次の方法で共有


チュートリアル: Log Analytics ワークスペースで Azure DDoS Protection のログを表示する

このチュートリアルでは、次の作業を行う方法について説明します。

  • 通知、軽減策レポート、軽減フロー ログなどの Azure DDoS Protection 診断ログを表示する。

DDoS Protection 診断ログを使用すると、DDoS 攻撃後に DDoS Protection 通知、軽減策レポート、軽減フロー ログを表示できます。 これらのログは、Log Analytics ワークスペースで表示できます。

攻撃の軽減策レポートでは、リソースへの攻撃に関する詳細情報を提供するために集計される、Netflow プロトコル データが使用されます。 パブリック IP リソースが攻撃を受けるたびに、軽減策が開始されるとすぐにレポートの生成が開始されます。 5 分ごとに増分レポートが生成され、軽減策の期間全体に対して軽減策後のレポートが生成されます。 これにより、DDoS 攻撃が長時間継続する場合に、確実に 5 分ごとに軽減策レポートの最新のスナップショットを表示し、攻撃の軽減策が完了したら完全な概要を表示することができます。

前提条件

Log Analytics ワークスペースで表示する

  1. Azure portal にサインインします。

  2. ポータルの上部にある検索ボックスに、「Log Analytics ワークスペース」と入力します。 検索結果で、[Log Analytics ワークスペース] を選択します。

  3. [Log Analytics ワークスペース] ブレードで、お使いのワークスペースを選択します。

  4. 左側のタブで、[ログ] を選択します。 ここでは、クエリ エクスプローラーが表示されます。 [クエリ] ペインを終了して、[ログ] ページを利用します。

    Log Analytics ワークスペースの表示のスクリーンショット。

  5. [ログ] ページで、クエリを入力し、[実行] をクリックして結果を表示します。

    Log Analytics ワークスペースで DDoS Protection 通知ログを表示するスクリーンショット。

ログ分析ワークスペースで Azure DDoS Protection のログを照会する

ログ スキーマの詳細については、診断ログの表示に関する記事を参照してください。

DDoSProtectionNotifications ログ

  1. [Log Analytics ワークスペース] ブレードで、お使いの Log Analytics ワークスペースを選択します。

  2. 左側のペインで、[ログ] を選択します。

    Log Analytics ワークスペースのログ クエリのスクリーンショット。

  3. クエリ エクスプローラーで、次の Kusto クエリを入力して、時間範囲をカスタムに変更し、時間範囲を過去 3 か月間に変更します。 次に、[実行] をクリックします。

    AzureDiagnostics
    | where Category == "DDoSProtectionNotifications"
    
  4. DDoSMitigationFlowLogs を表示するには、クエリを次のように変更し、時間範囲を同じままにして [実行] を押します。

    AzureDiagnostics
    | where Category == "DDoSMitigationFlowLogs"
    
  5. DDoSMitigationReports を表示するには、クエリを次のように変更し、時間範囲を同じままにして [実行] を押します。

    AzureDiagnostics
    | where Category == "DDoSMitigationReports"
    

ログ クエリの例

DDoS Protection 通知

パブリック IP リソースが攻撃を受けているとき、および攻撃の軽減が終了したときに、通知を受け取ります。

AzureDiagnostics
| where Category == "DDoSProtectionNotifications"

次の表にフィールド名と説明を示します。

フィールド名 説明
TimeGenerated 通知が作成された日時 (UTC)。
ResourceId パブリック IP アドレスのリソース ID。
カテゴリ 通知の場合、これは DDoSProtectionNotifications になります。
ResourceGroup パブリック IP アドレスと仮想ネットワークを含むリソース グループ。
SubscriptionId DDoS 保護プランのサブスクリプション ID。
リソース パブリック IP アドレスの名前。
ResourceType これは常に PUBLICIPADDRESS になります。
OperationName 通知の場合、これは DDoSProtectionNotifications です。
メッセージ 攻撃の詳細。
Type 通知の種類。 指定できる値は MitigationStarted です。 MitigationStopped
PublicIpAddress お客様のパブリック IP アドレス。

DDoS 軽減 FlowLogs

攻撃の軽減フロー ログを使用すると、アクティブな DDoS 攻撃中に、削除されたトラフィック、転送されたトラフィック、およびその他の有用なデータ ポイントをほぼリアルタイムで確認できます。 この一定のデータ ストリームをほぼリアルタイムに監視するために、イベント ハブを使用して Microsoft Sentinel またはサードパーティの SIEM システム内に取り込み、可能なアクションを実行して、防御操作の必要性に対処することができます。

AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"

次の表にフィールド名と説明を示します。

フィールド名 説明
TimeGenerated フロー ログが作成された日時 (UTC)。
ResourceId パブリック IP アドレスのリソース ID。
カテゴリ フロー ログの場合、これは DDoSMitigationFlowLogs です。
ResourceGroup パブリック IP アドレスと仮想ネットワークを含むリソース グループ。
SubscriptionId DDoS 保護プランのサブスクリプション ID。
リソース パブリック IP アドレスの名前。
ResourceType これは常に PUBLICIPADDRESS になります。
OperationName フロー ログの場合、これは DDoSMitigationFlowLogs です。
メッセージ 攻撃の詳細。
SourcePublicIpAddress パブリック IP アドレスへのトラフィックを生成しているクライアントのパブリック IP アドレス。
SourcePort 0 から 65535 の範囲のポート番号。
DestPublicIpAddress お客様のパブリック IP アドレス。
DestPort 0 から 65535 の範囲のポート番号。
プロトコル プロトコルの種類。 指定できる値は tcpudpother です。

DDoS 軽減策レポート

AzureDiagnostics
| where Category == "DDoSMitigationReports"

次の表にフィールド名と説明を示します。

フィールド名 説明
TimeGenerated 通知が作成された日時 (UTC)。
ResourceId パブリック IP アドレスのリソース ID。
カテゴリ 軽減レポートの場合、これは DDoSMitigationReports です。
ResourceGroup パブリック IP アドレスと仮想ネットワークを含むリソース グループ。
SubscriptionId DDoS 保護プランのサブスクリプション ID。
リソース パブリック IP アドレスの名前。
ResourceType これは常に PUBLICIPADDRESS になります。
OperationName 軽減レポートの場合、これは DDoSMitigationReports です。 
ReportType 設定可能な値は Incremental および PostMitigation です。
MitigationPeriodStart 軽減策が開始された日時 (UTC)。
MitigationPeriodEnd 軽減策が終了した日時 (UTC)。
IPAddress お客様のパブリック IP アドレス。
AttackVectors 攻撃の低下の種類。 キーには、TCP SYN floodTCP floodUDP floodUDP reflectionOther packet flood が含まれます。
TrafficOverview 攻撃の低下のトラフィック。 キーには、Total packetsTotal packets droppedTotal TCP packetsTotal TCP packets droppedTotal UDP packetsTotal UDP packets droppedTotal Other packetsTotal Other packets dropped が含まれます。
プロトコル   含まれるプロトコルの内訳。 キーには、TCPUDPOther が含まれます。   
DropReasons 破棄されたパケットの原因分析。 キーには Protocol violation invalid TCP が含まれます。 syn Protocol violation invalid TCPProtocol violation invalid UDPUDP reflectionTCP rate limit exceededUDP rate limit exceededDestination limit exceededOther packet flood Rate limit exceeded、および Packet was forwarded to service。 プロトコル違反の無効なドロップ理由は、形式に誤りがあるパケットを指します。
TopSourceCountries 受信トラフィックの上位 10 ソース国の内訳。
TopSourceCountriesForDroppedPackets 抑えられた攻撃トラフィックの上位 10 ソース国の分析。
TopSourceASNs 受信トラフィックの自律システム番号 (ASN) の上位 10 ソースの分析。  
SourceContinents 受信トラフィックのソース大陸の分析。
Type 通知の種類。 指定できる値は MitigationStarted です。 MitigationStopped

次のステップ

このチュートリアルでは、Log Analytics ワークスペースで DDoS Protection 診断ログを表示する方法について学習しました。 DDoS 攻撃を受けた場合に実行する推奨される手順について詳しくは、次のステップをご覧ください。