Überwachen von Azure DDoS Protection

Azure Monitor sammelt und aggregiert Metriken und Protokolle von Ihrem System, um die Verfügbarkeit, Leistung und Ausfallsicherheit zu überwachen und Sie über Probleme zu informieren, die Ihr System betreffen. Sie können das Azure-Portal, PowerShell, die Azure CLI, die REST-API oder Clientbibliotheken verwenden, um Überwachungsdaten einzurichten und anzuzeigen.

Für unterschiedliche Ressourcentypen stehen unterschiedliche Metriken und Protokolle zur Verfügung. In diesem Artikel werden die Arten von Überwachungsdaten beschrieben, die Sie für diesen Dienst sammeln können, sowie die Möglichkeiten, diese Daten zu analysieren.

Sammeln von Daten mit Azure Monitor

In dieser Tabelle wird beschrieben, wie Sie Daten sammeln können, um Ihren Dienst zu überwachen, und was Sie mit den gesammelten Daten tun können:

Zu erfassende Daten	Beschreibung	Sammeln und Weiterleiten der Daten	Orte zum Anzeigen der Daten	Unterstützte Daten
Metrikdaten	Metriken sind numerische Werte, die einen Aspekt eines Systems zu einem bestimmten Zeitpunkt beschreiben. Metriken können mithilfe von Algorithmen aggregiert, mit anderen Metriken verglichen und auf Trends im Laufe der Zeit analysiert werden.	– Automatisch in regelmäßigen Abständen gesammelt.  – Sie können einige Plattformmetriken an einen Log Analytics-Arbeitsbereich weiterleiten, um andere Daten abzufragen. Überprüfen Sie die DS-Exporteinstellung für jede Metrik, um festzustellen, ob Sie eine Diagnoseeinstellung verwenden können, um die Metrikdaten weiterzuleiten.	Metrik-Explorer	Von Azure Monitor unterstützte Azure DDoS Protection-Metriken
Ressourcenprotokolldaten	Protokolle sind aufgezeichnete Systemereignisse mit einem Zeitstempel. Protokolle können verschiedene Arten von Daten enthalten, und in strukturierter Form oder als Freitext vorliegen. Sie können Ressourcenprotokolldaten zur Abfrage und Analyse an Log Analytics-Arbeitsbereiche weiterleiten.	Erstellen Sie eine Diagnoseeinstellung zum Sammeln und Weiterleiten von Ressourcenprotokollen.	Log Analytics	Von Azure Monitor unterstützte Azure DDoS Protection-Ressourcenprotokolldaten
Aktivitätsprotokolldaten	Das Azure Monitor-Aktivitätsprotokoll bietet Erkenntnisse zu Ereignissen auf Abonnementebene. Es enthält Informationen wie den Zeitpunkt, zu dem eine Ressource geändert oder ein virtueller Computer gestartet wurde.	- Automatisch erfasst. - Erstellen Sie kostenlos eine Diagnoseeinstellung für einen Log Analytics-Arbeitsbereich.	Aktivitätsprotokoll

Eine Liste aller von Azure Monitor unterstützten Daten finden Sie unter:

• In Azure Monitor unterstützte Metriken
• In Azure Monitor unterstützte Ressourcenprotokolle

Integrierte Überwachung für Azure DDoS Protection

Azure DDoS Protection bietet über DDoS Attack Analytics detaillierte Erkenntnisse und Visualisierungen von Angriffsmustern. Sie bietet Kunden über Berichte und Ablaufprotokolle umfassende Einblicke in Angriffsdatenverkehr und Entschärfungsaktionen. Während eines DDoS-Angriffs stehen detaillierte Metriken über Azure Monitor zur Verfügung, wodurch auch Warnungskonfigurationen basierend auf diesen Metriken möglich sind.

Sie können Azure DDoS Protection-Telemetriedaten anzeigen und konfigurieren.

Die Telemetrie für einen Angriff wird in Echtzeit durch Azure Monitor bereitgestellt. Während Entschärfungstrigger für TCP SYN, TCP & UDP in Zeiten ohne Vorkommnisse verfügbar sind, sind andere Telemetriedaten nur verfügbar, wenn eine öffentliche IP-Adresse entschärft wurde.

Sie können DDoS-Telemetriedaten für eine geschützte öffentliche IP-Adresse über drei verschiedene Ressourcentypen anzeigen: DDoS-Schutzplan, virtuelles Netzwerk und öffentliche IP-Adresse.

Die Protokollierung kann zudem mit Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics und Azure Storage für die erweiterte Analyse über die Schnittstelle für die Azure Monitor-Diagnose integriert werden.

Weitere Informationen zu Metriken finden Sie unter Überwachen von Azure DDoS Protection. Dort erhalten Sie auch Informationen zu DDoS Protection-Überwachungsprotokollen.

Anzeigen von Metriken aus dem DDoS-Schutzplan

1. Melden Sie sich beim Azure-Portal an, und wählen Sie Ihren DDoS-Schutzplan aus.

2. Wählen Sie im Menü des Azure-Portals die Option DDoS-Schutzpläne aus, oder suchen Sie danach, und wählen Sie dann Ihren DDoS-Schutzplan aus.

3. Wählen Sie unter Überwachung die Option Metriken aus.

4. Wählen Sie Metrik hinzufügen und dann Bereich aus.

5. Wählen Sie im Menü „Bereich auswählen“ das Abonnement aus, in dem die öffentliche IP-Adresse enthalten ist, die Sie protokollieren möchten.

6. Wählen Sie unter Ressourcentyp die Option Öffentliche IP-Adresse und dann die jeweilige öffentliche IP-Adresse aus, für die Metriken protokolliert werden sollen. Wählen Sie anschließend Übernehmen aus.

7. Wählen Sie für Metrik die Option Unter DDoS-Angriff oder nicht aus.

8. Wählen Sie als Typ der Aggregation die Option Max aus.

   

Anzeigen von Metriken aus dem virtuellem Netzwerk

1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrem virtuellen Netzwerk, für das ein DDoS-Schutzplan aktiviert ist.

2. Wählen Sie unter Überwachung die Option Metriken aus.

3. Wählen Sie Metrik hinzufügen und dann Bereich aus.

4. Wählen Sie im Menü „Bereich auswählen“ das Abonnement aus, in dem die öffentliche IP-Adresse enthalten ist, die Sie protokollieren möchten.

5. Wählen Sie unter Ressourcentyp die Option Öffentliche IP-Adresse und dann die jeweilige öffentliche IP-Adresse aus, für die Metriken protokolliert werden sollen. Wählen Sie anschließend Übernehmen aus.

6. Wählen Sie unter Metrik die gewünschte Metrik und dann unter Aggregation den Typ Max aus.

   

Hinweis

Um IP-Adressen zu filtern, wählen Sie Filter hinzufügen aus. Wählen Sie unter Eigenschaft die Option Geschützte IP-Adresse aus. Der Operator sollte auf = festgelegt sein. Unter Werte wird eine Dropdownliste der dem virtuellen Netzwerk zugeordneten öffentlichen IP-Adressen angezeigt, die mit Azure DDoS Protection geschützt werden.

Anzeigen von Metriken aus „Öffentliche IP-Adresse“

1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrer öffentlichen IP-Adresse.
2. Wählen Sie im Menü des Azure-Portals die Option Öffentliche IP-Adressen aus, oder suchen Sie danach, und wählen Sie dann Ihre öffentliche IP-Adresse aus.
3. Wählen Sie unter Überwachung die Option Metriken aus.
4. Wählen Sie Metrik hinzufügen und dann Bereich aus.
5. Wählen Sie im Menü „Bereich auswählen“ das Abonnement aus, in dem die öffentliche IP-Adresse enthalten ist, die Sie protokollieren möchten.
6. Wählen Sie unter Ressourcentyp die Option Öffentliche IP-Adresse und dann die jeweilige öffentliche IP-Adresse aus, für die Metriken protokolliert werden sollen. Wählen Sie anschließend Übernehmen aus.
7. Wählen Sie unter Metrik die gewünschte Metrik und dann unter Aggregation den Typ Max aus.

Hinweis

Wenn Sie den DDoS-IP-Schutz von Aktiviert in Deaktiviert ändern, sind keine Telemetriedaten für die öffentliche IP-Ressource verfügbar.

Anzeigen von DDoS-Entschärfungsrichtlinien

Azure DDoS Protection verwendet drei automatisch angepasste Entschärfungsrichtlinien (TCP SYN, TCP und UDP) für jede öffentliche IP-Adresse der zu schützenden Ressource. Dieser Ansatz gilt für jedes virtuelle Netzwerk mit aktiviertem DDoS-Schutz.

Sie können die Richtlinienbeschränkungen innerhalb Ihrer Metriken für öffentliche IP-Adressen anzeigen, indem Sie die Metriken Eingehende SYN-Pakete, um die DDoS-Entschärfung auszulösen, Eingehende TCP-Pakete, um die DDoS-Entschärfung auszulösen und Eingehende UDP-Pakete, um die DDoS-Entschärfung auszulösen auswählen. Stellen Sie sicher, dass Sie den Aggregationstyp auf Max festlegen.

Anzeigen der Datenverkehrstelemetrie für Ruhezeiten

Es ist wichtig, die Metriken für TCP SYN-, UDP- und TCP-Erkennungstrigger im Auge zu behalten. Anhand dieser Metriken können Sie erkennen, wann der DDoS-Schutz einsetzt. Stellen Sie sicher, dass diese Trigger die normalen Datenverkehrsebenen widerspiegeln, wenn kein Angriff vorhanden ist.

Sie können ein Diagramm für die öffentliche IP-Adressressource erstellen. Berücksichtigen Sie in diesem Diagramm die Metriken „Paketanzahl“ und „SYN-Anzahl“. Die Paketanzahl beinhaltet sowohl TCP- als auch UDP-Pakete. Daraus ist die Summe des Datenverkehrs ersichtlich.

Hinweis

Um einen fairen Vergleich zu erzielen, müssen Sie die Daten in Pakete pro Sekunde konvertieren. Für diese Konvertierung können Sie die angezeigte Zahl durch 60 dividieren, da die Daten die Anzahl der Pakete, Bytes oder SYN-Pakete darstellen, die innerhalb von 60 Sekunden gesammelt wurden. Wenn beispielsweise 91.000 Pakete über 60 Sekunden gesammelt wurden, dividieren Sie 91.000 durch 60, sodass Sie ungefähr 1.500 Pakete pro Sekunde (pps) erhalten.

Überprüfen und Testen

Informationen dazu, wie Sie zum Überprüfen der DDoS Protection-Telemetriedaten einen DDoS-Angriff simulieren, finden Sie unter Überprüfen der DDoS-Erkennung.

Verwenden von Azure Monitor-Tools zum Analysieren der Daten

Diese Azure Monitor-Tools stehen im Azure-Portal zur Verfügung, um Überwachungsdaten zu analysieren:

• Einige Azure-Dienste verfügen über ein integriertes Überwachungsdashboard im Azure-Portal. Diese Dashboards werden als Erkenntnisse bezeichnet, und Sie finden sie im Bereich Insights von Azure Monitor im Azure-Portal.

• Mit dem Metriken-Explorer können Sie Metriken für Azure-Ressourcen anzeigen und analysieren. Weitere Informationen finden Sie unter Analysieren von Metriken mit dem Azure Monitor-Metrik-Explorer.

• Mit Log Analytics können Sie Protokolldaten mithilfe der Kusto-Abfragesprache (KQL) abfragen und analysieren. Weitere Informationen finden Sie unter Erste Schritte mit Protokollabfragen in Azure Monitor.

• Das Azure-Portal hat eine Benutzeroberfläche, mit der Sie das Aktivitätsprotokoll anzeigen und darin suchen können. Um ausführlichere Analysen durchzuführen, leiten Sie die Daten an Azure Monitor-Protokolle weiter und führen Sie komplexere Abfragen in Log Analytics aus.

• Application Insights überwacht die Verfügbarkeit, Leistung und Nutzung Ihrer Webanwendungen, sodass Sie Fehler identifizieren und diagnostizieren können, ohne darauf zu warten, dass ein Benutzer sie meldet.
  Application Insights beinhaltet Verbindungspunkte zu verschiedenen Entwicklungstools und lässt sich zur Unterstützung Ihrer DevOps-Prozesse in Visual Studio integrieren. Weitere Informationen finden Sie unter Anwendungsüberwachung für App Service.

Zu den Tools, die eine komplexere Visualisierung ermöglichen, gehören:

• Dashboards, mit denen Sie verschiedene Typen von Daten in einen einzelnen Bereich im Azure-Portal kombinieren können.
• Arbeitsmappen, anpassbare Berichte, die Sie im Azure-Portal erstellen können. Arbeitsmappen können Text, Metriken und Protokollabfragen enthalten.
• Grafana, ein Tool auf einer offenen Plattform, das für operationale Dashboards ideal ist. Sie können Grafana verwenden, um Dashboards zu erstellen, die Daten aus mehreren anderen Quellen als Azure Monitor enthalten.
• Power BI ist ein Geschäftsanalysedienst, der interaktive Visualisierungen für verschiedene Datenquellen bereitstellt. Sie können Power BI für den automatischen Import von Protokolldaten aus Azure Monitor konfigurieren, um diese Visualisierungen zu nutzen.

Exportieren von Azure Monitor-Daten

Sie können Daten aus Azure Monitor in andere Tools exportieren:

• Metriken: Verwenden Sie die REST-API für Metriken, um Metrikdaten aus der Azure Monitor-Metrikendatenbank zu extrahieren. Weitere Informationen finden Sie in der Referenz zur Azure Monitor-REST-API.

• Protokolle: Verwenden Sie die REST-API oder die zugeordneten Clientbibliotheken.

• Der Log Analytics-Arbeitsbereich Datenexport.

Informationen zu den ersten Schritten mit der Azure Monitor REST-API finden Sie unter Exemplarische Vorgehensweise für die Azure Monitor-REST-API.

Verwenden von Kusto-Abfragen zum Analysieren von Protokolldaten

Sie können Azure Monitor Protokolldaten mit der Kusto-Abfragesprache (KQL) analysieren. Weitere Informationen finden Sie unter Protokollabfragen in Azure Monitor.

Verwenden von Azure Monitor-Warnungen, um Sie über Probleme zu benachrichtigen

Azure Monitor-Warnungen ermöglichen es Ihnen, Probleme in Ihrem System zu identifizieren und zu beheben. Außerdem werden Sie proaktiv benachrichtigt, wenn bestimmte Bedingungen in Ihren Überwachungsdaten gefunden werden, bevor Ihre Kunden sie bemerken. Sie können zu jeder Metrik oder Protokolldatenquelle der Azure Monitor-Datenplattform Warnungen erhalten. Es gibt verschiedene Typen von Azure Monitor-Warnungen, abhängig von den Diensten, die Sie überwachen, und den Überwachungsdaten, die Sie sammeln. Weitere Informationen finden Sie unter Auswählen des richtigen Warnungsregeltyps.

Empfohlene Azure Monitor-Warnungsregeln für Azure DDoS Protection

Weitere Informationen zu Warnungen in Azure DDoS Protection finden Sie unter Konfigurieren von metrischen Azure DDoS Protection-Warnungen über das Portal und unter Konfigurieren von Azure DDoS Protection-Diagnoseprotokollierungswarnungen.

Beispiele für häufige Warnungen für Azure-Ressourcen finden Sie in den Beispielabfragen für Protokollwarnungen.

Implementieren von Warnungen im großen Maßstab

Einige Dienste können Sie im großen Stil überwachen, indem Sie dieselbe Metrikwarnungsregel auf mehrere Ressourcen desselben Typs anwenden, die sich in derselben Azure-Region befinden. Azure Monitor-Baselinewarnungen (AMBA) stellen eine halbautomatisierte Methode für die Implementierung wichtiger Metrikwarnungen der Plattform, Dashboards und Richtlinien im großen Stil bereit.

Zugehöriger Inhalt

• Überwachen von Daten in Azure DDoS Protection – Referenz
• Überwachen von Azure-Ressourcen mit Azure Monitor
• Konfigurieren von DDoS-Warnungen
• Warnungen in Microsoft Defender für Cloud anzeigen
• Testen mit Simulationspartnern