Partilhar via


Tutorial: Exibir logs da Proteção contra DDoS do Azure no espaço de trabalho do Log Analytics

Neste tutorial, irá aprender a:

  • exiba os logs de diagnóstico da Proteção contra DDoS do Azure, incluindo notificações, relatórios de mitigação e logs de fluxo de mitigação.

Os logs de diagnóstico da Proteção contra DDoS fornecem a capacidade de visualizar notificações de Proteção contra DDoS, relatórios de mitigação e logs de fluxo de mitigação após um ataque DDoS. Pode ver estes registos na área de trabalho do Log Analytics.

Os relatórios de mitigação de ataques usam os dados do protocolo Netflow, que são agregados para fornecer informações detalhadas sobre o ataque ao seu recurso. Sempre que um recurso IP público está sob ataque, a geração de relatórios começa assim que a mitigação começa. Haverá um relatório incremental gerado a cada 5 minutos e um relatório pós-mitigação para todo o período de mitigação. Isso é para garantir que, em um caso em que o ataque DDoS continue por um longo período de tempo, você poderá visualizar o instantâneo mais atual do relatório de mitigação a cada 5 minutos e um resumo completo assim que a mitigação do ataque terminar.

Pré-requisitos

  • Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
  • A Proteção de Rede DDoS deve estar habilitada em uma rede virtual ou a Proteção IP DDoS deve ser habilitada em um endereço IP público.
  • Configure os logs de diagnóstico da Proteção contra DDoS. Para saber mais, consulte Configurar logs de diagnóstico.
  • Simule um ataque usando um dos nossos parceiros de simulação. Para saber mais, consulte Teste com parceiros de simulação.

Exibir no espaço de trabalho do Log Analytics

  1. Inicie sessão no portal do Azure.

  2. Na caixa de pesquisa na parte superior do portal, insira o espaço de trabalho do Log Analytics. Selecione Espaço de trabalho do Log Analytics nos resultados da pesquisa.

  3. Na folha Espaços de trabalho do Log Analytics, selecione seu espaço de trabalho.

  4. Na guia do lado esquerdo, selecione Logs. Aqui você vê o explorador de consultas. Saia do painel Consultas para utilizar a página Logs .

    Captura de ecrã a mostrar a visualização de uma área de trabalho de análise de registos.

  5. Na página Logs, digite sua consulta e pressione Executar para exibir os resultados.

    Captura de ecrã a mostrar a visualização de registos de notificação da Proteção contra DDoS na área de trabalho de análise de logs.

Consultar logs da Proteção contra DDoS do Azure no espaço de trabalho de análise de log

Para obter mais informações sobre esquemas de log, consulte Exibir logs de diagnóstico.

DDoSProtectionLogs de notificações

  1. Na folha Espaços de trabalho de análise de log, selecione seu espaço de trabalho de análise de log.

  2. No painel do lado esquerdo, selecione Logs.

    Captura de tela da consulta de log em espaços de trabalho de análise de log.

  3. No Gerenciador de consultas, digite a seguinte Consulta Kusto e altere o intervalo de tempo para Personalizado e altere o intervalo de tempo para durar três meses. Em seguida, clique em Executar.

    AzureDiagnostics
    | where Category == "DDoSProtectionNotifications"
    
  4. Para exibir DDoSMitigationFlowLogs , altere a consulta para o seguinte e mantenha o mesmo intervalo de tempo e pressione Executar.

    AzureDiagnostics
    | where Category == "DDoSMitigationFlowLogs"
    
  5. Para exibir DDoSMitigationReports , altere a consulta para o seguinte e mantenha o mesmo intervalo de tempo e pressione Executar.

    AzureDiagnostics
    | where Category == "DDoSMitigationReports"
    

Exemplo de consultas dos registos

Notificações de proteção contra DDoS

As notificações irão notificá-lo sempre que um recurso IP público estiver sob ataque e quando a mitigação do ataque terminar.

AzureDiagnostics
| where Category == "DDoSProtectionNotifications"

A tabela a seguir lista os nomes e descrições dos campos:

Nome do campo Description
TimeGenerated A data e a hora em UTC quando a notificação foi criada.
ResourceId O ID do recurso do seu endereço IP público.
Categoria Para notificações, será DDoSProtectionNotifications.
ResourceGroup O grupo de recursos que contém seu endereço IP público e rede virtual.
SubscriptionId O ID de subscrição do seu plano de proteção contra DDoS.
Recurso O nome do seu endereço IP público.
ResourceType Será sempre PUBLICIPADDRESS.
Nome da operação Para notificações, isto é DDoSProtectionNotifications.
Mensagem Detalhes do ataque.
Tipo Tipo de notificação. Os valores possíveis incluem MitigationStarted. MitigationStopped.
PublicIpAddress O seu endereço IP público.

FlowLogs de mitigação de DDoS

Os logs de fluxo de mitigação de ataques permitem que você analise o tráfego perdido, o tráfego encaminhado e outros pontos de dados interessantes durante um ataque DDoS ativo quase em tempo real. Você pode ingerir o fluxo constante desses dados no Microsoft Sentinel ou em seus sistemas SIEM de terceiros via hub de eventos para monitoramento quase em tempo real, tomar ações potenciais e atender à necessidade de suas operações de defesa.

AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"

A tabela a seguir lista os nomes e descrições dos campos:

Nome do campo Description
TimeGenerated A data e a hora em UTC quando o log de fluxo foi criado.
ResourceId O ID do recurso do seu endereço IP público.
Categoria Para logs de fluxo, isso é DDoSMitigationFlowLogs.
ResourceGroup O grupo de recursos que contém seu endereço IP público e rede virtual.
SubscriptionId O ID de subscrição do seu plano de proteção contra DDoS.
Recurso O nome do seu endereço IP público.
ResourceType Será sempre PUBLICIPADDRESS.
Nome da operação Para logs de fluxo, isso é DDoSMitigationFlowLogs.
Mensagem Detalhes do ataque.
SourcePublicIpAddress O endereço IP público do cliente que gera tráfego para o seu endereço IP público.
FontePort Número da porta que varia de 0 a 65535.
DestPublicIpAddress O seu endereço IP público.
DestPort Número da porta que varia de 0 a 65535.
Protocolo Tipo de protocolo. Os valores possíveis incluem tcp, udp, other.

Relatórios de mitigação de DDoS

AzureDiagnostics
| where Category == "DDoSMitigationReports"

A tabela a seguir lista os nomes e descrições dos campos:

Nome do campo Description
TimeGenerated A data e a hora em UTC quando a notificação foi criada.
ResourceId O ID do recurso do seu endereço IP público.
Categoria Para relatórios de mitigação, isso é DDoSMitigationReports.
ResourceGroup O grupo de recursos que contém seu endereço IP público e rede virtual.
SubscriptionId O ID de subscrição do seu plano de proteção contra DDoS.
Recurso O nome do seu endereço IP público.
ResourceType Será sempre PUBLICIPADDRESS.
Nome da operação Para relatórios de mitigação, isso é DDoSMitigationReports
Tipo de relatório Os valores possíveis são Incremental e PostMitigation.
MitigationPeriodStart A data e a hora em UTC quando a mitigação começou.
MitigaçãoPeríodoFinal A data e hora em UTC quando a mitigação terminou.
Endereço IPAddress O seu endereço IP público.
Vetores de ataque Degradação dos tipos de ataque. As chaves incluem TCP SYN flood, TCP flood, UDP flood, UDP reflection, e Other packet flood.
TráfegoVisão geral Degradação do tráfego de ataque. As chaves incluem Total packets, Total packets dropped, Total TCP packets, Total TCP packets dropped, Total UDP packets, Total UDP packets dropped, Total Other packetse Total Other packets dropped.
Protocolos   Repartição dos protocolos incluída. As chaves incluem TCP, UDPe Other.   
DropReasons Análise das causas da queda de pacotes. As chaves incluem Protocol violation invalid TCP. syn Protocol violation invalid TCP, Protocol violation invalid UDP, , UDP reflection, TCP rate limit exceeded, UDP rate limit exceeded, Other packet flood Rate limit exceededDestination limit exceeded, e Packet was forwarded to service. Os motivos de violação de protocolo de descarte inválido referem-se a pacotes malformados.
TopSourceCountries Divisão dos 10 principais países/regiões de origem em tráfego de entrada.
TopSourceCountriesForDroppedPackets Análise dos 10 principais países/regiões de origem para o tráfego de ataque que foi limitado.
TopSourceASNs Análise das 10 principais fontes de números de sistemas autônomos (ASNs) de tráfego de entrada.  
FonteContinentes Análise do continente de origem para o tráfego de entrada.
Tipo Tipo de notificação. Os valores possíveis incluem MitigationStarted. MitigationStopped.

Próximos passos

Neste tutorial, você aprendeu como exibir logs de diagnóstico da Proteção contra DDoS em um espaço de trabalho do Log Analytics. Para saber mais sobre as etapas recomendadas a serem seguidas quando você recebe um ataque DDoS, consulte estas próximas etapas.