你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:查看和配置 Azure DDoS 防护遥测

  • 项目

Azure DDoS 防护通过 DDoS 攻击分析提供详细的攻击见解和可视化效果。 保护其虚拟网络免受 DDoS 攻击的客户可通过攻击缓解报告和缓解流日志来详细了解攻击流量以及缓解攻击的操作。 在 DDoS 攻击期间通过 Azure Monitor 公开丰富的遥测数据(包括详细的指标)。 可以针对 DDoS 防护公开的任何 Azure Monitor 指标配置警报。 可将记录与 Microsoft Sentinel、Splunk(Azure 事件中心)、OMS Log Analytics 和 Azure 存储进一步集成,以通过 Azure Monitor 诊断界面进行高级分析。

本教程介绍以下操作:

  • 查看 Azure DDoS 防护遥测
  • 查看 Azure DDoS 防护缓解策略
  • 验证和测试 Azure DDoS 防护遥测

如果没有 Azure 订阅,请在开始之前创建一个免费帐户

先决条件

  • 如果没有 Azure 订阅,请在开始之前创建一个免费帐户
  • 必须先创建 DDoS 模拟攻击来生成遥测数据,才能完成本教程中的步骤。 在攻击期间,会记录遥测数据。 有关详细信息,请参阅通过模拟测试 DDoS 防护

查看 Azure DDoS 防护遥测

对攻击的遥测是通过 Azure Monitor 实时提供的。 虽然 TCP SYN、TCP 和 UDP 的缓解触发器在和平期内可用,但其他遥测只能在公共 IP 地址被缓解后可用。

可以通过以下三种不同的资源类型查看受保护的公共 IP 地址的 DDoS 遥测:DDoS 防护计划、虚拟网络和公共 IP 地址。

有关指标的详细信息,请参阅监视 Azure DDoS 防护,以详细了解 DDoS 防护监视日志。

查看 DDoS 防护计划中的指标

  1. 登录 Azure 门户并选择 DDoS 防护计划。
  2. 在 Azure 门户菜单上,选择或搜索并选择“DDoS 防护计划”,然后选择你的 DDoS 防护计划。
  3. 在“监视”下,选择“指标”。
  4. 选择“添加指标”,然后选择“范围”。
  5. 在“选择范围”菜单中选择“订阅”,其中包含要记录的公共 IP 地址。
  6. 为“资源类型”选择“公共 IP 地址”,并选择要为其记录指标的特定公共 IP 地址,然后选择“应用”。
  7. 对于“指标”,选择“是否受到 DDoS 攻击”。
  8. 选择“最大值”作为“聚合”类型 。

Screenshot of creating DDoS protection metrics menu.

查看来自虚拟网络的指标

  1. 登录到 Azure 门户,然后浏览到已启用 DDoS 防护功能的虚拟网络。
  2. 在“监视”下,选择“指标”。
  3. 选择“添加指标”,然后选择“范围”。
  4. 在“选择范围”菜单中选择“订阅”,其中包含要记录的公共 IP 地址。
  5. 为“资源类型”选择“公共 IP 地址”,并选择要为其记录指标的特定公共 IP 地址,然后选择“应用”。
  6. 在“指标”下选择所选指标,然后在“聚合”下选择类型为“最大值”。

备注

若要筛选 IP 地址,请选择“添加筛选器”。 在“属性”下,选择“受保护的 IP 地址”,运算符应设置为 =。 在“值”下,你将看到受 Azure DDoS 防护保护的公共 IP 地址的下拉列表,这些地址与虚拟网络相关联。

Screenshot of DDoS diagnostic settings.

查看公共 IP 地址中的指标

  1. 登录到 Azure 门户,并浏览到公共 IP 地址。
  2. 在“Azure 门户”菜单上,选择或搜索并选择“公共 IP 地址”,然后选择你的公共 IP 地址。
  3. 在“监视”下,选择“指标”。
  4. 选择“添加指标”,然后选择“范围”。
  5. 在“选择范围”菜单中选择“订阅”,其中包含要记录的公共 IP 地址。
  6. 为“资源类型”选择“公共 IP 地址”,并选择要为其记录指标的特定公共 IP 地址,然后选择“应用”。
  7. 在“指标”下选择所选指标,然后在“聚合”下选择类型为“最大值”。

备注

将 DDoS IP 保护从“已启用”更改为“已禁用”时,公共 IP 资源的遥测将不可用。

查看 DDoS 缓解策略

Azure DDoS 防护在启用了 DDoS 保护的虚拟网络中,对受保护资源的每个公共 IP 地址应用三个自动优化的缓解策略(TCP SYN、TCP 和 UDP)。 通过选择“聚合”类型为“最大值”的“触发 DDoS 缓解的入站 TCP 数据包”和“触发 DDoS 缓解的入站 UDP 数据包”指标,可查看策略阈值,如下图中所示:

Screenshot of viewing mitigation policies.

验证并测试

要模拟 DDoS 攻击以验证 DDoS 防护遥测,请参阅验证 DDoS 检测

后续步骤

在本教程中,你了解了如何执行以下操作:

  • 配置针对 DDoS 防护指标的警报
  • 查看 DDoS 防护遥测
  • 查看 DDoS 缓解策略
  • 验证和测试 DDoS 防护遥测

要了解如何配置攻击缓解报告和流日志,请继续学习下一个教程。

查看和配置 DDoS 诊断日志记录