCP , Protocol violation invalid UDP , UDP reflection , TCP rate limit exceeded , UDP rate limit exceeded , Destination limit exceeded , , Other packet flood Rate limit exceeded és Packet was forwarded to service . A protokoll megsértése érvénytelen elvetési okok miatt hibásan formázott csomagokra hivatkozik. |
TopSourceCountries | Az első 10 forrásország felosztása bejövő forgalomra. |
TopSourceCountriesForDroppedPackets | A 10 legnagyobb forrásország elemzése a szabályozott támadási forgalomról. |
TopSourceASNs | A bejövő forgalom 10 autonóm rendszerszámának (ASN-jeinek) elemzése. |
SourceContinents | A forrás kontinens elemzése a bejövő forgalomhoz. |
Típus | Az értesítés típusa. A lehetséges értékek közé tartoznak a következők: MitigationStarted . MitigationStopped . |
Következő lépések
Ebben az oktatóanyagban megtanulta, hogyan tekintheti meg a DDoS Protection diagnosztikai naplóit egy Log Analytics-munkaterületen. Ha többet szeretne megtudni a DDoS-támadások esetén javasolt lépésekről, tekintse meg ezeket a következő lépéseket.