다음을 통해 공유

Azure DDoS Protection 모니터링

  • 아티클

Azure Monitor는 시스템에서 메트릭 및 로그를 수집 및 집계하여 가용성, 성능 및 복원력을 모니터링하고 시스템에 영향을 주는 문제를 알려 줍니다. Azure Portal, PowerShell, Azure CLI, REST API 또는 클라이언트 라이브러리를 사용하여 모니터링 데이터를 설정하고 볼 수 있습니다.

리소스 유형에 따라 다른 메트릭 및 로그를 사용할 수 있습니다. 이 문서에서는 이 서비스에 대해 수집할 수 있는 모니터링 데이터 유형과 해당 데이터를 분석하는 방법을 설명합니다.

Azure Monitor를 사용하여 데이터 수집

이 표에서는 서비스를 모니터링하기 위해 데이터를 수집하는 방법과 수집된 데이터로 수행할 수 있는 작업을 설명합니다.

수집할 데이터 설명 데이터를 수집하고 라우팅하는 방법 데이터를 볼 수 있는 위치 지원되는 데이터
메트릭 데이터 메트릭은 시간상 특정 지점에서 시스템의 측면을 설명하는 숫자 값입니다. 메트릭은 다른 메트릭과 비교하여 알고리즘을 사용하여 집계하고 시간에 따른 추세를 분석할 수 있습니다. - 정기적으로 자동으로 수집됩니다.
- 일부 플랫폼 메트릭을 Log Analytics 작업 영역으로 라우팅하여 다른 데이터를 쿼리할 수 있습니다. 각 메트릭에 대한 DS 내보내기 설정을 확인하여 진단 설정을 사용하여 메트릭 데이터를 라우팅할 수 있는지 확인합니다.		 메트릭 탐색기 Azure Monitor에서 지원하는 Azure DDoS Protection 메트릭
리소스 로그 데이터 로그는 타임스탬프를 사용하여 기록된 시스템 이벤트입니다. 로그는 다양한 형식의 데이터를 포함할 수 있으며 구조화되거나 자유 형식의 텍스트일 수 있습니다. 쿼리 및 분석을 위해 리소스 로그 데이터를 Log Analytics 작업 영역으로 라우팅할 수 있습니다. 리소스 로그 데이터를 수집하고 라우팅하는 진단 설정을 만듭니다. Log Analytics Azure Monitor에서 지원하는 Azure DDoS Protection 리소스 로그 데이터
활동 로그 데이터 Azure Monitor 활동 로그는 구독 수준 이벤트에 대한 인사이트를 제공합니다. 활동 로그에는 리소스가 수정되거나 가상 머신이 시작될 때와 같은 정보가 포함됩니다. - 자동으로 수집됩니다.
- 무료로 Log Analytics 작업 영역에 대한 진단 설정을 만듭니다.		 활동 로그

Azure Monitor에서 지원하는 모든 데이터 목록은 다음을 참조하세요.

Azure DDoS Protection에 대한 기본 제공 모니터링

Azure DDoS Protection은 DDoS 공격 분석을 통해 공격 패턴에 대한 심층적인 인사이트와 시각화를 제공합니다. 보고서 및 흐름 로그를 통해 고객에게 공격 트래픽 및 완화 작업에 대한 포괄적인 표시 여부를 제공합니다. DDoS 공격 중에 Azure Monitor를 통해 자세한 메트릭을 사용할 수 있으며, 이러한 메트릭을 기반으로 경고 구성도 가능합니다.

Azure DDoS 보호 원격 분석을 보고 구성할 수 있습니다.

공격에 대한 원격 분석이 Azure Monitor를 통해 실시간으로 제공됩니다. TCP SYN용 완화 트리거인 TCP 및 UDP는 편한 시간에 사용할 수 있지만, 다른 원격 분석은 공용 IP 주소가 완화된 경우에만 사용할 수 있습니다.

세 가지 리소스 종류인 DDoS 보호 계획, 가상 네트워크, 공용 IP 주소를 통해 보호된 공용 IP 주소에 대한 DDoS 원격 분석을 볼 수 있습니다.

로깅은 Azure Monitor 진단 인터페이스를 통한 고급 분석을 위해 Microsoft Sentinel, Splunk(Azure Event Hubs), OMS Log Analytics, Azure Storage와 추가로 통합될 수 있습니다.

메트릭에 대한 자세한 내용은 DDoS Protection 모니터링 로그에 대한 자세한 내용은 Azure DDoS Protection 모니터링을 참조하세요.

DDoS 보호 계획에서 메트릭 보기

  1. Azure Portal에 로그인하고 DDoS 보호 계획을 선택합니다.

  2. Azure Portal 메뉴에서 DDoS 보호 계획을 선택하거나 검색한 다음, DDoS 보호 계획을 선택합니다.

  3. 모니터링에서 메트릭을 선택합니다.

  4. 메트릭 추가를 선택한 다음, 범위를 선택합니다.

  5. 범위 선택 메뉴에서 로그하려는 공용 IP 주소가 포함된 구독을 선택합니다.

  6. 리소스 종류에 대해 공용 IP 주소를 선택한 다음, 메트릭을 로그하려는 특정 공용 IP 주소를 선택한 후 적용을 선택합니다.

  7. 메트릭DDoS 공격 진행 여부를 선택합니다.

  8. 집계 유형을 최대로 선택합니다.

    DDoS 보호 메트릭 메뉴를 만드는 스크린샷.

가상 네트워크에서 메트릭 보기

  1. Azure Portal에 로그인하고 DDoS 보호가 사용으로 설정된 가상 네트워크로 이동합니다.

  2. 모니터링에서 메트릭을 선택합니다.

  3. 메트릭 추가를 선택한 다음, 범위를 선택합니다.

  4. 범위 선택 메뉴에서 로그하려는 공용 IP 주소가 포함된 구독을 선택합니다.

  5. 리소스 종류에 대해 공용 IP 주소를 선택한 다음, 메트릭을 로그하려는 특정 공용 IP 주소를 선택한 후 적용을 선택합니다.

  6. 메트릭에서 선택한 메트릭을 선택한 다음, 집계에서 Max 형식을 선택합니다.

    Azure 내의 DDoS 진단 설정 스크린샷.

참고 항목

IP 주소를 필터링하려면 필터 추가를 선택합니다. 속성에서 보호된 IP 주소를 선택하고 연산자를 =로 설정해야 합니다. 값 아래에 Azure DDoS Protection으로 보호되는 가상 네트워크와 연결된 공용 IP 주소의 드롭다운이 표시됩니다.

공용 IP 주소에서 메트릭 보기

  1. Azure Portal에 로그인하고 공용 IP 주소로 이동합니다.
  2. Azure Portal 메뉴에서 공용 IP 주소를 선택하거나 검색하고 선택한 다음, 공용 IP 주소를 선택합니다.
  3. 모니터링에서 메트릭을 선택합니다.
  4. 메트릭 추가를 선택한 다음, 범위를 선택합니다.
  5. 범위 선택 메뉴에서 로그하려는 공용 IP 주소가 포함된 구독을 선택합니다.
  6. 리소스 종류에 대해 공용 IP 주소를 선택한 다음, 메트릭을 로그하려는 특정 공용 IP 주소를 선택한 후 적용을 선택합니다.
  7. 메트릭에서 선택한 메트릭을 선택한 다음, 집계에서 Max 형식을 선택합니다.

참고 항목

DDoS IP 보호를 사용에서 비활성화 변경하면 공용 IP 리소스에 대한 원격 분석을 사용할 수 없습니다.

DDoS 완화 정책 보기

Azure DDoS Protection은 보호되는 리소스의 각 공용 IP 주소에 대해 자동으로 조정된 세 가지 완화 정책(TCP SYN, TCP 및 UDP)을 사용합니다. 이 방법은 DDoS 보호를 사용하도록 설정된 모든 가상 네트워크에 적용됩니다.

DDoS 완화를 트리거하는 인바운드 SYN 패킷, DDoS 완화를 트리거하는 인바운드 TCP 패킷DDoS 완화를 트리거하는 인바운드 UDP 패킷 메트릭을 선택하여 공용 IP 주소 메트릭 내의 정책 제한을 확인할 수 있습니다. 집계 유형을 최대로 설정했는지 확인합니다.

완화 정책을 보는 스크린샷.

평시 트래픽 원격 분석 보기

TCP SYN, UDP 및 TCP 검색 트리거에 대한 메트릭을 계속 주시해야 합니다. 이러한 메트릭은 DDoS 보호가 시작되는 시기를 파악하는 데 도움이 됩니다. 공격이 없을 때 이러한 트리거가 정상적인 트래픽 수준을 반영하는지 확인합니다.

공용 IP 주소 리소스에 대한 차트를 만들 수 있습니다. 이 차트에는 패킷 수 및 SYN 수 메트릭이 포함됩니다. 패킷 수에는 TCP 및 UDP 패킷이 모두 포함됩니다. 트래픽 합계를 보여 줍니다.

편한 시간 원격 분석 보기 스크린샷.

참고 항목

공정한 비교를 위해서는 데이터를 초당 패킷 수로 변환해야 합니다. 데이터가 60초 동안 수집된 패킷, 바이트 또는 SYN 패킷의 수를 나타내기 때문에 표시되는 수를 60으로 나누어 이 변환을 수행할 수 있습니다. 예를 들어, 60초 동안 수집된 패킷 91,000개가 있는 경우 91,000을 60으로 나누면 약 1,500pps(초당 패킷 수)를 얻을 수 있습니다.

유효성 검사 및 테스트

DDoS 공격을 시뮬레이션하여 DDoS 보호 원격 분석의 유효성을 검사하려면 DDoS 탐지 유효성 검사를 참조하세요.

Azure Monitor 도구를 사용하여 데이터 분석

이러한 Azure Monitor 도구는 모니터링 데이터를 분석하는 데 도움이 되는 Azure Portal에서 사용할 수 있습니다.

더 복잡한 시각화를 허용하는 도구는 다음과 같습니다.

  • 대시보드: 다양한 종류의 데이터를 Azure Portal에서 하나의 창에 결합할 수 있습니다.
  • 통합 문서: Azure Portal에서 만들 수 있는 사용자 지정 가능한 보고서입니다. 통합 문서에는 텍스트, 메트릭, 로그 쿼리가 포함될 수 있습니다.
  • Grafana: 뛰어난 운영 대시보드를 제공하는 개방형 플랫폼 도구입니다. Grafana를 사용하여 Azure Monitor 외의 여러 소스에서 온 데이터를 포함하는 대시보드를 만들 수 있습니다.
  • Power BI: 다양한 데이터 소스에서 대화형 시각화를 제공하는 비즈니스 분석 서비스입니다. Azure Monitor에서 자동으로 로그 데이터를 가져오도록 Power BI를 구성하여 이러한 시각화를 활용할 수 있습니다.

Azure Monitor 데이터 내보내기

다음을 사용하여 Azure Monitor에서 다른 도구로 데이터를 내보낼 수 있습니다.

Azure Monitor REST API를 시작하려면 Azure 모니터링 REST API 연습을 참조 하세요.

Kusto 쿼리를 사용하여 로그 데이터 분석

KQL(Kusto 쿼리 언어)을 사용하여 Azure Monitor 로그 데이터를 분석할 수 있습니다. 자세한 내용은 Azure Monitor의 로그 쿼리를 참조하세요.

Azure Monitor 경고를 사용하여 문제 알림

Azure Monitor 경고를 사용하면 시스템에서 문제를 식별하고 해결할 수 있으며, 고객이 이를 확인하기 전에 모니터링 데이터에 특정 조건이 발견되면 사전에 알릴 수 있습니다. Azure Monitor 데이터 플랫폼의 모든 메트릭 또는 로그 데이터 원본에 대해 경고할 수 있습니다. 모니터링하는 서비스 및 수집하는 모니터링 데이터에 따라 다양한 유형의 Azure Monitor 경고가 있습니다. 올바른 유형의 경고 규칙 선택을 참조하세요.

Azure DDoS Protection의 경고에 대한 자세한 내용은 포털 을 통해 Azure DDoS Protection 메트릭 경고 구성 및 Azure DDoS Protection 진단 로깅 경고 구성을 참조하세요.

Azure 리소스에 대한 일반적인 경고의 예는 샘플 로그 경고 쿼리를 참조하세요.

대규모 경고 구현

일부 서비스의 경우 동일한 Azure 지역에 존재하는 동일한 형식의 여러 리소스에 동일한 메트릭 경고 규칙을 적용하여 대규모로 모니터링할 수 있습니다. AMBA(Azure Monitor 기준 경고) 는 중요한 플랫폼 메트릭 경고, 대시보드 및 지침을 대규모로 구현하는 반자동 방법을 제공합니다.

관련 콘텐츠