Monitorování služby Azure DDoS Protection

Azure Monitor shromažďuje a agreguje metriky a protokoly z vašeho systému za účelem monitorování dostupnosti, výkonu a odolnosti a upozorní vás na problémy ovlivňující váš systém. K nastavení a zobrazení dat monitorování můžete použít Azure Portal, PowerShell, Azure CLI, ROZHRANÍ REST API nebo klientské knihovny.

Různé metriky a protokoly jsou k dispozici pro různé typy prostředků. Tento článek popisuje typy dat monitorování, která můžete pro tuto službu shromažďovat, a způsoby analýzy těchto dat.

Shromažďování dat pomocí služby Azure Monitor

Tato tabulka popisuje, jak můžete shromažďovat data pro monitorování služby a co můžete s daty dělat po shromáždění:

Data, která je potřeba shromáždit	Popis	Jak shromažďovat a směrovat data	Kde zobrazit data	Podporovaná data
Data metrik	Metriky jsou číselné hodnoty, které popisují aspekt systému v určitém časovém okamžiku. Metriky je možné agregovat pomocí algoritmů, ve srovnání s jinými metrikami a analyzovat trendy v průběhu času.	- Shromažďuje se automaticky v pravidelných intervalech. – Některé metriky platformy můžete směrovat do pracovního prostoru služby Log Analytics a dotazovat se na jiná data. Zkontrolujte nastavení exportu DS pro každou metriku a zjistěte, jestli ke směrování dat metriky můžete použít nastavení diagnostiky.	Průzkumník metrik	Metriky služby Azure DDoS Protection podporované službou Azure Monitor
Data protokolu prostředků	Protokoly se zaznamenávají systémové události s časovým razítkem. Protokoly můžou obsahovat různé typy dat a mohou být strukturované nebo volného textu. Data protokolu prostředků můžete směrovat do pracovních prostorů služby Log Analytics pro dotazování a analýzu.	Vytvořte nastavení diagnostiky pro shromažďování a směrování dat protokolu prostředků.	Log Analytics	Data protokolu prostředků azure DDoS Protection podporovaná službou Azure Monitor
Data protokolu aktivit	Protokol aktivit služby Azure Monitor poskytuje přehled o událostech na úrovni předplatného. Protokol aktivit obsahuje například informace o úpravách prostředků nebo spouštění virtuálních počítačů.	- Shromažďuje se automaticky. - Vytvořte nastavení diagnostiky pro pracovní prostor služby Log Analytics bez poplatků.	Protokol aktivit

Seznam všech dat podporovaných službou Azure Monitor najdete tady:

• Podporované metriky služby Azure Monitor
• Protokoly podporovaných prostředků služby Azure Monitor

Integrované monitorování služby Azure DDoS Protection

Azure DDoS Protection nabízí podrobné přehledy a vizualizace vzorů útoků prostřednictvím analýzy útoků DDoS. Poskytuje zákazníkům komplexní přehled o útocích a akcích pro zmírnění rizik prostřednictvím sestav a protokolů toků. Během útoku DDoS jsou prostřednictvím služby Azure Monitor k dispozici podrobné metriky, které také umožňují konfigurace výstrah na základě těchto metrik.

Můžete zobrazit a nakonfigurovat telemetrii ochrany před útoky Azure DDoS.

Telemetrie k útokům je k dispozici prostřednictvím služby Azure Monitor v reálném čase. I když triggery zmírnění rizik pro TCP SYN jsou během doby klidu k dispozici, ostatní telemetrie jsou k dispozici pouze v případě, že došlo ke zmírnění rizik veřejné IP adresy.

Telemetrii DDoS pro chráněnou veřejnou IP adresu můžete zobrazit prostřednictvím tří různých typů prostředků: plánu ochrany před útoky DDoS, virtuální sítě a veřejné IP adresy.

Protokolování je možné dále integrovat se službou Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics a Azure Storage pro pokročilou analýzu prostřednictvím diagnostického rozhraní služby Azure Monitor.

Další informace o metrikách najdete v tématu Monitorování služby Azure DDoS Protection , kde najdete podrobnosti o protokolech monitorování DDoS Protection.

Zobrazení metrik z plánu ochrany před útoky DDoS

1. Přihlaste se k webu Azure Portal a vyberte svůj plán ochrany před útoky DDoS.

2. V nabídce webu Azure Portal vyberte nebo vyhledejte a vyberte plány ochrany před útoky DDoS a pak vyberte plán ochrany před útoky DDoS.

3. V oblasti Monitorování vyberte Metriky.

4. Vyberte Přidat metriku a pak vyberte Obor.

5. V nabídce Vybrat obor vyberte předplatné , které obsahuje veřejnou IP adresu, kterou chcete protokolovat.

6. Vyberte veřejnou IP adresu pro typ prostředku a pak vyberte konkrétní veřejnou IP adresu, pro kterou chcete protokolovat metriky, a pak vyberte Použít.

7. Pro metriku vyberte v části Útok DDoS nebo ne.

8. Vyberte typ Agregace jako Max.

   

Zobrazení metrik z virtuální sítě

1. Přihlaste se k webu Azure Portal a přejděte do své virtuální sítě s povolenou ochranou před útoky DDoS.

2. V oblasti Monitorování vyberte Metriky.

3. Vyberte Přidat metriku a pak vyberte Obor.

4. V nabídce Vybrat obor vyberte předplatné , které obsahuje veřejnou IP adresu, kterou chcete protokolovat.

5. Vyberte veřejnou IP adresu pro typ prostředku a pak vyberte konkrétní veřejnou IP adresu, pro kterou chcete protokolovat metriky, a pak vyberte Použít.

6. V části Metrika vyberte zvolenou metriku a pak v části Agregace vyberte typ jako Max.

   

Poznámka:

Pokud chcete filtrovat IP adresy, vyberte Přidat filtr. V části Vlastnost vyberte Chráněná IP adresa a operátor by měl být nastaven na =. V části Hodnoty se zobrazí rozevírací seznam veřejných IP adres přidružených k virtuální síti, které jsou chráněné službou Azure DDoS Protection.

Zobrazení metrik z veřejné IP adresy

1. Přihlaste se k webu Azure Portal a přejděte na svou veřejnou IP adresu.
2. V nabídce webu Azure Portal vyberte nebo vyhledejte veřejné IP adresy a pak vyberte vaši veřejnou IP adresu.
3. V oblasti Monitorování vyberte Metriky.
4. Vyberte Přidat metriku a pak vyberte Obor.
5. V nabídce Vybrat obor vyberte předplatné , které obsahuje veřejnou IP adresu, kterou chcete protokolovat.
6. Vyberte veřejnou IP adresu pro typ prostředku a pak vyberte konkrétní veřejnou IP adresu, pro kterou chcete protokolovat metriky, a pak vyberte Použít.
7. V části Metrika vyberte zvolenou metriku a pak v části Agregace vyberte typ jako Max.

Poznámka:

Když změníte ochranu IP adres před útoky DDoS tak, aby byla zakázaná, telemetrie pro prostředek veřejné IP adresy není dostupná.

Zobrazení zásad omezení rizik útoků DDoS

Azure DDoS Protection používá tři automaticky upravené zásady zmírnění rizik (TCP SYN, TCP a UDP) pro každou veřejnou IP adresu chráněného prostředku. Tento přístup platí pro všechny virtuální sítě s povolenou ochranou před útoky DDoS.

Limity zásad v rámci metrik veřejné IP adresy můžete zobrazit tak, že zvolíte příchozí pakety SYN, které aktivují zmírnění rizik útoků DDoS, příchozí pakety TCP pro aktivaci zmírnění rizik útoků DDoS a příchozí pakety UDP pro aktivaci metrik omezení rizik útoků DDoS. Nezapomeňte nastavit typ agregace na Max.

Zobrazení telemetrie provozu doby klidu

Je důležité sledovat metriky triggerů detekce TCP SYN, UDP a TCP. Tyto metriky vám pomůžou zjistit, kdy se spustí ochrana před útoky DDoS. Ujistěte se, že tyto triggery odrážejí normální úrovně provozu, když nedojde k žádnému útoku.

Můžete vytvořit graf pro prostředek veřejné IP adresy. V tomto grafu uveďte metriky Počet paketů a Počet synů. Počet paketů zahrnuje pakety TCP i UDP. Zobrazí se součet provozu.

Poznámka:

Abyste mohli provést spravedlivé porovnání, musíte data převést na pakety za sekundu. Tento převod můžete provést tak, že vydělíte číslo, které vidíte, 60, protože data představují počet paketů, bajtů nebo paketů SYN shromážděných za 60 sekund. Pokud máte například 91 000 paketů shromážděných více než 60 sekund, vydělte 91 000 60, abyste získali přibližně 1 500 paketů za sekundu (pps).

Ověření a test

Pokud chcete simulovat útok DDoS za účelem ověření telemetrie ochrany před útoky DDoS, přečtěte si téma Ověření detekce DDoS.

Analýza dat pomocí nástrojů Azure Monitoru

Tyto nástroje Azure Monitoru jsou k dispozici na webu Azure Portal, které vám pomůžou analyzovat data monitorování:

• Některé služby Azure mají integrovaný řídicí panel monitorování na webu Azure Portal. Tyto řídicí panely se nazývají přehledy a najdete je v části Přehledy služby Azure Monitor na webu Azure Portal.

• Průzkumník metrik umožňuje zobrazit a analyzovat metriky pro prostředky Azure. Další informace najdete v tématu Analýza metrik pomocí Průzkumníka metrik služby Azure Monitor.

• Log Analytics umožňuje dotazovat a analyzovat data protokolů pomocí dotazovacího jazyka Kusto (KQL). Další informace najdete v tématu Začínáme s dotazy na protokoly ve službě Azure Monitor.

• Azure Portal má uživatelské rozhraní pro zobrazení a základní vyhledávání protokolu aktivit. Pokud chcete provádět podrobnější analýzu, nasměrujte data do protokolů služby Azure Monitor a spusťte složitější dotazy v Log Analytics.

• Application Insights monitoruje dostupnost, výkon a využití webových aplikací, takže můžete identifikovat a diagnostikovat chyby bez čekání na nahlášení uživatele.
  Application Insights zahrnuje spojovací body k různým vývojovým nástrojům a integruje se se sadou Visual Studio, aby podporoval vaše procesy DevOps. Další informace najdete v tématu Monitorování aplikací pro Službu App Service.

Mezi nástroje, které umožňují složitější vizualizaci, patří:

• Řídicí panely , které umožňují kombinovat různé druhy dat do jednoho podokna na webu Azure Portal.
• Sešity, přizpůsobitelné sestavy, které můžete vytvořit na webu Azure Portal. Sešity můžou obsahovat dotazy na text, metriky a protokoly.
• Grafana, otevřený nástroj platformy, který exceluje v provozních řídicích panelech Grafana umožňuje vytvářet řídicí panely, které obsahují data z více zdrojů, než je Azure Monitor.
• Power BI, služba obchodní analýzy, která poskytuje interaktivní vizualizace napříč různými zdroji dat. Power BI můžete nakonfigurovat tak, aby automaticky naimportovali data protokolů ze služby Azure Monitor, abyste mohli tyto vizualizace využívat.

Export dat Azure Monitoru

Data ze služby Azure Monitor můžete exportovat do jiných nástrojů pomocí:

• Metriky: Pomocí rozhraní REST API pro metriky extrahujte data metrik z databáze metrik služby Azure Monitor. Další informace najdete v referenčních informacích k rozhraní REST API služby Azure Monitor.

• Protokoly: Použijte rozhraní REST API nebo přidružené klientské knihovny.

• Export dat pracovního prostoru služby Log Analytics.

Pokud chcete začít s rozhraním REST API služby Azure Monitor, přečtěte si průvodce rozhraním REST API pro monitorování Azure.

Analýza dat protokolu pomocí dotazů Kusto

Data protokolu služby Azure Monitor můžete analyzovat pomocí dotazovacího jazyka Kusto (KQL). Další informace najdete v tématu Dotazy protokolu ve službě Azure Monitor.

Upozorňování na problémy pomocí upozornění služby Azure Monitor

Upozornění služby Azure Monitor vám umožňují identifikovat a řešit problémy ve vašem systému a proaktivně vás informovat, když se v datech monitorování nacházejí konkrétní podmínky, než si je zákazníci všimnou. Na libovolnou metriku nebo zdroj dat protokolu na datové platformě azure Monitoru můžete upozornit. Existují různé typy upozornění služby Azure Monitor v závislosti na službách, které monitorujete, a na datech monitorování, která shromažďujete. Viz Volba správného typu pravidla upozornění.

Doporučená pravidla upozornění služby Azure Monitor pro Azure DDoS Protection

Další informace o výstrahách ve službě Azure DDoS Protection najdete v tématu Konfigurace upozornění metrik služby Azure DDoS Protection prostřednictvím portálu a konfigurace upozornění protokolování diagnostiky služby Azure DDoS Protection.

Příklady běžných upozornění pro prostředky Azure najdete v tématu Ukázkové dotazy na upozornění protokolu.

Implementace výstrah ve velkém měřítku

U některých služeb můžete monitorovat škálování použitím stejného pravidla upozornění na metriku u více prostředků stejného typu, které existují ve stejné oblasti Azure. Azure Monitor Baseline Alerts (AMBA) poskytuje poloautomatickou metodu implementace důležitých upozornění, řídicích panelů a pokynů pro metriky platformy ve velkém měřítku.

Související obsah

• Referenční informace k datům monitorování služby Azure DDoS Protection
• Monitorování prostředků Azure s využitím služby Azure Monitor
• Konfigurace upozornění DDoS
• Zobrazení upozornění v Programu Microsoft Defender for Cloud
• Testování s využitím partnerů simulace