Просмотр журналов Защиты от атак DDoS Azure в рабочей области Log Analytics
Журналы диагностики Защиты от атак DDoS позволяют просматривать уведомления о защите от атак DDoS, отчеты по устранению рисков и журналы потоков устранения рисков после атак DDoS. Эти журналы можно просмотреть в рабочей области Log Analytics.
В этом руководстве описано следующее:
- просматривать журналы диагностики Защиты от атак DDoS Azure, включая уведомления, отчеты об устранении рисков и журналы потоков устранения рисков.
Предварительные требования
- Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.
- В виртуальной сети должна быть включена защита отатак DDoS или защита от атак DDoS на общедоступном IP-адресе.
- Настройте журналы диагностики Защиты от атак DDoS. Дополнительные сведения см. в статье Настройка журналов диагностики.
- Имитация атаки с помощью одного из наших партнеров по моделированию. Дополнительные сведения см. в статье Тестирование с помощью партнеров по моделированию.
Просмотр в рабочей области Log Analytics
Войдите на портал Azure.
В поле поиска в верхней части портала введите рабочая область Log Analytics. Выберите Рабочая область Log Analytics в результатах поиска.
В колонке Рабочие области Log Analytics выберите свою рабочую область.
На вкладке слева выберите Журналы. Здесь вы увидите обозреватель запросов. Выйдите из области Запросы , чтобы использовать страницу Журналы .
На странице Журналы введите запрос, а затем нажмите кнопку Выполнить , чтобы просмотреть результаты.
Пример запросов журнала
Уведомления защиты от атак DDoS
Уведомления будут уведомлять вас в любое время, когда ресурс общедоступного IP-адреса подвергается атаке, а также когда будет закончена защита от атак.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
В следующей таблице перечислены имена и описания полей.
| Имя поля | Описание |
|---|---|
| TimeGenerated | Дата и время (в формате UTC) создания уведомления. |
| ResourceId | ИД ресурса общедоступного IP-адреса. |
| Категория | Для уведомлений категорией будет DDoSProtectionNotifications. |
| ResourceGroup | Группа ресурсов, содержащая общедоступный IP-адрес и виртуальную сеть. |
| SubscriptionId | Идентификатор подписки плана защиты от атак DDoS. |
| Ресурс | Имя общедоступного IP-адреса. |
| ResourceType | Значением для типа всегда будет PUBLICIPADDRESS. |
| OperationName | Для уведомлений категорией будет DDoSProtectionNotifications. |
| Message | Сведения об атаке. |
| Тип | Тип уведомления. Возможны следующие значения: MitigationStarted. MitigationStopped. |
| PublicIpAddress | Ваш общедоступный IP-адрес. |
Журналы потоков защиты от атак DDoS
Журналы потоков устранения атак позволяют просматривать удаленный трафик, перенаправленный трафик и другие интересные точки данных во время активной атаки DDoS практически в реальном времени. Вы можете принимать постоянный поток этих данных в Microsoft Sentinel или в свои сторонние SIEM-системы с помощью концентратора событий, чтобы обеспечить мониторинг в режиме практически реального времени, выполнять возможные действия и принимать необходимые меры безопасности.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
В следующей таблице перечислены имена и описания полей.
| Имя поля | Описание |
|---|---|
| TimeGenerated | Дата и время создания журнала потоков в формате UTC. |
| ResourceId | ИД ресурса общедоступного IP-адреса. |
| Категория | Для журналов потоков значением категории будет DDoSMitigationFlowLogs. |
| ResourceGroup | Группа ресурсов, содержащая общедоступный IP-адрес и виртуальную сеть. |
| SubscriptionId | Идентификатор подписки плана защиты от атак DDoS. |
| Ресурс | Имя общедоступного IP-адреса. |
| ResourceType | Значением для типа всегда будет PUBLICIPADDRESS. |
| OperationName | Для журналов потоков значением категории будет DDoSMitigationFlowLogs. |
| Message | Сведения об атаке. |
| SourcePublicIpAddress | Общедоступный IP-адрес клиента, который создает трафик на общедоступный IP-адрес. |
| SourcePort | Номер порта в диапазоне от 0 до 65535. |
| DestPublicIpAddress | Ваш общедоступный IP-адрес. |
| DestPort | Номер порта в диапазоне от 0 до 65535. |
| протокол; | Тип протокола. Возможны следующие значения: tcp, udp, other. |
Отчеты по устранению рисков DDoS
Отчеты по устранению атак используют данные протокола Netflow, которые агрегируются для предоставления подробных сведений об атаке на ресурс. Каждый раз, когда ресурс общедоступного IP-адреса подвергается атаке, начинается устранение рисков и создание отчетов. Каждые 5 минут создается добавочный отчет, кроме того, после устранения рисков создается отчет за весь период устранения. Это гарантирует, что в случае продолжительной атаки DDoS каждые 5 минут можно будет просмотреть наиболее актуальный моментальный снимок отчета об устранении рисков, а после устранения рисков атаки будет доступна полная сводка.
AzureDiagnostics
| where Category == "DDoSMitigationReports"
В следующей таблице перечислены имена и описания полей.
| Имя поля | Описание |
|---|---|
| TimeGenerated | Дата и время (в формате UTC) создания уведомления. |
| ResourceId | ИД ресурса общедоступного IP-адреса. |
| Категория | Для отчетов об устранении значением будет DDoSMitigationReports. |
| ResourceGroup | Группа ресурсов, содержащая общедоступный IP-адрес и виртуальную сеть. |
| SubscriptionId | Идентификатор подписки плана защиты от атак DDoS. |
| Ресурс | Имя общедоступного IP-адреса. |
| ResourceType | Значением для типа всегда будет PUBLICIPADDRESS. |
| OperationName | Для отчетов об устранении значением будет DDoSMitigationReports. |
| ReportType | Возможные значения: Incremental и PostMitigation. |
| MitigationPeriodStart | Дата и время (в формате UTC) начала устранения рисков. |
| MitigationPeriodEnd | Дата и время (в формате UTC) завершения устранения рисков. |
| IPAddress | Ваш общедоступный IP-адрес. |
| AttackVectors | Снижение производительности типов атак. К ключам относятся TCP SYN flood, TCP flood, UDP flood, UDP reflectionи Other packet flood. |
| TrafficOverview | Снижение трафика атаки. К ключам относятся Total packets, Total packets dropped, Total TCP packets, Total TCP packets dropped, Total UDP packetsTotal UDP packets dropped, Total Other packets, и Total Other packets dropped. |
| Протоколы | Разбивка включенных протоколов. К ключам относятся TCP, UDPи Other. |
| DropReasons | Анализ причин удаления пакетов. Ключи включают .Protocol violation invalid TCP syn Protocol violation invalid TCP, Protocol violation invalid UDP, UDP reflection, TCP rate limit exceeded, UDP rate limit exceeded, Destination limit exceeded, Other packet flood Rate limit exceeded и Packet was forwarded to service. Недопустимые причины удаления нарушений протокола относятся к неправильно сформированным пакетам. |
| TopSourceCountries | Разбивка 10 основных стран-источников на входящий трафик. |
| TopSourceCountriesForDroppedPackets | Анализ 10 ведущих стран-источников трафика атак, которые были отрегулированы. |
| TopSourceASNs | Анализ 10 основных источников номеров автономных систем (ASN) входящего трафика. |
| SourceContinents | Анализ исходного континента для входящего трафика. |
| Тип | Тип уведомления. Возможны следующие значения: MitigationStarted. MitigationStopped. |
Дальнейшие действия
В этом руководстве вы узнали, как просматривать журналы диагностики защиты от атак DDoS в рабочей области Log Analytics. Дополнительные сведения о рекомендуемых действиях при получении атак DDoS см. в следующих шагах.