ポータルを使用して Azure DDoS Protection の診断ログ を構成する

  • [アーティクル]

Azure DDoS Protection の診断ログを構成して、DDoS 攻撃を可視化します。

このチュートリアルでは、以下の内容を学習します。

  • 診断ログを構成する。
  • Log Analytics ワークスペース内のログにクエリを実行する。

前提条件

  • Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
  • このガイドの手順を実行する前に、まず Azure DDoS Protection プランを作成する必要があります。 DDoS Network Protection を仮想ネットワークで有効にする必要があります。または、DDoS IP Protection をパブリック IP アドレスで有効にする必要があります。
  • 診断ログを使用するために、最初に、診断設定を有効にした Log Analytics ワークスペースを作成する必要があります。
  • DDoS は、仮想ネットワーク内のリソースに割り当てられているパブリック IP アドレスを監視します。 仮想ネットワーク内のパブリック IP アドレスを持つリソースがない場合は、最初にパブリック IP アドレスを使用してリソースを作成する必要があります。 Azure App Service Environment を除き、Azure サービスの仮想ネットワークに関する記事に一覧表示されている Resource Manager (クラシックではない) を通じてデプロイされている、すべてのリソースのパブリック IP アドレスを監視できます (バックエンド仮想マシンが仮想ネットワーク内にある Azure Load Balancer を含む)。 このガイドを続行するために、Windows または Linux の仮想マシンをすばやく作成することができます。

診断ログを構成する

  1. Azure portal にサインインします。

  2. ポータルの上部にある検索ボックスに、「モニター」と入力します。 検索結果から [モニター] を選択します。

  3. 左側のウィンドウの [設定][診断設定] を選択し、[診断設定] ページで次の情報を選択します。 次に、[診断設定を追加する] を選びます。

    [モニター] の診断設定のスクリーンショット。

    設定
    サブスクリプション ログに記録するパブリック IP アドレスが含まれているサブスクリプションを選択します。
    リソース グループ ログに記録するパブリック IP アドレスを含むリソース グループを選択します。
    リソースの種類 [パブリック IP アドレス] を選択します。
    リソース メトリックをログに記録する具体的なパブリック IP アドレスを選択します。

  4. [診断設定] ページの [Destination details] (宛先の詳細) で、[Log Analytics ワークスペースへの送信] を選択して、次の情報を入力し、[保存] を選びます。

    DDoS 診断設定のスクリーンショット。

    設定
    診断設定の名前 myDiagnosticSettings」と入力します。
    ログ [allLogs] を選択します。
    Metrics [AllMetrics] を選択します。
    宛先の詳細 [Log Analytics ワークスペースへの送信] を選択します。
    サブスクリプション Azure サブスクリプションを選択します。
    Log Analytics ワークスペース [myLogAnalyticsWorkspace] を選択します。

Log Analytics ワークスペースで Azure DDoS Protection のログを照会する

ログ スキーマの詳細については、診断ログの表示に関する記事を参照してください。

DDoSProtectionNotifications ログ

  1. [Log Analytics ワークスペース] ブレードで、お使いの Log Analytics ワークスペースを選択します。

  2. [全般][ログ] を選択します。

  3. クエリ エクスプローラーで、次の Kusto クエリを入力して、時間範囲をカスタムに変更し、時間範囲を過去 3 か月間に変更します。 次に、[実行] をクリックします。

    AzureDiagnostics
| where Category == "DDoSProtectionNotifications"

  4. DDoSMitigationFlowLogs を表示するには、クエリを次のように変更し、時間範囲を同じままにして [実行] を押します。

    AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"

  5. DDoSMitigationReports を表示するには、クエリを次のように変更し、時間範囲を同じままにして [実行] を押します。

    AzureDiagnostics
| where Category == "DDoSMitigationReports"

検証

  1. ポータルの上部にある検索ボックスに、「モニター」と入力します。 検索結果から [モニター] を選択します。

  2. 左側のウィンドウの [設定][診断設定] を選択し、[診断設定] ページで次の情報を選択します。パブリック IP の監視診断設定が有効になっているスクリーンショット。

    設定
    サブスクリプション パブリック IP アドレスを含むサブスクリプションを選択します。
    リソース グループ パブリック IP アドレスを含むリソース グループを選択します。
    リソースの種類 [パブリック IP アドレス] を選択します。

  3. "診断状態" が [有効] になっていることを確認します。

次の手順

このチュートリアルでは、DDoS Protection の診断ログを構成する方法について学習しました。 診断ログ アラートを構成する方法については、次の記事に進んでください。

診断ログ アラートの構成シミュレーションによるテストLog Analytics ワークスペースでログを表示する