Просмотр журналов Защиты от атак DDoS Azure в рабочей области Log Analytics
Журналы диагностики Защиты от атак DDoS позволяют просматривать уведомления о защите от атак DDoS, отчеты по устранению рисков и журналы потоков устранения рисков после атак DDoS. Эти журналы можно просмотреть в рабочей области Log Analytics.
В этом руководстве описано следующее:
- просматривать журналы диагностики Защиты от атак DDoS Azure, включая уведомления, отчеты об устранении рисков и журналы потоков устранения рисков.
Предварительные требования
- Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.
- В виртуальной сети должна быть включена защита отатак DDoS или защита от атак DDoS на общедоступном IP-адресе.
- Настройте журналы диагностики Защиты от атак DDoS. Дополнительные сведения см. в статье Настройка журналов диагностики.
- Имитация атаки с помощью одного из наших партнеров по моделированию. Дополнительные сведения см. в статье Тестирование с помощью партнеров по моделированию.
Просмотр в рабочей области Log Analytics
Войдите на портал Azure.
В поле поиска в верхней части портала введите рабочая область Log Analytics. Выберите Рабочая область Log Analytics в результатах поиска.
В колонке Рабочие области Log Analytics выберите свою рабочую область.
На вкладке слева выберите Журналы. Здесь вы увидите обозреватель запросов. Выйдите из области Запросы , чтобы использовать страницу Журналы .
На странице Журналы введите запрос, а затем нажмите кнопку Выполнить , чтобы просмотреть результаты.
Пример запросов журнала
Уведомления защиты от атак DDoS
Уведомления будут уведомлять вас в любое время, когда ресурс общедоступного IP-адреса подвергается атаке, а также когда будет закончена защита от атак.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
В следующей таблице перечислены имена и описания полей.
Имя поля | Описание |
---|---|
TimeGenerated | Дата и время (в формате UTC) создания уведомления. |
ResourceId | ИД ресурса общедоступного IP-адреса. |
Категория | Для уведомлений категорией будет DDoSProtectionNotifications . |
ResourceGroup | Группа ресурсов, содержащая общедоступный IP-адрес и виртуальную сеть. |
SubscriptionId | Идентификатор подписки плана защиты от атак DDoS. |
Ресурс | Имя общедоступного IP-адреса. |
ResourceType | Значением для типа всегда будет PUBLICIPADDRESS . |
OperationName | Для уведомлений категорией будет DDoSProtectionNotifications . |
Message | Сведения об атаке. |
Тип | Тип уведомления. Возможны следующие значения: MitigationStarted . MitigationStopped . |
PublicIpAddress | Ваш общедоступный IP-адрес. |
Журналы потоков защиты от атак DDoS
Журналы потоков устранения атак позволяют просматривать удаленный трафик, перенаправленный трафик и другие интересные точки данных во время активной атаки DDoS практически в реальном времени. Вы можете принимать постоянный поток этих данных в Microsoft Sentinel или в свои сторонние SIEM-системы с помощью концентратора событий, чтобы обеспечить мониторинг в режиме практически реального времени, выполнять возможные действия и принимать необходимые меры безопасности.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
В следующей таблице перечислены имена и описания полей.
Имя поля | Описание |
---|---|
TimeGenerated | Дата и время создания журнала потоков в формате UTC. |
ResourceId | ИД ресурса общедоступного IP-адреса. |
Категория | Для журналов потоков значением категории будет DDoSMitigationFlowLogs . |
ResourceGroup | Группа ресурсов, содержащая общедоступный IP-адрес и виртуальную сеть. |
SubscriptionId | Идентификатор подписки плана защиты от атак DDoS. |
Ресурс | Имя общедоступного IP-адреса. |
ResourceType | Значением для типа всегда будет PUBLICIPADDRESS . |
OperationName | Для журналов потоков значением категории будет DDoSMitigationFlowLogs . |
Message | Сведения об атаке. |
SourcePublicIpAddress | Общедоступный IP-адрес клиента, который создает трафик на общедоступный IP-адрес. |
SourcePort | Номер порта в диапазоне от 0 до 65535. |
DestPublicIpAddress | Ваш общедоступный IP-адрес. |
DestPort | Номер порта в диапазоне от 0 до 65535. |
протокол; | Тип протокола. Возможны следующие значения: tcp , udp , other . |
Отчеты по устранению рисков DDoS
Отчеты по устранению атак используют данные протокола Netflow, которые агрегируются для предоставления подробных сведений об атаке на ресурс. Каждый раз, когда ресурс общедоступного IP-адреса подвергается атаке, начинается устранение рисков и создание отчетов. Каждые 5 минут создается добавочный отчет, кроме того, после устранения рисков создается отчет за весь период устранения. Это гарантирует, что в случае продолжительной атаки DDoS каждые 5 минут можно будет просмотреть наиболее актуальный моментальный снимок отчета об устранении рисков, а после устранения рисков атаки будет доступна полная сводка.
AzureDiagnostics
| where Category == "DDoSMitigationReports"
В следующей таблице перечислены имена и описания полей.
Имя поля | Описание |
---|---|
TimeGenerated | Дата и время (в формате UTC) создания уведомления. |
ResourceId | ИД ресурса общедоступного IP-адреса. |
Категория | Для отчетов об устранении значением будет DDoSMitigationReports . |
ResourceGroup | Группа ресурсов, содержащая общедоступный IP-адрес и виртуальную сеть. |
SubscriptionId | Идентификатор подписки плана защиты от атак DDoS. |
Ресурс | Имя общедоступного IP-адреса. |
ResourceType | Значением для типа всегда будет PUBLICIPADDRESS . |
OperationName | Для отчетов об устранении значением будет DDoSMitigationReports . |
ReportType | Возможные значения: Incremental и PostMitigation . |
MitigationPeriodStart | Дата и время (в формате UTC) начала устранения рисков. |
MitigationPeriodEnd | Дата и время (в формате UTC) завершения устранения рисков. |
IPAddress | Ваш общедоступный IP-адрес. |
AttackVectors | Снижение производительности типов атак. К ключам относятся TCP SYN flood , TCP flood , UDP flood , UDP reflection и Other packet flood . |
TrafficOverview | Снижение трафика атаки. К ключам относятся Total packets , Total packets dropped , Total TCP packets , Total TCP packets dropped , Total UDP packets Total UDP packets dropped , Total Other packets , и Total Other packets dropped . |
Протоколы | Разбивка включенных протоколов. К ключам относятся TCP , UDP и Other . |
DropReasons | Анализ причин удаления пакетов. Ключи включают .Protocol violation invalid TCP syn Protocol violation invalid TCP , Protocol violation invalid UDP , UDP reflection , TCP rate limit exceeded , UDP rate limit exceeded , Destination limit exceeded , Other packet flood Rate limit exceeded и Packet was forwarded to service . Недопустимые причины удаления нарушений протокола относятся к неправильно сформированным пакетам. |
TopSourceCountries | Разбивка 10 основных стран-источников на входящий трафик. |
TopSourceCountriesForDroppedPackets | Анализ 10 ведущих стран-источников трафика атак, которые были отрегулированы. |
TopSourceASNs | Анализ 10 основных источников номеров автономных систем (ASN) входящего трафика. |
SourceContinents | Анализ исходного континента для входящего трафика. |
Тип | Тип уведомления. Возможны следующие значения: MitigationStarted . MitigationStopped . |
Дальнейшие действия
В этом руководстве вы узнали, как просматривать журналы диагностики защиты от атак DDoS в рабочей области Log Analytics. Дополнительные сведения о рекомендуемых действиях при получении атак DDoS см. в следующих шагах.