Menampilkan log Azure DDoS Protection di ruang kerja Analitik Log
Log diagnostik DDoS Protection memberi Anda kemampuan untuk melihat pemberitahuan DDoS Protection, laporan mitigasi, dan log alur mitigasi setelah serangan DDoS. Anda dapat melihat log ini di ruang kerja Analitik Log Anda.
Dalam tutorial ini, Anda akan mempelajari cara:
- lihat log diagnostik Azure DDoS Protection termasuk pemberitahuan, laporan mitigasi, dan log alur mitigasi.
Prasyarat
- Akun Azure dengan langganan aktif. Buat akun gratis.
- Perlindungan Jaringan DDoS harus diaktifkan pada jaringan virtual atau Perlindungan IP DDoS harus diaktifkan pada alamat IP publik.
- Mengonfigurasi log diagnostik DDoS Protection. Untuk mempelajari selengkapnya, lihat Mengonfigurasi log diagnostik.
- Simulasikan serangan menggunakan salah satu mitra simulasi kami. Untuk mempelajari selengkapnya, lihat Menguji dengan mitra simulasi.
Menampilkan di ruang kerja Analitik Log
Masuk ke portal Microsoft Azure.
Di kotak pencarian di bagian atas portal, masukkan ruang kerja Analitik Log. Pilih Ruang kerja Analitik Log di hasil pencarian.
Di bawah bilah Ruang kerja Analitik Log , pilih ruang kerja Anda.
Di tab sisi kiri, pilih Log. Di sini Anda akan melihat penjelajah kueri. Keluar dari panel Kueri untuk menggunakan halaman Log .
Di halaman Log , ketik kueri Anda lalu tekan Jalankan untuk menampilkan hasil.
Kueri log sampel
Pemberitahuan DDoS Protection
Pemberitahuan akan memberi tahu Anda kapan saja sumber daya IP publik diserang, dan ketika mitigasi serangan berakhir.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
Tabel berikut ini mencantumkan nama dan deskripsi bidang:
| Nama bidang | Deskripsi |
|---|---|
| TimeGenerated | Tanggal dan waktu di UTC saat pemberitahuan dibuat. |
| ResourceId | ID sumber daya alamat IP publik Anda. |
| Kategori | Untuk pemberitahuan, DDoSProtectionNotifications akan digunakan. |
| ResourceGroup | Grup sumber daya yang berisi alamat IP publik dan jaringan virtual Anda. |
| SubscriptionId | ID langganan paket perlindungan DDoS Anda. |
| Sumber daya | Nama alamat IP publik Anda. |
| ResourceType | PUBLICIPADDRESS akan selalu digunakan. |
| OperationName | Untuk pemberitahuan, DDoSProtectionNotifications akan digunakan. |
| Pesan | Detail serangan. |
| Jenis | Jenis pemberitahuan. Nilai yang mungkin termasuk MitigationStarted. MitigationStopped. |
| PublicIpAddress | Alamat IP publik Anda. |
Log Alur Mitigasi DDoS
Log alur mitigasi serangan memungkinkan Anda meninjau lalu lintas yang dihilangkan, lalu lintas yang diteruskan, dan titik data menarik lainnya selama serangan DDoS aktif mendekati real time. Anda dapat menyerap aliran konstan data ini ke Microsoft Azure Sentinel atau ke sistem SIEM pihak ketiga Anda melalui hub peristiwa untuk pemantauan hampir real time melakukan tindakan potensial, dan mengatasi kebutuhan operasi pertahanan Anda.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
Tabel berikut ini mencantumkan nama dan deskripsi bidang:
| Nama bidang | Deskripsi |
|---|---|
| TimeGenerated | Tanggal dan waktu dalam UTC saat log alur dibuat. |
| ResourceId | ID sumber daya alamat IP publik Anda. |
| Kategori | Untuk log aliran, DDoSMitigationFlowLogs akan digunakan. |
| ResourceGroup | Grup sumber daya yang berisi alamat IP publik dan jaringan virtual Anda. |
| SubscriptionId | ID langganan paket perlindungan DDoS Anda. |
| Sumber daya | Nama alamat IP publik Anda. |
| ResourceType | PUBLICIPADDRESS akan selalu digunakan. |
| OperationName | Untuk log aliran, DDoSMitigationFlowLogs akan digunakan. |
| Pesan | Detail serangan. |
| SourcePublicIpAddress | Alamat IP publik klien yang menghasilkan lalu lintas ke alamat IP publik Anda. |
| SourcePort | Nomor port berkisar antara 0 hingga 65535. |
| DestPublicIpAddress | Alamat IP publik Anda. |
| DestPort | Nomor port berkisar antara 0 hingga 65535. |
| Protokol | Jenis protokol. Nilai yang mungkin termasuk tcp, udp, other. |
Laporan Mitigasi DDoS
Laporan mitigasi serangan menggunakan data protokol Netflow, yang diagregasi untuk memberikan informasi terperinci tentang serangan terhadap sumber daya Anda. Setiap kali sumber daya IP publik diserang, pembuatan laporan akan dimulai segera setelah mitigasi dimulai. Akan ada laporan bertahap yang dihasilkan setiap 5 menit dan laporan pasca-mitigasi untuk seluruh periode mitigasi. Tindakan ini untuk memastikan bahwa dalam peristiwa terjadinya serangan DDoS terus berlanjut untuk durasi waktu yang lebih lama, Anda akan dapat melihat snapshot laporan mitigasi terbaru setiap 5 menit dan ringkasan lengkap setelah mitigasi serangan berakhir.
AzureDiagnostics
| where Category == "DDoSMitigationReports"
Tabel berikut ini mencantumkan nama dan deskripsi bidang:
| Nama bidang | Deskripsi |
|---|---|
| TimeGenerated | Tanggal dan waktu di UTC saat pemberitahuan dibuat. |
| ResourceId | ID sumber daya alamat IP publik Anda. |
| Kategori | Untuk laporan mitigasi, DDoSMitigationReports akan digunakan. |
| ResourceGroup | Grup sumber daya yang berisi alamat IP publik dan jaringan virtual Anda. |
| SubscriptionId | ID langganan paket perlindungan DDoS Anda. |
| Sumber daya | Nama alamat IP publik Anda. |
| ResourceType | PUBLICIPADDRESS akan selalu digunakan. |
| OperationName | Untuk laporan mitigasi, DDoSMitigationReports akan digunakan. |
| ReportType | Nilai yang mungkin adalah Incremental dan PostMitigation. |
| MitigationPeriodStart | Tanggal dan waktu dalam UTC saat mitigasi dimulai. |
| MitigationPeriodEnd | Tanggal dan waktu dalam UTC saat mitigasi berakhir. |
| IPAddress | Alamat IP publik Anda. |
| AttackVectors | Degradasi jenis serangan. Kuncinya termasuk TCP SYN flood, , TCP floodUDP flood, UDP reflection, dan Other packet flood. |
| TrafficOverview | Degradasi lalu lintas serangan. Kuncinya termasuk Total packets, , Total packets droppedTotal TCP packets, Total TCP packets dropped, Total UDP packets, , Total UDP packets droppedTotal Other packets, dan Total Other packets dropped. |
| Protokol | Perincian protokol disertakan. Kuncinya termasuk TCP, UDP, dan Other. |
| DropReasons | Analisis penyebab paket yang dihilangkan. Kuncinya termasuk Protocol violation invalid TCP. syn Protocol violation invalid TCP, , UDP reflectionProtocol violation invalid UDP, TCP rate limit exceeded, UDP rate limit exceeded, Destination limit exceeded, Other packet flood Rate limit exceeded, dan Packet was forwarded to service. Pelanggaran protokol alasan penurunan yang tidak valid mengacu pada paket yang salah bentuk. |
| TopSourceCountries | Perincian 10 negara sumber teratas menjadi lalu lintas masuk. |
| TopSourceCountriesForDroppedPackets | Analisis 10 negara sumber teratas untuk lalu lintas serangan yang telah dibatasi. |
| TopSourceASNs | Analisis 10 sumber nomor sistem otonom (ASN) teratas dari lalu lintas masuk. |
| SourceContinents | Analisis benua sumber untuk lalu lintas masuk. |
| Jenis | Jenis pemberitahuan. Nilai yang mungkin termasuk MitigationStarted. MitigationStopped. |
Langkah berikutnya
Dalam tutorial ini, Anda mempelajari cara melihat log diagnostik DDoS Protection di ruang kerja Analitik Log. Untuk mempelajari selengkapnya tentang langkah-langkah yang direkomendasikan saat Anda menerima serangan DDoS, lihat langkah-langkah berikutnya.