Samouczek: wyświetlanie dzienników usługi Azure DDoS Protection w obszarze roboczym usługi Log Analytics
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
- Wyświetl dzienniki diagnostyczne usługi Azure DDoS Protection, w tym powiadomienia, raporty ograniczania ryzyka i dzienniki przepływu ograniczania ryzyka.
Dzienniki diagnostyczne usługi DDoS Protection zapewniają możliwość wyświetlania powiadomień usługi DDoS Protection, raportów ograniczania ryzyka i dzienników przepływu ograniczania ryzyka po ataku DDoS. Te dzienniki można wyświetlić w obszarze roboczym usługi Log Analytics.
Raporty ograniczania ryzyka ataku używają danych protokołu Netflow, które są agregowane w celu udostępnienia szczegółowych informacji na temat ataku na zasób. Za każdym razem, gdy zasób publicznego adresu IP jest atakowany, generowanie raportu rozpoczyna się natychmiast po rozpoczęciu ograniczania ryzyka. Raport przyrostowy zostanie wygenerowany co 5 minut i raport po zaradczej dla całego okresu ograniczania ryzyka. Ma to na celu zapewnienie, że w przypadku, gdy atak DDoS będzie kontynuowany przez dłuższy czas, będzie można wyświetlić najbardziej aktualną migawkę raportu ograniczania ryzyka co 5 minut i pełne podsumowanie po zakończeniu ograniczania ryzyka ataku.
Wymagania wstępne
- Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
- Ochrona przed atakami DDoS musi być włączona w sieci wirtualnej lub ochrona adresów IP przed atakami DDoS musi być włączona na publicznym adresie IP.
- Konfigurowanie dzienników diagnostycznych usługi DDoS Protection. Aby dowiedzieć się więcej, zobacz Konfigurowanie dzienników diagnostycznych.
- Symulowanie ataku przy użyciu jednego z naszych partnerów symulacji. Aby dowiedzieć się więcej, zobacz Testowanie za pomocą partnerów symulacji.
Wyświetlanie w obszarze roboczym usługi Log Analytics
Zaloguj się w witrynie Azure Portal.
W polu wyszukiwania w górnej części portalu wprowadź obszar roboczy usługi Log Analytics. Wybierz pozycję Obszar roboczy usługi Log Analytics w wynikach wyszukiwania.
W bloku Obszary robocze usługi Log Analytics wybierz swój obszar roboczy.
Na lewej karcie wybierz pozycję Dzienniki. W tym miejscu zostanie wyświetlony eksplorator zapytań. Zamknij okienko Zapytania, aby użyć strony Dzienniki.
Na stronie Dzienniki wpisz zapytanie, a następnie naciśnij pozycję Uruchom , aby wyświetlić wyniki.
Wykonywanie zapytań dotyczących dzienników usługi Azure DDoS Protection w obszarze roboczym usługi Log Analytics
Aby uzyskać więcej informacji na temat schematów dzienników, zobacz Wyświetlanie dzienników diagnostycznych.
Dzienniki DDoSProtectionNotifications
W bloku Obszary robocze usługi Log Analytics wybierz obszar roboczy usługi Log Analytics.
W okienku po lewej stronie wybierz pozycję Dzienniki.
W Eksploratorze zapytań wpisz następujące zapytanie Kusto i zmień zakres czasu na Niestandardowy i zmień zakres czasu na ostatnie trzy miesiące. Następnie naciśnij pozycję Uruchom.
AzureDiagnostics | where Category == "DDoSProtectionNotifications"Aby wyświetlić rekordY DDoSMitigationFlowLogs , zmień zapytanie na następujące i zachowaj ten sam zakres czasu i naciśnij pozycję Uruchom.
AzureDiagnostics | where Category == "DDoSMitigationFlowLogs"Aby wyświetlić DDoSMitigationReports , zmień zapytanie na następujące i zachowaj ten sam zakres czasu i naciśnij pozycję Uruchom.
AzureDiagnostics | where Category == "DDoSMitigationReports"
Przykładowe zapytania dziennika
Powiadomienia dotyczące ochrony przed atakami DDoS
Powiadomienia będą powiadamiać Cię w dowolnym momencie, gdy zasób publicznego adresu IP zostanie zaatakowany, a gdy nastąpi ograniczenie ryzyka ataku.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
W poniższej tabeli wymieniono nazwy pól i opisy:
| Nazwa pola | opis |
|---|---|
| TimeGenerated | Data i godzina w formacie UTC utworzenia powiadomienia. |
| ResourceId | Identyfikator zasobu publicznego adresu IP. |
| Kategoria | W przypadku powiadomień będzie DDoSProtectionNotificationsto . |
| ResourceGroup | Grupa zasobów zawierająca publiczny adres IP i sieć wirtualną. |
| Identyfikator subskrypcji | Identyfikator subskrypcji planu ochrony przed atakami DDoS. |
| Zasób | Nazwa publicznego adresu IP. |
| ResourceType | Zawsze będzie PUBLICIPADDRESSto . |
| OperationName | W przypadku powiadomień jest DDoSProtectionNotificationsto . |
| Wiadomość | Szczegóły ataku. |
| Type | Typ powiadomienia. Możliwe wartości to MitigationStarted. MitigationStopped. |
| PublicIpAddress | Publiczny adres IP. |
Dzienniki przepływu ograniczania ryzyka ataków DDoS
Dzienniki przepływu ograniczania ryzyka ataku umożliwiają przeglądanie porzuconego ruchu, przesyłania dalej ruchu i innych interesujących punktów danych podczas aktywnego ataku DDoS w czasie niemal rzeczywistym. Możesz pozyskiwać stały strumień tych danych do usługi Microsoft Sentinel lub do systemów SIEM innych firm za pośrednictwem centrum zdarzeń na potrzeby monitorowania niemal w czasie rzeczywistym, podejmować potencjalne działania i rozwiązywać potrzeby operacji obronnych.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
W poniższej tabeli wymieniono nazwy pól i opisy:
| Nazwa pola | opis |
|---|---|
| TimeGenerated | Data i godzina w formacie UTC utworzenia dziennika przepływu. |
| ResourceId | Identyfikator zasobu publicznego adresu IP. |
| Kategoria | W przypadku dzienników przepływu jest DDoSMitigationFlowLogsto . |
| ResourceGroup | Grupa zasobów zawierająca publiczny adres IP i sieć wirtualną. |
| Identyfikator subskrypcji | Identyfikator subskrypcji planu ochrony przed atakami DDoS. |
| Zasób | Nazwa publicznego adresu IP. |
| ResourceType | Zawsze będzie PUBLICIPADDRESSto . |
| OperationName | W przypadku dzienników przepływu jest DDoSMitigationFlowLogsto . |
| Wiadomość | Szczegóły ataku. |
| SourcePublicIpAddress | Publiczny adres IP klienta generujący ruch do publicznego adresu IP. |
| SourcePort | Numer portu od 0 do 65535. |
| DestPublicIpAddress | Publiczny adres IP. |
| DestPort | Numer portu od 0 do 65535. |
| Protokół | Typ protokołu. Możliwe wartości to tcp, , otherudp. |
Raporty ograniczania ryzyka ataków DDoS
AzureDiagnostics
| where Category == "DDoSMitigationReports"
W poniższej tabeli wymieniono nazwy pól i opisy:
| Nazwa pola | opis |
|---|---|
| TimeGenerated | Data i godzina w formacie UTC utworzenia powiadomienia. |
| ResourceId | Identyfikator zasobu publicznego adresu IP. |
| Kategoria | W przypadku raportów ograniczania ryzyka jest DDoSMitigationReportsto . |
| ResourceGroup | Grupa zasobów zawierająca publiczny adres IP i sieć wirtualną. |
| Identyfikator subskrypcji | Identyfikator subskrypcji planu ochrony przed atakami DDoS. |
| Zasób | Nazwa publicznego adresu IP. |
| ResourceType | Zawsze będzie PUBLICIPADDRESSto . |
| OperationName | W przypadku raportów ograniczania ryzyka jest DDoSMitigationReportsto . |
| Typ raportu | Możliwe wartości to Incremental i PostMitigation. |
| MitigationPeriodStart | Data i godzina w formacie UTC rozpoczęcia ograniczania ryzyka. |
| Środki zaradczePeriodEnd | Data i godzina w formacie UTC po zakończeniu ograniczania ryzyka. |
| Adres IP | Publiczny adres IP. |
| AtakiVectors | Degradacja typów ataków. Klucze obejmują TCP SYN flood, , TCP flood, UDP floodUDP reflection, i Other packet flood. |
| TrafficOverview | Obniżenie ruchu podatnego na ataki. Klucze obejmują Total packets, , Total packets droppedTotal UDP packetsTotal TCP packets droppedTotal UDP packets droppedTotal TCP packets, , Total Other packetsi .Total Other packets dropped |
| Protokoły | Podział dołączonych protokołów. Klucze obejmują TCP, UDPi Other. |
| DropReasons | Analiza przyczyn porzuconych pakietów. Klucze obejmują .Protocol violation invalid TCP syn Protocol violation invalid TCP, Protocol violation invalid UDP, , , UDP rate limit exceededUDP reflectionDestination limit exceededTCP rate limit exceeded, Other packet flood Rate limit exceededi .Packet was forwarded to service Nieprawidłowe przyczyny porzucania protokołu odnoszą się do źle sformułowanych pakietów. |
| TopSourceCountries | Podział 10 najważniejszych krajów/regionów źródłowych na ruch przychodzący. |
| TopSourceCountriesForDroppedPackets | Analiza 10 najlepszych krajów/regionów źródłowych pod kątem ruchu atakowego, który został ograniczony. |
| TopSourceASNs | Analiza 10 najważniejszych źródeł numerów systemu autonomicznego (ASN) ruchu przychodzącego. |
| Identyfikatory źródłowe | Analiza kontynentu źródłowego pod kątem ruchu przychodzącego. |
| Type | Typ powiadomienia. Możliwe wartości to MitigationStarted. MitigationStopped. |
Następne kroki
W tym samouczku przedstawiono sposób wyświetlania dzienników diagnostycznych usługi DDoS Protection w obszarze roboczym usługi Log Analytics. Aby dowiedzieć się więcej o zalecanych krokach, które należy wykonać po otrzymaniu ataku DDoS, zobacz następujące następne kroki.