Monitorar a Proteção contra DDoS do Azure
O Azure Monitor recolhe e agrega métricas e registos do seu sistema para monitorizar a disponibilidade, o desempenho e a resiliência e notificá-lo de problemas que afetam o seu sistema. Você pode usar o portal do Azure, PowerShell, CLI do Azure, API REST ou bibliotecas de cliente para configurar e exibir dados de monitoramento.
Diferentes métricas e logs estão disponíveis para diferentes tipos de recursos. Este artigo descreve os tipos de dados de monitoramento que você pode coletar para esse serviço e maneiras de analisar esses dados.
Coletar dados com o Azure Monitor
Esta tabela descreve como você pode coletar dados para monitorar seu serviço e o que você pode fazer com os dados depois de coletados:
| Dados a recolher | Description | Como recolher e encaminhar os dados | Onde visualizar os dados | Dados suportados |
|---|---|---|---|---|
| Dados métricos | As métricas são valores numéricos que descrevem um aspeto de um sistema em um determinado momento. As métricas podem ser agregadas usando algoritmos, em comparação com outras métricas, e analisadas quanto às tendências ao longo do tempo. | - Recolhido automaticamente a intervalos regulares. - Você pode rotear algumas métricas da plataforma para um espaço de trabalho do Log Analytics para consultar outros dados. Verifique a configuração de exportação DS para cada métrica para ver se você pode usar uma configuração de diagnóstico para rotear os dados da métrica. |
Explorador de métricas | Métricas de Proteção contra DDoS do Azure suportadas pelo Azure Monitor |
| Dados do log de recursos | Os logs são eventos do sistema gravados com um carimbo de data/hora. Os logs podem conter diferentes tipos de dados e ser texto estruturado ou de forma livre. Você pode rotear dados de log de recursos para espaços de trabalho do Log Analytics para consulta e análise. | Crie uma configuração de diagnóstico para coletar e rotear dados de log de recursos. | Log Analytics | Dados de log de recursos da Proteção contra DDoS do Azure suportados pelo Azure Monitor |
| Dados do registo de atividades | O log de atividades do Azure Monitor fornece informações sobre eventos no nível de assinatura. O registo de atividades inclui informações como quando um recurso é modificado ou uma máquina virtual é iniciada. | - Recolhido automaticamente. - Crie uma configuração de diagnóstico para um espaço de trabalho do Log Analytics gratuitamente. |
Registo de atividades |
Para obter a lista de todos os dados suportados pelo Azure Monitor, consulte:
Monitorização incorporada para a Proteção contra DDoS do Azure
A Proteção contra DDoS do Azure oferece informações e visualizações detalhadas de padrões de ataque por meio da Análise de Ataques DDoS. Ele fornece aos clientes uma visibilidade abrangente do tráfego de ataques e ações de mitigação por meio de relatórios e logs de fluxo. Durante um ataque DDoS, métricas detalhadas estão disponíveis por meio do Azure Monitor, que também permite configurações de alerta com base nessas métricas.
Você pode exibir e configurar a telemetria de proteção contra DDoS do Azure.
A telemetria de um ataque é disponibilizada através do Azure Monitor em tempo real. Enquanto os gatilhos de mitigação para TCP SYN, TCP & UDP estão disponíveis durante o tempo de paz, outra telemetria está disponível somente quando um endereço IP público está sob mitigação.
Você pode exibir a telemetria DDoS para um endereço IP público protegido por meio de três tipos de recursos diferentes: plano de proteção contra DDoS, rede virtual e endereço IP público.
O registo pode ser ainda mais integrado com o Microsoft Sentinel, o Splunk (Hubs de Eventos do Azure), o OMS Log Analytics e o Armazenamento do Azure para análise avançada através da interface do Azure Monitor Diagnostics.
Para obter mais informações sobre métricas, consulte Monitorando a Proteção contra DDoS do Azure para obter detalhes sobre os logs de monitoramento da Proteção contra DDoS.
Ver métricas do plano de proteção contra DDoS
Entre no portal do Azure e selecione seu plano de proteção contra DDoS.
No menu do portal do Azure, selecione ou pesquise e selecione planos de proteção contra DDoS e, em seguida, selecione seu plano de proteção contra DDoS.
Em Monitorização, selecione Métricas.
Selecione Adicionar métrica e, em seguida, selecione Escopo.
No menu Selecione um escopo, selecione a Assinatura que contém o endereço IP público que você deseja registrar.
Selecione Endereço IP público para Tipo de recurso , selecione o endereço IP público específico para o qual deseja registrar métricas e selecione Aplicar.
Em Métrica, selecione Sob ataque DDoS ou não.
Selecione o tipo de agregação como Max.
Ver métricas da rede virtual
Entre no portal do Azure e navegue até sua rede virtual que tenha a proteção contra DDoS habilitada.
Em Monitorização, selecione Métricas.
Selecione Adicionar métrica e, em seguida, selecione Escopo.
No menu Selecione um escopo, selecione a Assinatura que contém o endereço IP público que você deseja registrar.
Selecione Endereço IP público para Tipo de recurso , selecione o endereço IP público específico para o qual deseja registrar métricas e selecione Aplicar.
Em Métrica, selecione a métrica escolhida e, em Agregação , selecione o tipo como Máximo.
Nota
Para filtrar Endereços IP, selecione Adicionar filtro. Em Propriedade, selecione Endereço IP protegido e o operador deve ser definido como =. Em Valores, você verá uma lista suspensa de endereços IP públicos, associados à rede virtual, protegidos pela Proteção contra DDoS do Azure.
Ver métricas do endereço IP público
- Entre no portal do Azure e navegue até seu endereço IP público.
- No menu do portal do Azure, selecione ou pesquise e selecione Endereços IP públicos e, em seguida, selecione seu endereço IP público.
- Em Monitorização, selecione Métricas.
- Selecione Adicionar métrica e, em seguida, selecione Escopo.
- No menu Selecione um escopo, selecione a Assinatura que contém o endereço IP público que você deseja registrar.
- Selecione Endereço IP público para Tipo de recurso , selecione o endereço IP público específico para o qual deseja registrar métricas e selecione Aplicar.
- Em Métrica, selecione a métrica escolhida e, em Agregação , selecione o tipo como Máximo.
Nota
Quando você altera a proteção IP contra DDoS de habilitada para desabilitada, a telemetria para o recurso IP público não está disponível.
Exibir políticas de mitigação de DDoS
A Proteção contra DDoS do Azure usa três políticas de mitigação ajustadas automaticamente (TCP, SYN, TCP e UDP) para cada endereço IP público do recurso que está sendo protegido. Essa abordagem se aplica a qualquer rede virtual com proteção contra DDoS habilitada.
Você pode ver os limites de política em suas métricas de endereço IP público escolhendo os pacotes SYN de entrada para acionar a mitigação de DDoS, os pacotes TCP de entrada para disparar a mitigação de DDoS e os pacotes UDP de entrada para disparar métricas de mitigação de DDoS. Certifique-se de definir o tipo de agregação como Max.
Ver telemetria de tráfego em tempo de paz
É importante ficar de olho nas métricas dos gatilhos de deteção TCP SYN, UDP e TCP. Essas métricas ajudam você a saber quando a proteção contra DDoS é iniciada. Certifique-se de que esses gatilhos reflitam os níveis normais de tráfego quando não houver ataque.
Você pode criar um gráfico para o recurso de endereço IP público. Neste gráfico, inclua as métricas Contagem de Pacotes e Contagem SYN. A contagem de pacotes inclui pacotes TCP e UDP. Isso mostra a soma do tráfego.
Nota
Para fazer uma comparação justa, você precisa converter os dados em pacotes por segundo. Você pode fazer essa conversão dividindo o número que você vê por 60, pois os dados representam o número de pacotes, bytes ou pacotes SYN coletados ao longo de 60 segundos. Por exemplo, se você tiver 91.000 pacotes coletados em 60 segundos, divida 91.000 por 60 para obter aproximadamente 1.500 pacotes por segundo (pps).
Validar e testar
Para simular um ataque DDoS para validar a telemetria de proteção contra DDoS, consulte Validar deteção de DDoS.
Usar as ferramentas do Azure Monitor para analisar os dados
Estas ferramentas do Azure Monitor estão disponíveis no portal do Azure para ajudá-lo a analisar dados de monitoramento:
Alguns serviços do Azure têm um painel de monitoramento interno no portal do Azure. Esses painéis são chamados de insights, e você pode encontrá-los na seção Insights do Azure Monitor no portal do Azure.
O explorador de métricas permite que você exiba e analise métricas para recursos do Azure. Para obter mais informações, consulte Analisar métricas com o explorador de métricas do Azure Monitor.
O Log Analytics permite consultar e analisar dados de log usando a linguagem de consulta Kusto (KQL). Para obter mais informações, consulte Introdução às consultas de log no Azure Monitor.
O portal do Azure tem uma interface de usuário para exibição e pesquisas básicas do log de atividades. Para fazer uma análise mais aprofundada, encaminhe os dados para os logs do Azure Monitor e execute consultas mais complexas no Log Analytics.
O Application Insights monitora a disponibilidade, o desempenho e o uso de seus aplicativos Web, para que você possa identificar e diagnosticar erros sem esperar que um usuário os relate.
O Application Insights inclui pontos de conexão para várias ferramentas de desenvolvimento e integra-se ao Visual Studio para dar suporte aos seus processos de DevOps. Para obter mais informações, consulte Monitoramento de aplicativos para o Serviço de Aplicativo.
As ferramentas que permitem uma visualização mais complexa incluem:
- Painéis que permitem combinar diferentes tipos de dados em um único painel no portal do Azure.
- Pastas de trabalho, relatórios personalizáveis que você pode criar no portal do Azure. As pastas de trabalho podem incluir texto, métricas e consultas de log.
- Grafana, uma ferramenta de plataforma aberta que se destaca em dashboards operacionais. Você pode usar o Grafana para criar painéis que incluem dados de várias fontes diferentes do Azure Monitor.
- Power BI, um serviço de análise de negócios que fornece visualizações interativas em várias fontes de dados. Você pode configurar o Power BI para importar automaticamente dados de log do Azure Monitor para aproveitar essas visualizações.
Exportar dados do Azure Monitor
Você pode exportar dados do Azure Monitor para outras ferramentas usando:
Métricas: use a API REST para métricas para extrair dados de métricas do banco de dados de métricas do Azure Monitor. Para obter mais informações, consulte Referência da API REST do Azure Monitor.
Logs: use a API REST ou as bibliotecas de cliente associadas.
A exportação de dados do espaço de trabalho do Log Analytics.
Para começar a usar a API REST do Azure Monitor, consulte Passo a passo da API REST de monitoramento do Azure.
Usar consultas Kusto para analisar dados de log
Você pode analisar os dados do Log do Azure Monitor usando a linguagem de consulta Kusto (KQL). Para obter mais informações, consulte Registrar consultas no Azure Monitor.
Usar alertas do Azure Monitor para notificá-lo sobre problemas
Os alertas do Azure Monitor permitem-lhe identificar e resolver problemas no seu sistema e notificá-lo proativamente quando são encontradas condições específicas nos seus dados de monitorização antes que os seus clientes as percebam. Você pode alertar sobre qualquer fonte de dados de métrica ou log na plataforma de dados do Azure Monitor. Há diferentes tipos de alertas do Azure Monitor, dependendo dos serviços que você está monitorando e dos dados de monitoramento que você está coletando. Consulte Escolher o tipo correto de regra de alerta.
Regras de alerta recomendadas do Azure Monitor para a Proteção contra DDoS do Azure
Para obter mais informações sobre alertas na Proteção contra DDoS do Azure, consulte Configurar alertas métricos da Proteção contra DDoS do Azure através do portal e Configurar alertas de log de diagnóstico da Proteção contra DDoS do Azure.
Para obter exemplos de alertas comuns para recursos do Azure, consulte Consultas de alerta de log de exemplo.
Implementação de alertas em escala
Para alguns serviços, você pode monitorar em escala aplicando a mesma regra de alerta de métrica a vários recursos do mesmo tipo que existem na mesma região do Azure. Os Alertas de Linha de Base do Azure Monitor (AMBA) fornecem um método semiautomatizado de implementação de alertas métricos de plataforma importantes, painéis e diretrizes em escala.