Monitorowanie usługi Azure DDoS Protection

Usługa Azure Monitor zbiera i agreguje metryki i dzienniki z systemu w celu monitorowania dostępności, wydajności i odporności oraz powiadamiania o problemach wpływających na system. Do konfigurowania i wyświetlania danych monitorowania można użyć witryny Azure Portal, programu PowerShell, interfejsu wiersza polecenia platformy Azure, interfejsu API REST lub bibliotek klienckich.

Różne metryki i dzienniki są dostępne dla różnych typów zasobów. W tym artykule opisano typy danych monitorowania, które można zbierać dla tej usługi i sposoby analizowania tych danych.

Zbieranie danych za pomocą usługi Azure Monitor

W tej tabeli opisano sposób zbierania danych w celu monitorowania usługi oraz czynności, które można wykonać z danymi po zebraniu:

Dane do zebrania	opis	Jak zbierać i kierować dane	Gdzie wyświetlić dane	Obsługiwane dane
Dane metryk	Metryki to wartości liczbowe, które opisują aspekt systemu w określonym punkcie w czasie. Metryki mogą być agregowane przy użyciu algorytmów, w porównaniu z innymi metrykami i analizowane pod kątem trendów w czasie.	— Zbierane automatycznie w regularnych odstępach czasu. — Niektóre metryki platformy można kierować do obszaru roboczego usługi Log Analytics w celu wykonywania zapytań dotyczących innych danych. Sprawdź ustawienie eksportu DS dla każdej metryki, aby sprawdzić, czy możesz użyć ustawienia diagnostycznego do kierowania danych metryk.	Eksplorator metryk	Metryki usługi Azure DDoS Protection obsługiwane przez usługę Azure Monitor
Dane dziennika zasobów	Dzienniki są rejestrowane zdarzenia systemowe ze znacznikiem czasu. Dzienniki mogą zawierać różne typy danych i mieć strukturę lub dowolny tekst. Dane dziennika zasobów można kierować do obszarów roboczych usługi Log Analytics na potrzeby wykonywania zapytań i analizy.	Utwórz ustawienie diagnostyczne do zbierania i kierowania danych dziennika zasobów.	Log Analytics	Dane dziennika zasobów usługi Azure DDoS Protection obsługiwane przez usługę Azure Monitor
Dane dziennika aktywności	Dziennik aktywności usługi Azure Monitor zapewnia wgląd w zdarzenia na poziomie subskrypcji. Dziennik aktywności zawiera takie informacje, jak czas modyfikacji zasobu lub uruchomienia maszyny wirtualnej.	— Zbierane automatycznie. - Utwórz ustawienie diagnostyczne w obszarze roboczym usługi Log Analytics bez opłat.	Dziennik aktywności

Aby uzyskać listę wszystkich danych obsługiwanych przez usługę Azure Monitor, zobacz:

• Obsługiwane metryki usługi Azure Monitor
• Obsługiwane dzienniki zasobów usługi Azure Monitor

Wbudowane monitorowanie usługi Azure DDoS Protection

Usługa Azure DDoS Protection oferuje szczegółowe informacje i wizualizacje wzorców ataków za pośrednictwem analizy ataków DDoS. Zapewnia klientom kompleksowy wgląd w ruch ataków i działania zaradcze za pośrednictwem raportów i dzienników przepływu. Podczas ataku DDoS szczegółowe metryki są dostępne za pośrednictwem usługi Azure Monitor, która umożliwia również konfiguracje alertów na podstawie tych metryk.

Możesz wyświetlać i konfigurować dane telemetryczne ochrony przed atakami DDoS platformy Azure.

Dane telemetryczne w przypadku ataku są udostępniane za pośrednictwem usługi Azure Monitor w czasie rzeczywistym. Chociaż wyzwalacze ograniczania ryzyka dla protokołu TCP SYN, protokół TCP i UDP są dostępne w czasie pokoju, inne dane telemetryczne są dostępne tylko wtedy, gdy publiczny adres IP został objęty ograniczeniem ryzyka.

Dane telemetryczne DDoS dla chronionego publicznego adresu IP można wyświetlić za pomocą trzech różnych typów zasobów: plan ochrony przed atakami DDoS, sieć wirtualna i publiczny adres IP.

Rejestrowanie można dodatkowo zintegrować z usługami Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics i Azure Storage w celu przeprowadzenia zaawansowanej analizy za pośrednictwem interfejsu diagnostyki usługi Azure Monitor.

Aby uzyskać więcej informacji na temat metryk, zobacz Monitorowanie usługi Azure DDoS Protection , aby uzyskać szczegółowe informacje na temat dzienników monitorowania usługi DDoS Protection.

Wyświetlanie metryk z poziomu planu ochrony przed atakami DDoS

1. Zaloguj się do witryny Azure Portal i wybierz plan ochrony przed atakami DDoS.

2. W menu witryny Azure Portal wybierz lub wyszukaj i wybierz pozycję Plany ochrony przed atakami DDoS, a następnie wybierz plan ochrony przed atakami DDoS.

3. W obszarze Monitorowanie wybierz pozycję Metryki.

4. Wybierz pozycję Dodaj metryki , a następnie wybierz pozycję Zakres.

5. W menu Wybierz zakres wybierz subskrypcję zawierającą publiczny adres IP, który chcesz zarejestrować.

6. Wybierz pozycję Publiczny adres IP dla pozycji Typ zasobu, a następnie wybierz konkretny publiczny adres IP, dla którego chcesz rejestrować metryki, a następnie wybierz pozycję Zastosuj.

7. W obszarze Metryka wybierz pozycję W obszarze Atak DDoS lub nie.

8. Wybierz typ agregacji jako Wartość maksymalna.

   

Wyświetlanie metryk z poziomu sieci wirtualnej

1. Zaloguj się do witryny Azure Portal i przejdź do sieci wirtualnej z włączoną ochroną przed atakami DDoS.

2. W obszarze Monitorowanie wybierz pozycję Metryki.

3. Wybierz pozycję Dodaj metryki , a następnie wybierz pozycję Zakres.

4. W menu Wybierz zakres wybierz subskrypcję zawierającą publiczny adres IP, który chcesz zarejestrować.

5. Wybierz pozycję Publiczny adres IP dla pozycji Typ zasobu, a następnie wybierz konkretny publiczny adres IP, dla którego chcesz rejestrować metryki, a następnie wybierz pozycję Zastosuj.

6. W obszarze Metryka wybierz wybraną metryę, a następnie w obszarze Agregacja wybierz typ jako Wartość maksymalna.

   

Uwaga

Aby filtrować adresy IP, wybierz pozycję Dodaj filtr. W obszarze Właściwość wybierz pozycję Chroniony adres IP, a operator powinien mieć wartość =. W obszarze Wartości zostanie wyświetlona lista rozwijana publicznych adresów IP skojarzonych z siecią wirtualną, która jest chroniona przez usługę Azure DDoS Protection.

Wyświetlanie metryk z poziomu publicznego adresu IP

1. Zaloguj się do witryny Azure Portal i przejdź do publicznego adresu IP.
2. W menu witryny Azure Portal wybierz lub wyszukaj i wybierz pozycję Publiczne adresy IP, a następnie wybierz swój publiczny adres IP.
3. W obszarze Monitorowanie wybierz pozycję Metryki.
4. Wybierz pozycję Dodaj metryki , a następnie wybierz pozycję Zakres.
5. W menu Wybierz zakres wybierz subskrypcję zawierającą publiczny adres IP, który chcesz zarejestrować.
6. Wybierz pozycję Publiczny adres IP dla pozycji Typ zasobu, a następnie wybierz konkretny publiczny adres IP, dla którego chcesz rejestrować metryki, a następnie wybierz pozycję Zastosuj.
7. W obszarze Metryka wybierz wybraną metryę, a następnie w obszarze Agregacja wybierz typ jako Wartość maksymalna.

Uwaga

Po zmianie ochrony adresów IP DDoS z włączonej na wyłączoną dane telemetryczne dla zasobu publicznego adresu IP nie są dostępne.

Wyświetlanie zasad ograniczania ryzyka ataków DDoS

Usługa Azure DDoS Protection używa trzech automatycznie dostosowanych zasad ograniczania ryzyka (TCP SYN, TCP i UDP) dla każdego publicznego adresu IP chronionego zasobu. Takie podejście dotyczy dowolnej sieci wirtualnej z włączoną ochroną przed atakami DDoS.

Limity zasad można wyświetlić w metrykach publicznego adresu IP, wybierając pakiety SYN dla ruchu przychodzącego w celu wyzwolenia ograniczania ryzyka ataków DDoS, przychodzących pakietów TCP w celu wyzwolenia ograniczania ryzyka ataków DDoS i pakietów UDP dla ruchu przychodzącego w celu wyzwolenia metryk ograniczania ryzyka ataków DDoS. Pamiętaj, aby ustawić typ agregacji na Wartość Maksymalna.

Wyświetlanie telemetrii ruchu w czasie pokoju

Ważne jest, aby mieć oko na metryki wyzwalaczy wykrywania TCP SYN, UDP i TCP. Te metryki ułatwiają zapoznanie się z rozpoczęciem ochrony przed atakami DDoS. Upewnij się, że te wyzwalacze odzwierciedlają normalne poziomy ruchu, gdy nie ma ataku.

Możesz utworzyć wykres zasobu publicznego adresu IP. Na tym wykresie uwzględnij metryki Liczba pakietów i Liczba synów. Liczba pakietów obejmuje pakiety TCP i UDP. Spowoduje to wyświetlenie sumy ruchu.

Uwaga

Aby dokonać sprawiedliwego porównania, należy przekonwertować dane na pakiety na sekundę. Tę konwersję można wykonać, dzieląc liczbę widoczną przez 60, ponieważ dane reprezentują liczbę pakietów, bajtów lub pakietów SYN zebranych przez ponad 60 sekund. Na przykład jeśli masz 91 000 pakietów zebranych ponad 60 sekund, podziel 91 000 o 60, aby uzyskać około 1500 pakietów na sekundę (pps).

Zweryfikuj i przetestuj

Aby zasymulować atak DDoS w celu zweryfikowania telemetrii ochrony przed atakami DDoS, zobacz Weryfikowanie wykrywania ataków DDoS.

Analizowanie danych przy użyciu narzędzi usługi Azure Monitor

Te narzędzia usługi Azure Monitor są dostępne w witrynie Azure Portal, aby ułatwić analizowanie danych monitorowania:

• Niektóre usługi platformy Azure mają wbudowany pulpit nawigacyjny monitorowania w witrynie Azure Portal. Te pulpity nawigacyjne są nazywane szczegółowymi informacjami i można je znaleźć w sekcji Szczegółowe informacje usługi Azure Monitor w witrynie Azure Portal.

• Eksplorator metryk umożliwia wyświetlanie i analizowanie metryk dla zasobów platformy Azure. Aby uzyskać więcej informacji, zobacz Analizowanie metryk za pomocą Eksploratora metryk usługi Azure Monitor.

• Usługa Log Analytics umożliwia wykonywanie zapytań i analizowanie danych dzienników przy użyciu języka zapytań Kusto (KQL). Aby uzyskać więcej informacji, zobacz Rozpoczynanie pracy z zapytaniami dzienników w usłudze Azure Monitor.

• Witryna Azure Portal ma interfejs użytkownika do wyświetlania i podstawowych wyszukiwań w dzienniku aktywności. Aby przeprowadzić bardziej szczegółową analizę, należy kierować dane do dzienników usługi Azure Monitor i uruchamiać bardziej złożone zapytania w usłudze Log Analytics.

• Usługa Application Insights monitoruje dostępność, wydajność i użycie aplikacji internetowych, dzięki czemu można identyfikować i diagnozować błędy bez oczekiwania na ich zgłaszanie przez użytkownika.
  Usługa Application Insights obejmuje punkty połączenia z różnymi narzędziami programistycznymi i integruje się z programem Visual Studio w celu obsługi procesów DevOps. Aby uzyskać więcej informacji, zobacz Monitorowanie aplikacji dla usługi App Service.

Narzędzia, które umożliwiają bardziej złożoną wizualizację, obejmują:

• Pulpity nawigacyjne, które umożliwiają łączenie różnych rodzajów danych w jednym okienku w witrynie Azure Portal.
• Skoroszyty, dostosowywalne raporty, które można utworzyć w witrynie Azure Portal. Skoroszyty mogą zawierać tekst, metryki i zapytania dziennika.
• Grafana to otwarte narzędzie platformy, które wyróżnia się na operacyjnych pulpitach nawigacyjnych. Za pomocą narzędzia Grafana można tworzyć pulpity nawigacyjne zawierające dane z wielu źródeł innych niż usługa Azure Monitor.
• Power BI, usługa analizy biznesowej, która udostępnia interaktywne wizualizacje w różnych źródłach danych. Usługę Power BI można skonfigurować tak, aby automatycznie importować dane dziennika z usługi Azure Monitor, aby korzystać z tych wizualizacji.

Eksportowanie danych usługi Azure Monitor

Dane z usługi Azure Monitor można wyeksportować do innych narzędzi przy użyciu:

• Metryki: użyj interfejsu API REST dla metryk , aby wyodrębnić dane metryk z bazy danych metryk usługi Azure Monitor. Aby uzyskać więcej informacji, zobacz Dokumentacja interfejsu API REST usługi Azure Monitor.

• Dzienniki: użyj interfejsu API REST lub skojarzonych bibliotek klienckich.

• Eksportowanie danych obszaru roboczego usługi Log Analytics.

Aby rozpocząć pracę z interfejsem API REST usługi Azure Monitor, zobacz Przewodnik po interfejsie API REST monitorowania platformy Azure.

Używanie zapytań Kusto do analizowania danych dziennika

Dane dziennika usługi Azure Monitor można analizować przy użyciu języka zapytań Kusto (KQL). Aby uzyskać więcej informacji, zobacz Log queries in Azure Monitor (Zapytania dzienników w usłudze Azure Monitor).

Używanie alertów usługi Azure Monitor do powiadamiania o problemach

Alerty usługi Azure Monitor umożliwiają identyfikowanie i rozwiązywanie problemów w systemie oraz proaktywne powiadamianie o znalezieniu określonych warunków w danych monitorowania przed ich zauważeniem przez klientów. Możesz otrzymywać alerty dotyczące dowolnej metryki lub źródła danych dziennika na platformie danych usługi Azure Monitor. Istnieją różne typy alertów usługi Azure Monitor w zależności od usług, które monitorujesz i zbieranych danych monitorowania. Zobacz Wybieranie odpowiedniego typu reguły alertu.

Zalecane reguły alertów usługi Azure Monitor dla usługi Azure DDoS Protection

Aby uzyskać więcej informacji na temat alertów w usłudze Azure DDoS Protection, zobacz Konfigurowanie alertów metryk usługi Azure DDoS Protection za pośrednictwem portalu i Konfigurowanie alertów rejestrowania diagnostycznego usługi Azure DDoS Protection.

Przykłady typowych alertów dotyczących zasobów platformy Azure można znaleźć w temacie Przykładowe zapytania alertów dziennika.

Implementowanie alertów na dużą skalę

W przypadku niektórych usług można monitorować na dużą skalę, stosując tę samą regułę alertu metryki do wielu zasobów tego samego typu, które istnieją w tym samym regionie świadczenia usługi Azure. Alerty linii bazowej usługi Azure Monitor (AMBA) udostępnia częściowo zautomatyzowaną metodę implementowania ważnych alertów metryk platformy, pulpitów nawigacyjnych i wytycznych na dużą skalę.

Powiązana zawartość

• Dokumentacja danych monitorowania usługi Azure DDoS Protection
• Monitorowanie zasobów platformy Azure za pomocą usługi Azure Monitor
• Konfigurowanie alertów DDoS
• Wyświetlanie alertów w Microsoft Defender dla Chmury
• Testowanie za pomocą partnerów symulacji