Visa Azure DDoS Protection-loggar på Log Analytics-arbetsytan
DDoS Protection-diagnostikloggar ger dig möjlighet att visa DDoS Protection-meddelanden, riskreduceringsrapporter och flödesloggar för riskreducering efter en DDoS-attack. Du kan visa loggarna på Log Analytics-arbetsytan.
I den här guiden får du lära dig att:
- visa diagnostikloggar för Azure DDoS Protection, inklusive meddelanden, riskreduceringsrapporter och flödesloggar för åtgärder.
Förutsättningar
- Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
- DDoS-nätverksskydd måste vara aktiverat i ett virtuellt nätverk, annars måste DDoS IP-skydd vara aktiverat på en offentlig IP-adress.
- Konfigurera diagnostikloggar för DDoS Protection. Mer information finns i Konfigurera diagnostikloggar.
- Simulera en attack med hjälp av en av våra simuleringspartner. Mer information finns i Testa med simuleringspartner.
Visa i Log Analytics-arbetsytan
Logga in på Azure-portalen.
I sökrutan överst i portalen anger du Log Analytics-arbetsyta. Välj Log Analytics-arbetsyta i sökresultatet.
Under bladet Log Analytics-arbetsytor väljer du din arbetsyta.
Välj Loggar på fliken till vänster. Här visas frågeutforskaren. Avsluta fönstret Frågor för att använda sidan Loggar .
På sidan Loggar skriver du in frågan och trycker sedan på Kör för att visa resultat.
Exempel på loggfrågor
DDoS Protection-meddelanden
Meddelanden meddelar dig när en offentlig IP-resurs är under attack och när attackreduceringen är över.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
I följande tabell visas fältnamn och beskrivningar:
| Fältnamn | Description |
|---|---|
| TimeGenerated | Datum och tid i UTC när meddelandet skapades. |
| ResourceId | Resurs-ID för din offentliga IP-adress. |
| Kategori | För meddelanden blir DDoSProtectionNotificationsdetta . |
| ResourceGroup | Resursgruppen som innehåller din offentliga IP-adress och virtuella nätverk. |
| SubscriptionId | Ditt prenumerations-ID för DDoS-skyddsplanen. |
| Resurs | Namnet på din offentliga IP-adress. |
| Resurstypens | Detta kommer alltid att vara PUBLICIPADDRESS. |
| OperationName | För meddelanden blir DDoSProtectionNotificationsdetta . |
| Meddelande | Information om attacken. |
| Typ | Typ av meddelande. Möjliga värden är MitigationStarted. MitigationStopped. |
| PublicIpAddress | Din offentliga IP-adress. |
DDoS Mitigation FlowLogs
Med flödesloggar för attackreducering kan du granska den förlorade trafiken, vidarebefordrad trafik och andra intressanta datapunkter under en aktiv DDoS-attack nästan i realtid. Du kan mata in den konstanta dataströmmen i Microsoft Sentinel eller till SIEM-system från tredje part via händelsehubben för övervakning i nära realtid, vidta potentiella åtgärder och åtgärda behovet av dina försvarsåtgärder.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
I följande tabell visas fältnamn och beskrivningar:
| Fältnamn | Description |
|---|---|
| TimeGenerated | Datum och tid i UTC när flödesloggen skapades. |
| ResourceId | Resurs-ID för din offentliga IP-adress. |
| Kategori | För flödesloggar blir DDoSMitigationFlowLogsdetta . |
| ResourceGroup | Resursgruppen som innehåller din offentliga IP-adress och virtuella nätverk. |
| SubscriptionId | Ditt prenumerations-ID för DDoS-skyddsplanen. |
| Resurs | Namnet på din offentliga IP-adress. |
| Resurstypens | Detta kommer alltid att vara PUBLICIPADDRESS. |
| OperationName | För flödesloggar blir DDoSMitigationFlowLogsdetta . |
| Meddelande | Information om attacken. |
| SourcePublicIpAddress | Den offentliga IP-adressen för klienten som genererar trafik till din offentliga IP-adress. |
| SourcePort | Portnummer från 0 till 65535. |
| DestPublicIpAddress | Din offentliga IP-adress. |
| DestPort | Portnummer från 0 till 65535. |
| Protokoll | Typ av protokoll. Möjliga värden är tcp, udp, other. |
DDoS-riskreduceringsrapporter
Rapporter om attackreducering använder Netflow-protokolldata, som aggregeras för att ge detaljerad information om attacken på din resurs. När en offentlig IP-resurs angrips startar rapportgenereringen så snart åtgärden startar. En inkrementell rapport genereras var 5:e minut och en efterreduceringsrapport för hela åtgärdsperioden. Detta är för att säkerställa att om DDoS-attacken fortsätter under en längre tid kan du se den senaste ögonblicksbilden av riskreduceringsrapporten var femte minut och en fullständig sammanfattning när attackreduceringen är över.
AzureDiagnostics
| where Category == "DDoSMitigationReports"
I följande tabell visas fältnamn och beskrivningar:
| Fältnamn | Description |
|---|---|
| TimeGenerated | Datum och tid i UTC när meddelandet skapades. |
| ResourceId | Resurs-ID för din offentliga IP-adress. |
| Kategori | För åtgärdsrapporter blir DDoSMitigationReportsdetta . |
| ResourceGroup | Resursgruppen som innehåller din offentliga IP-adress och det virtuella nätverket. |
| SubscriptionId | Ditt prenumerations-ID för DDoS-skyddsplan. |
| Resurs | Namnet på din offentliga IP-adress. |
| Resurstypens | Detta kommer alltid att vara PUBLICIPADDRESS. |
| OperationName | För åtgärdsrapporter blir DDoSMitigationReportsdetta . |
| ReportType | Möjliga värden är Incremental och PostMitigation. |
| MitigationPeriodStart | Datum och tid i UTC när åtgärden startade. |
| MitigationPeriodEnd | Datum och tid i UTC när åtgärden avslutades. |
| Ip | Din offentliga IP-adress. |
| AttackVectors | Försämring av attacktyper. Nycklarna är TCP SYN flood, TCP flood, UDP flood, UDP reflectionoch Other packet flood. |
| TrafficOverview | Försämring av attacktrafik. Nycklarna är Total packets, , Total packets droppedTotal TCP packets, Total TCP packets dropped, Total UDP packets, Total UDP packets dropped, och Total Other packetsTotal Other packets dropped. |
| Protokoll | Uppdelning av protokoll som ingår. Nycklarna är TCP, UDPoch Other. |
| DropReasons | Analys av orsaker till borttagna paket. Nycklarna inkluderar Protocol violation invalid TCP. syn Protocol violation invalid TCP, Protocol violation invalid UDP, UDP reflection, TCP rate limit exceeded, UDP rate limit exceeded, Destination limit exceeded, Other packet flood Rate limit exceededoch Packet was forwarded to service. Ogiltiga avlämningsskäl för protokollöverträdelse refererar till felaktiga paket. |
| TopSourceCountries | Uppdelning av de 10 främsta källländerna i inkommande trafik. |
| TopSourceCountriesForDroppedPackets | Analys av de 10 främsta källländerna för attacktrafik som har begränsats. |
| TopSourceASN | Analys av de 10 främsta källorna till autonomt systemnummer (ASN) för inkommande trafik. |
| SourceContinents | Analys av källkontinenten för inkommande trafik. |
| Typ | Typ av meddelande. Möjliga värden är MitigationStarted. MitigationStopped. |
Nästa steg
I den här självstudien har du lärt dig hur du visar DDoS Protection-diagnostikloggar på en Log Analytics-arbetsyta. Mer information om de rekommenderade stegen som du bör vidta när du får en DDoS-attack finns i följande steg.