Wyświetlanie dzienników usługi Azure DDoS Protection w obszarze roboczym usługi Log Analytics
Dzienniki diagnostyczne usługi DDoS Protection zapewniają możliwość wyświetlania powiadomień ochrony przed atakami DDoS, raportów ograniczania ryzyka i dzienników przepływu ograniczania ryzyka po ataku DDoS. Te dzienniki można wyświetlić w obszarze roboczym usługi Log Analytics.
Ten samouczek zawiera informacje na temat wykonywania następujących czynności:
- Wyświetl dzienniki diagnostyczne usługi Azure DDoS Protection, w tym powiadomienia, raporty ograniczania ryzyka i dzienniki przepływu ograniczania ryzyka.
Wymagania wstępne
- Konto platformy Azure z aktywną subskrypcją. Utwórz bezpłatne konto.
- Ochrona przed siecią DDoS musi być włączona w sieci wirtualnej lub ochrona przed atakami DDoS IP musi być włączona na publicznym adresie IP.
- Konfigurowanie dzienników diagnostycznych usługi DDoS Protection. Aby dowiedzieć się więcej, zobacz Konfigurowanie dzienników diagnostycznych.
- Symulowanie ataku przy użyciu jednego z naszych partnerów symulacji. Aby dowiedzieć się więcej, zobacz Testowanie z partnerami symulacji.
Wyświetlanie w obszarze roboczym usługi Log Analytics
Zaloguj się w witrynie Azure Portal.
W polu wyszukiwania w górnej części portalu wprowadź obszar roboczy usługi Log Analytics. Wybierz obszar roboczy usługi Log Analytics w wynikach wyszukiwania.
W bloku Obszary robocze usługi Log Analytics wybierz swój obszar roboczy.
Na karcie po lewej stronie wybierz pozycję Dzienniki. W tym miejscu zobaczysz eksploratora zapytań. Wyjdź z okienka Zapytania , aby użyć strony Dzienniki .
Na stronie Dzienniki wpisz zapytanie, a następnie naciśnij pozycję Uruchom , aby wyświetlić wyniki.
Przykładowe zapytania dziennika
Powiadomienia dotyczące ochrony przed atakami DDoS
Powiadomienia będą otrzymywać powiadomienia w dowolnym momencie, w którym zasób publicznego adresu IP jest atakowany, a po zakończeniu ograniczania ryzyka ataku.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
W poniższej tabeli wymieniono nazwy pól i opisy:
Nazwa pola | Opis |
---|---|
TimeGenerated | Data i godzina w formacie UTC utworzenia powiadomienia. |
ResourceId | Identyfikator zasobu publicznego adresu IP. |
Kategoria | W przypadku powiadomień będzie to .DDoSProtectionNotifications |
Grupa zasobów | Grupa zasobów zawierająca publiczny adres IP i sieć wirtualną. |
Subscriptionid | Identyfikator subskrypcji planu ochrony przed atakami DDoS. |
Zasób | Nazwa publicznego adresu IP. |
Resourcetype | Zawsze będzie to wartość PUBLICIPADDRESS . |
Operationname | W przypadku powiadomień będzie to .DDoSProtectionNotifications |
Wiadomość | Szczegóły ataku. |
Typ | Typ powiadomienia. Możliwe wartości to MitigationStarted . MitigationStopped . |
PublicIpAddress | Publiczny adres IP. |
Dzienniki przepływu ograniczania ryzyka ataków DDoS
Dzienniki przepływu ograniczania ryzyka ataków umożliwiają przeglądanie porzuconego ruchu, przekazywania ruchu i innych interesujących punktów danych podczas aktywnego ataku DDoS w czasie niemal rzeczywistym. Możesz pozyskać stały strumień tych danych do usługi Microsoft Sentinel lub do systemów SIEM innych firm za pośrednictwem centrum zdarzeń w celu monitorowania niemal w czasie rzeczywistym, podjąć potencjalne działania i rozwiązać potrzeby operacji obronnych.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
W poniższej tabeli wymieniono nazwy pól i opisy:
Nazwa pola | Opis |
---|---|
TimeGenerated | Data i godzina w formacie UTC podczas tworzenia dziennika przepływu. |
ResourceId | Identyfikator zasobu publicznego adresu IP. |
Kategoria | W przypadku dzienników przepływu będzie to .DDoSMitigationFlowLogs |
Grupa zasobów | Grupa zasobów zawierająca publiczny adres IP i sieć wirtualną. |
Subscriptionid | Identyfikator subskrypcji planu ochrony przed atakami DDoS. |
Zasób | Nazwa publicznego adresu IP. |
Resourcetype | Zawsze będzie to wartość PUBLICIPADDRESS . |
Operationname | W przypadku dzienników przepływu będzie to .DDoSMitigationFlowLogs |
Wiadomość | Szczegóły ataku. |
SourcePublicIpAddress | Publiczny adres IP klienta generujący ruch do publicznego adresu IP. |
SourcePort | Numer portu od 0 do 65535. |
DestPublicIpAddress | Publiczny adres IP. |
DestPort | Numer portu od 0 do 65535. |
Protokół | Typ protokołu. Możliwe wartości to tcp , , other udp . |
Raporty ograniczania ryzyka ataków DDoS
Raporty zaradcze dotyczące ataków używają danych protokołu Netflow, które są agregowane w celu udostępnienia szczegółowych informacji o ataku na zasób. Za każdym razem, gdy zasób publicznego adresu IP jest atakowany, generowanie raportu rozpocznie się zaraz po rozpoczęciu ograniczania ryzyka. Raport przyrostowy będzie generowany co 5 minut i raport po łagodzeniu ryzyka dla całego okresu ograniczania ryzyka. Ma to na celu upewnienie się, że w przypadku ataku DDoS będzie on kontynuowany przez dłuższy czas, będzie można wyświetlić najbardziej aktualną migawkę raportu ograniczania ryzyka co 5 minut i pełne podsumowanie po zakończeniu ograniczania ryzyka ataku.
AzureDiagnostics
| where Category == "DDoSMitigationReports"
W poniższej tabeli wymieniono nazwy pól i opisy:
Nazwa pola | Opis |
---|---|
TimeGenerated | Data i godzina w formacie UTC utworzenia powiadomienia. |
ResourceId | Identyfikator zasobu publicznego adresu IP. |
Kategoria | W przypadku raportów ograniczania ryzyka będzie to .DDoSMitigationReports |
Grupa zasobów | Grupa zasobów zawierająca publiczny adres IP i sieć wirtualną. |
Subscriptionid | Identyfikator subskrypcji planu ochrony przed atakami DDoS. |
Zasób | Nazwa publicznego adresu IP. |
Resourcetype | Zawsze będzie PUBLICIPADDRESS to . |
Operationname | W przypadku raportów ograniczania ryzyka będzie to .DDoSMitigationReports |
Typ raportu | Możliwe wartości to Incremental i PostMitigation . |
MitigationPeriodStart | Data i godzina w formacie UTC rozpoczęcia ograniczania ryzyka. |
MitigationPeriodEnd | Data i godzina w formacie UTC po zakończeniu ograniczania ryzyka. |
Ipaddress | Publiczny adres IP. |
Wektory ataku | Degradacja typów ataków. Klucze obejmują TCP SYN flood , , TCP flood UDP flood , UDP reflection i Other packet flood . |
TrafficOverview | Obniżenie ruchu podatnego na ataki. Klucze obejmują Total packets , , Total packets dropped Total UDP packets Total TCP packets dropped Total UDP packets dropped Total TCP packets , Total Other packets , i .Total Other packets dropped |
Protokoły | Podział dołączonych protokołów. Klucze obejmują TCP , UDP i Other . |
DropReasons | Analiza przyczyn porzuconych pakietów. Klucze obejmują Protocol violation invalid TCP . syn Protocol violation invalid TCP , , Protocol violation invalid UDP , , UDP rate limit exceeded UDP reflection Destination limit exceeded TCP rate limit exceeded , Other packet flood Rate limit exceeded i .Packet was forwarded to service Nieprawidłowe przyczyny porzucania protokołu odnoszą się do źle sformułowanych pakietów. |
TopSourceCountries | Podział 10 najważniejszych krajów źródłowych na ruch przychodzący. |
TopSourceCountriesForDroppedPackets | Analiza 10 najlepszych krajów źródłowych pod kątem ruchu atakowego, który został ograniczony. |
TopSourceASNs | Analiza 10 najważniejszych źródeł numerów systemu autonomicznego (ASN) ruchu przychodzącego. |
Identyfikatory źródłowe | Analiza kontynentu źródłowego pod kątem ruchu przychodzącego. |
Typ | Typ powiadomienia. Możliwe wartości to MitigationStarted . MitigationStopped . |
Następne kroki
W tym samouczku przedstawiono sposób wyświetlania dzienników diagnostycznych usługi DDoS Protection w obszarze roboczym usługi Log Analytics. Aby dowiedzieć się więcej o zalecanych krokach, które należy wykonać po wystąpieniu ataku DDoS, zobacz następujące następne kroki.