Compartilhar via


Tutorial: Exibir os logs da Proteção contra DDoS do Azure no Workspace do Log Analytics

Neste tutorial, você aprenderá a:

  • Exibir logs de diagnóstico da Proteção contra DDoS do Azure, incluindo notificações, relatórios de mitigação e logs de fluxo de mitigação.

Os logs de diagnóstico da Proteção contra DDoS fornecem a capacidade de exibir notificações de Proteção contra DDoS, relatórios de mitigação e logs de fluxo de mitigação após um ataque de DDoS. Você pode exibir esses logs em seu workspace do Log Analytics.

Os relatórios de mitigação de ataques usam os dados do protocolo Netflow, que são agregados para fornecer informações detalhadas sobre o ataque ao seu recurso. Sempre que um recurso de IP público estiver sob ataque, a geração de relatórios começará assim que a mitigação for iniciada. Também será gerado um relatório de incremental a cada 5 minutos e um relatório de pós-atenuação para todo o período de mitigação. Isso é para garantir que, no caso de o ataque de DDoS continuar por mais tempo, você poderá exibir o instantâneo mais recentes do relatório de atenuação a cada 5 minutos e um resumo completo quando a mitigação de ataque estiver concluída.

Pré-requisitos

Visualizar no espaço de trabalho de análise de logs

  1. Entre no portal do Azure.

  2. Na caixa de pesquisa na parte superior do portal, insira workspace do Log Analytics. Selecione Workspace do Log Analytics nos resultados da pesquisa.

  3. Na folha Workspaces do Log Analytics, selecione seu espaço de trabalho.

  4. Na guia do lado esquerdo, selecione Logs. Aqui você verá o explorador de consultas. Saia do painel Consultas para utilizar a página Logs.

    Captura de tela da visualização de um espaço de trabalho de análise de logs.

  5. Na página Logs, digite sua consulta e clique em Executar para exibir os resultados.

    Captura de tela da visualização dos logs de notificação da Proteção contra DDoS no espaço de trabalho de análise de logs.

Consultar os logs da Proteção contra DDoS do Azure no Workspace do Log Analytics

Para obter mais informações sobre esquemas de log, confira Exibir logs de diagnóstico.

Logs de DDoSProtectionNotifications

  1. Na folha dos workspaces de análise de logs, escolha o workspace de análise de logs.

  2. No painel do lado esquerdo, selecione Logs.

    Captura de tela da consulta de logs nos Workspaces do Log Analytics.

  3. No Gerenciador de consultas, gerencie a consulta do Kusto e altere o intervalo de tempo para Personalizado e mude o valor para os últimos três meses. Depois, clique em Executar.

    AzureDiagnostics
    | where Category == "DDoSProtectionNotifications"
    
  4. Para exibir DDosMitigationFlowLogs, altere a consulta para o seguinte, mantenha o mesmo intervalo de tempo e clique em Executar.

    AzureDiagnostics
    | where Category == "DDoSMitigationFlowLogs"
    
  5. Para exibir DDosMitigationReports, altere a consulta para o seguinte, mantenha o mesmo intervalo de tempo e clique em Executar.

    AzureDiagnostics
    | where Category == "DDoSMitigationReports"
    

Exemplos de consultas de log

Notificações de Proteção contra DDoS

As notificações notificarão você sempre que um recurso público de IP estiver sob ataque e quando a mitigação do ataque terminar.

AzureDiagnostics
| where Category == "DDoSProtectionNotifications"

A tabela a seguir lista os nomes e as descrições de campo:

Nome do campo Descrição
TimeGenerated A data e hora UTC na qual a notificação foi criada.
ResourceId A ID do recurso do seu endereço IP público.
Categoria Para notificações, ela será DDoSProtectionNotifications.
ResourceGroup O grupo de recursos que contém o endereço IP público e a rede virtual.
SubscriptionId Sua ID de assinatura do plano de proteção contra DDoS.
Recurso O nome do seu endereço IP público.
ResourceType Este sempre será PUBLICIPADDRESS.
OperationName Para notificações, isso é DDoSProtectionNotifications.
Message Detalhes sobre o ataque.
Tipo Tipo de notificação. Os valores possíveis incluem MitigationStarted. MitigationStopped.
PublicIpAddress Seu endereço IP público.

FlowLogs de Mitigação de DDoS

Os registros de fluxo de mitigação de ataques permitem analisar o tráfego descartado, o tráfego encaminhado e outros pontos de dados interessantes durante um ataque DDoS ativo em tempo quase real. Você pode ingerir o fluxo constante desses dados no Microsoft Sentinel ou nos seus sistemas SIEM de terceiros por meio do hub de eventos para o monitoramento quase em tempo real, realizar ações possíveis e atender à necessidade de suas operações de defesa.

AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"

A tabela a seguir lista os nomes e as descrições de campo:

Nome do campo Descrição
TimeGenerated A data e a hora UTC na qual o log de fluxo foi criado.
ResourceId A ID do recurso do seu endereço IP público.
Categoria Para os logs de fluxo, isso é DDoSMitigationFlowLogs.
ResourceGroup O grupo de recursos que contém o endereço IP público e a rede virtual.
SubscriptionId Sua ID de assinatura do plano de proteção contra DDoS.
Recurso O nome do seu endereço IP público.
ResourceType Este sempre será PUBLICIPADDRESS.
OperationName Para os logs de fluxo, isso é DDoSMitigationFlowLogs.
Message Detalhes sobre o ataque.
SourcePublicIpAddress O endereço IP público do cliente que gera o tráfego para seu endereço IP público.
SourcePort Número da porta que varia de 0 a 65535.
DestPublicIpAddress Seu endereço IP público.
DestPort Número da porta que varia de 0 a 65535.
Protocolo Tipo de protocolo. Os valores possíveis incluem tcp, udp, other.

Relatórios de Mitigação de DDoS

AzureDiagnostics
| where Category == "DDoSMitigationReports"

A tabela a seguir lista os nomes e as descrições de campo:

Nome do campo Descrição
TimeGenerated A data e hora UTC na qual a notificação foi criada.
ResourceId A ID do recurso do seu endereço IP público.
Categoria Para relatórios de mitigação, isso é DDoSMitigationReports.
ResourceGroup O grupo de recursos que contém o endereço IP público e a rede virtual.
SubscriptionId Sua ID de assinatura do plano de proteção contra DDoS.
Recurso O nome do seu endereço IP público.
ResourceType Este sempre será PUBLICIPADDRESS.
OperationName Para relatórios de mitigação, isso é DDoSMitigationReports
ReportType Os valores possíveis são Incremental e PostMitigation.
MitigationPeriodStart A data e a hora UTC na qual a mitigação foi iniciada.
MitigationPeriodEnd A data e a hora UTC na qual a mitigação foi finalizada.
EndereçoIP Seu endereço IP Público.
AttackVectors Degradação dos tipos de ataque. As chaves incluem TCP SYN flood, TCP flood, UDP flood, UDP reflection e Other packet flood.
TrafficOverview Degradação do tráfego de ataque. As chaves incluem Total packets, Total packets dropped, Total TCP packets, Total TCP packets dropped, Total UDP packets, Total UDP packets dropped, Total Other packets e Total Other packets dropped.
Protocolos   Detalhamento dos protocolos incluídos. As chaves incluem TCP, UDP e Other.   
DropReasons Análise das causas dos pacotes removidos. As chaves incluem Protocol violation invalid TCP. syn Protocol violation invalid TCP, Protocol violation invalid UDP, UDP reflection, TCP rate limit exceeded, UDP rate limit exceeded, Destination limit exceeded, Other packet flood Rate limit exceeded e Packet was forwarded to service. Os motivos de remoção inválidos por violação de protocolo referem-se a pacotes malformados.
TopSourceCountries Detalhamento dos 10 principais países de origem no tráfego de entrada.
TopSourceCountriesForDroppedPackets Análise dos 10 principais países de origem do tráfego de ataque que foram limitados.
TopSourceASNs Análise das 10 principais fontes de números do sistema autônomo (ASNs) do tráfego de entrada.  
SourceContinents Análise do continente de origem para o tráfego de entrada.
Tipo Tipo de notificação. Os valores possíveis incluem MitigationStarted. MitigationStopped.

Próximas etapas

Neste tutorial, você aprendeu a visualizar logs de diagnóstico da Proteção contra DDoS em um workspace do Log Analytics. Para saber mais sobre as etapas recomendadas a serem executadas ao receber um ataque de DDoS, confira as próximas etapas.