Share via

Настройка ведения журнала диагностики Защиты от атак DDoS Azure с помощью портала

  • Статья

Настройте ведение журнала диагностики для Защиты от атак DDoS Azure, чтобы получить представление о атаках DDoS.

В этом руководстве описано следующее:

  • Настройка журналов диагностики.
  • Журналы запросов в рабочей области Log Analytics.

Предварительные требования

  • Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.
  • Прежде чем вы сможете выполнить действия, описанные в этом руководстве, необходимо сначала создать план защиты от атак DDoS Azure. Защита от атак DDoS должна быть включена в виртуальной сети или защита от атак DDoS на общедоступном IP-адресе.
  • Чтобы использовать ведение журнала диагностики, необходимо сначала создать рабочую область Log Analytics с включенными параметрами диагностики.
  • Служба защиты от атак DDoS отслеживает общедоступные IP-адреса, которые назначаются ресурсам в виртуальной сети. При отсутствии в виртуальной сети ресурсов с общедоступными IP-адресами необходимо сначала создать ресурс с общедоступным IP-адресом. Отслеживать общедоступные IP-адреса можно у всех ресурсов, развернутых с помощью Resource Manager (а не по классической модели), которые указаны в виртуальной сети для служб Azure (включая службы Azure Load Balancer, в которых серверные виртуальные машины находятся в виртуальной сети), за исключением сред Службы приложений Azure. Чтобы продолжить работу с этим руководством, можно быстро создать виртуальную машину Windows или Linux .

Настройка журналов диагностики

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портала введите Монитор. Выберите Монитор в результатах поиска.

  3. Выберите Параметры диагностики в разделе Параметры на левой панели, а затем выберите следующие сведения на странице Параметры диагностики . Затем выберите Добавить параметр диагностики.

    Снимок экрана: параметры диагностики монитора.

    Параметр Значение
    Подписка Выберите подписку , содержащую общедоступный IP-адрес, который требуется записать в журнал.
    Группа ресурсов Выберите группу ресурсов , содержащую общедоступный IP-адрес, который требуется записать в журнал.
    Тип ресурса Выберите Общедоступные IP-адреса.
    Ресурс Выберите конкретный общедоступный IP-адрес , для которого нужно регистрировать метрики.

  4. На странице Параметры диагностики в разделе Сведения о назначении выберите Отправить в рабочую область Log Analytics, а затем введите следующие сведения, а затем нажмите кнопку Сохранить.

    Снимок экрана: параметры диагностики атак DDoS.

    Параметр Значение
    Имя параметра диагностики Введите myDiagnosticSettings.
    Журналы Выберите allLogs.
    Метрики Выберите AllMetrics.
    Сведения о назначении Выберите Отправить в рабочую область Log Analytics.
    Подписка Выберите подписку Azure.
    Рабочая область Log Analytics Выберите myLogAnalyticsWorkspace.

Запрос журналов Защиты от атак DDOS Azure в рабочей области Log Analytics

Дополнительные сведения о схемах журналов см. в разделе Просмотр журналов диагностики.

Журналы DDoSProtectionNotifications

  1. В колонке Рабочие области Log Analytics выберите свою рабочую область Log Analytics.

  2. В разделе Общие выберите Журналы.

  3. В обозревателе запросов введите приведенный ниже запрос Kusto, измените диапазон времени на настраиваемый и задайте последние три месяца. Затем щелкните "Выполнить".

    AzureDiagnostics
| where Category == "DDoSProtectionNotifications"

  4. Чтобы просмотреть DDoSMitigationFlowLogs , измените запрос на следующий, сохраните тот же диапазон времени и нажмите выполнить.

    AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"

  5. Чтобы просмотреть DDoSMitigationReports , измените запрос на следующий, сохраните тот же диапазон времени и нажмите выполнить.

    AzureDiagnostics
| where Category == "DDoSMitigationReports"

Проверить

  1. В поле поиска в верхней части портала введите Монитор. Выберите Монитор в результатах поиска.

  2. Выберите Параметры диагностики в разделе Параметры на левой панели, а затем выберите следующие сведения на странице Параметры диагностики : Снимок экрана: Мониторинг параметров диагностики общедоступных IP-адресов включен.

    Параметр Значение
    Подписка Выберите подписку , содержащую общедоступный IP-адрес.
    Группа ресурсов Выберите группу ресурсов , содержащую общедоступный IP-адрес.
    Тип ресурса Выберите Общедоступные IP-адреса.

  3. Убедитесь, что состояние диагностикиВключено.

Дальнейшие действия

В этом руководстве вы узнали, как настроить ведение журнала диагностики для защиты от атак DDoS. Чтобы узнать, как настроить оповещения журнала диагностики, перейдите к следующей статье.

Настройка оповещений журнала диагностикиТестирование с помощью имитацииПросмотр журналов в рабочей области Log Analytics