你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
配置 Azure DDoS 防护诊断日志记录警报
通过 DDoS 防护诊断日志记录警报,可了解 DDoS 攻击和缓解操作。 可以为已启用诊断日志记录的所有受 DDoS 保护的公共 IP 地址配置警报。
本教程介绍如何执行下列操作:
- 通过 Azure Monitor 和逻辑应用配置诊断日志记录警报。
先决条件
- 如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
- 必须在虚拟网络上启用 DDoS 网络保护,或者必须在公共 IP 地址上启用 DDoS IP 保护。
- 若要使用诊断日志记录,必须先创建一个已启用诊断设置的 Log Analytics 工作区。
- DDoS 防护监视分配给虚拟网络中资源的公共 IP 地址。 如果虚拟网络中没有任何具有公共 IP 地址的资源,必须首先创建具有公共 IP 地址的资源。 你可以监视 Azure 服务的虚拟网络中列出的通过资源管理器(非经典)部署的所有资源(包括后端虚拟机位于虚拟网络中的 Azure 负载均衡器)的公共 IP,但 Azure 应用服务环境除外。 若要继续本指南的内容,可快速创建 Windows 或 Linux 虚拟机。
通过 Azure Monitor 配置诊断日志记录警报
使用这些模板,可以为已启用诊断日志记录的所有公共 IP 地址配置警报。
创建 Azure Monitor 警报规则
此 Azure Monitor 警报规则模板将针对诊断日志运行查询,以检测何时发生主动的 DDoS 缓解措施。 警报指示存在潜在攻击。 操作组可用于作为警报结果调用操作。
部署模板
选择“部署到 Azure”,登录到 Azure 并打开模板。
在“自定义部署”页面的“项目详细信息”下,输入以下信息。
设置 值 订阅 选择 Azure 订阅。 资源组 选择你的资源组。 区域 选择你的区域。 工作区名称 输入工作区名称。 在此示例中,工作区名称为 myLogAnalyticsWorkspace。 位置 输入“美国东部”。 注意
位置必须与工作区的位置相一致。
选择“查看 + 创建”,然后在通过验证后选择“创建” 。
使用逻辑应用创建 Azure Monitor 诊断日志记录警报规则
此 DDoS 缓解警报扩充模板部署扩充的 DDoS 缓解警报的必要组件:Azure Monitor 警报规则、操作组和逻辑应用。 此过程的结果是一封电子邮件警报,其中包含有关受攻击的 IP 地址的详细信息,包括与 IP 关联的资源的相关信息。 资源的所有者将与安全团队一起添加为电子邮件的收件人。 还会执行基本应用程序可用性测试,并将结果包含在电子邮件警报中。
部署模板
选择“部署到 Azure”,登录到 Azure 并打开模板。
在“自定义部署”页面的“项目详细信息”下,输入以下信息。
设置 值 订阅 选择 Azure 订阅。 资源组 选择你的资源组。 区域 选择你的区域。 警报名称 保留为默认值。 安全团队电子邮件 输入所需的电子邮件地址。 公司域 输入所需的域。 工作区名称 输入工作区名称。 在此示例中,工作区名称为 myLogAnalyticsWorkspace。 选择“查看 + 创建”,然后在通过验证后选择“创建” 。
清理资源
可保留资源以供下一指南使用。 不再需要这些资源时,请将其删除。
在门户顶部的搜索框中,输入“警报”。 在搜索结果中选择“警报”。
选择“警报规则”,然后在“警报规则”页中选择订阅。
选择在本指南中创建的警报,然后选择“删除”。
后续步骤
在本文中,你学习了如何通过 Azure 门户配置诊断日志记录警报。
若要通过模拟来测试 DDoS 防护,请继续阅读下一篇指南。