Övervaka Azure DDoS Protection

Azure Monitor samlar in och aggregerar mått och loggar från systemet för att övervaka tillgänglighet, prestanda och motståndskraft och meddela dig om problem som påverkar systemet. Du kan använda Azure Portal, PowerShell, Azure CLI, REST API eller klientbibliotek för att konfigurera och visa övervakningsdata.

Olika mått och loggar är tillgängliga för olika resurstyper. Den här artikeln beskriver de typer av övervakningsdata som du kan samla in för den här tjänsten och hur du analyserar dessa data.

Samla in data med Azure Monitor

Den här tabellen beskriver hur du kan samla in data för att övervaka din tjänst och vad du kan göra med data när de har samlats in:

Data som ska samlas in	beskrivning	Så här samlar du in och dirigerar data	Var du kan visa data	Data som stöds
Måttdata	Mått är numeriska värden som beskriver en aspekt av ett system vid en viss tidpunkt. Mått kan aggregeras med hjälp av algoritmer, jämfört med andra mått, och analyseras för trender över tid.	- Samlas in automatiskt med jämna mellanrum. – Du kan dirigera vissa plattformsmått till en Log Analytics-arbetsyta för att fråga med andra data. Kontrollera DS-exportinställningen för varje mått för att se om du kan använda en diagnostikinställning för att dirigera måttdata.	Metrics Explorer	Azure DDoS Protection-mått som stöds av Azure Monitor
Resursloggdata	Loggar är registrerade systemhändelser med en tidsstämpel. Loggar kan innehålla olika typer av data och vara strukturerade eller friformstext. Du kan dirigera resursloggdata till Log Analytics-arbetsytor för frågor och analys.	Skapa en diagnostikinställning för att samla in och dirigera resursloggdata.	Log Analytics	Azure DDoS Protection-resursloggdata som stöds av Azure Monitor
Aktivitetsloggdata	Azure Monitor-aktivitetsloggen ger insikter om händelser på prenumerationsnivå. Aktivitetsloggen innehåller till exempel information om när en resurs ändras eller när en virtuell dator startas.	- Samlas in automatiskt. - Skapa en diagnostikinställning till en Log Analytics-arbetsyta utan kostnad.	Aktivitetslogg

Listan över alla data som stöds av Azure Monitor finns i:

• Mått som stöds i Azure Monitor
• Resursloggar som stöds i Azure Monitor

Inbyggd övervakning för Azure DDoS Protection

Azure DDoS Protection erbjuder djupgående insikter och visualiseringar av attackmönster via DDoS Attack Analytics. Det ger kunderna omfattande insyn i angreppstrafik och åtgärdsåtgärder via rapporter och flödesloggar. Under en DDoS-attack är detaljerade mått tillgängliga via Azure Monitor, vilket också tillåter aviseringskonfigurationer baserat på dessa mått.

Du kan visa och konfigurera Telemetri för Azure DDoS-skydd.

Telemetri för ett angrepp tillhandahålls i realtid via Azure Monitor. Även om åtgärdsutlösare för TCP SYN, TCP och UDP är tillgängliga under fredstid, är annan telemetri endast tillgänglig när en offentlig IP-adress har åtgärdats.

Du kan visa DDoS-telemetri för en skyddad offentlig IP-adress via tre olika resurstyper: DDoS-skyddsplan, virtuellt nätverk och offentlig IP-adress.

Loggning kan integreras ytterligare med Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics och Azure Storage för avancerad analys via Azure Monitor Diagnostics-gränssnittet.

Mer information om mått finns i Övervaka Azure DDoS Protection för mer information om DDoS Protection-övervakningsloggar.

Visa mått från DDoS-skyddsplan

1. Logga in på Azure Portal och välj din DDoS-skyddsplan.

2. På menyn Azure Portal väljer eller söker du efter och väljer DDoS-skyddsplaner och väljer sedan din DDoS-skyddsplan.

3. Gå till Övervakning och välj Mått.

4. Välj Lägg till mått och välj sedan Omfång.

5. I menyn Välj ett omfång väljer du den Prenumeration som innehåller den offentliga IP-adress som du vill logga.

6. Välj Offentlig IP-adress för Resurstyp och välj sedan den specifika offentliga IP-adress som du vill logga mått för och välj sedan Använd.

7. För Mått väljer du Under DDoS-attack eller inte.

8. Välj aggregeringstypen som Max.

   

Visa mått från Virtual Network

1. Logga in på Azure Portal och bläddra till det virtuella nätverk som har DDoS-skydd aktiverat.

2. Gå till Övervakning och välj Mått.

3. Välj Lägg till mått och välj sedan Omfång.

4. I menyn Välj ett omfång väljer du den Prenumeration som innehåller den offentliga IP-adress som du vill logga.

5. Välj Offentlig IP-adress för Resurstyp och välj sedan den specifika offentliga IP-adress som du vill logga mått för och välj sedan Använd.

6. Under Mått väljer du det valda måttet och under Sammansättning väljer du typ som Max.

   

Kommentar

Om du vill filtrera IP-adresser väljer du Lägg till filter. Under Egenskap väljer du Skyddad IP-adress och operatorn ska vara inställd på =. Under Värden visas en listruta med offentliga IP-adresser som är associerade med det virtuella nätverket och som skyddas av Azure DDoS Protection.

Visa mått från offentlig IP-adress

1. Logga in på Azure Portal och bläddra till din offentliga IP-adress.
2. På menyn Azure Portal väljer eller söker du efter och väljer Offentliga IP-adresser och väljer sedan din offentliga IP-adress.
3. Gå till Övervakning och välj Mått.
4. Välj Lägg till mått och välj sedan Omfång.
5. I menyn Välj ett omfång väljer du den Prenumeration som innehåller den offentliga IP-adress som du vill logga.
6. Välj Offentlig IP-adress för Resurstyp och välj sedan den specifika offentliga IP-adress som du vill logga mått för och välj sedan Använd.
7. Under Mått väljer du det valda måttet och under Sammansättning väljer du typ som Max.

Kommentar

När du ändrar DDoS IP-skydd från aktiverat till inaktiverat är telemetri för den offentliga IP-resursen inte tillgänglig.

Visa DDoS-åtgärdsprinciper

Azure DDoS Protection använder tre automatiskt justerade åtgärdsprinciper (TCP SYN, TCP och UDP) för varje offentlig IP-adress för resursen som skyddas. Den här metoden gäller för alla virtuella nätverk med DDoS-skydd aktiverat.

Du kan se principgränserna i dina offentliga IP-adressmått genom att välja inkommande SYN-paket för att utlösa DDoS-begränsning, inkommande TCP-paket för att utlösa DDoS-åtgärd och inkommande UDP-paket för att utlösa DDoS-åtgärdsmått . Se till att ange aggregeringstypen till Max.

Visa telemetri för fredstidstrafik

Det är viktigt att hålla ett öga på måtten för TCP SYN-, UDP- och TCP-identifieringsutlösare. Dessa mått hjälper dig att veta när DDoS-skyddet startar. Se till att dessa utlösare återspeglar de normala trafiknivåerna när det inte sker någon attack.

Du kan skapa ett diagram för den offentliga IP-adressresursen. I det här diagrammet inkluderar du måtten Antal paket och SYN-antal. Antalet paket innehåller både TCP- och UDP-paket. Här visas summan av trafiken.

Kommentar

För att göra en rättvis jämförelse måste du konvertera data till paket per sekund. Du kan göra den här konverteringen genom att dividera antalet du ser med 60, eftersom data representerar antalet paket, byte eller SYN-paket som samlats in under 60 sekunder. Om du till exempel har 91 000 paket insamlade under 60 sekunder delar du upp 91 000 med 60 för att få cirka 1 500 paket per sekund (pps).

Validera och testa

Information om hur du simulerar en DDoS-attack för att verifiera DDoS-skyddstelemetri finns i Verifiera DDoS-identifiering.

Använda Azure Monitor-verktyg för att analysera data

Dessa Azure Monitor-verktyg är tillgängliga i Azure Portal som hjälper dig att analysera övervakningsdata:

• Vissa Azure-tjänster har en inbyggd instrumentpanel för övervakning i Azure Portal. Dessa instrumentpaneler kallas insikter och du hittar dem i avsnittet Insikter i Azure Monitor i Azure Portal.

• Med Metrics Explorer kan du visa och analysera mått för Azure-resurser. Mer information finns i Analysera mått med Azure Monitor Metrics Explorer.

• Med Log Analytics kan du fråga och analysera loggdata med hjälp av KQL (Kusto Query Language). Mer information finns i Kom igång med loggfrågor i Azure Monitor.

• Azure Portal har ett användargränssnitt för visning och grundläggande sökningar i aktivitetsloggen. Om du vill göra mer djupgående analys dirigerar du data till Azure Monitor-loggar och kör mer komplexa frågor i Log Analytics.

• Application Insights övervakar tillgänglighet, prestanda och användning av dina webbprogram, så att du kan identifiera och diagnostisera fel utan att vänta på att en användare ska rapportera dem.
  Application Insights innehåller anslutningspunkter till olika utvecklingsverktyg och integreras med Visual Studio för att stödja dina DevOps-processer. Mer information finns i Programövervakning för App Service.

Verktyg som möjliggör mer komplex visualisering är:

• Instrumentpaneler som gör att du kan kombinera olika typer av data i ett enda fönster i Azure Portal.
• Arbetsböcker, anpassningsbara rapporter som du kan skapa i Azure Portal. Arbetsböcker kan innehålla text-, mått- och loggfrågor.
• Grafana, ett öppet plattformsverktyg som utmärker sig i operativa instrumentpaneler. Du kan använda Grafana för att skapa instrumentpaneler som innehåller data från flera andra källor än Azure Monitor.
• Power BI, en tjänst för affärsanalys som tillhandahåller interaktiva visualiseringar mellan olika datakällor. Du kan konfigurera Power BI för att automatiskt importera loggdata från Azure Monitor för att dra nytta av dessa visualiseringar.

Exportera Azure Monitor-data

Du kan exportera data från Azure Monitor till andra verktyg med hjälp av:

• Mått: Använd REST-API:et för mått för att extrahera måttdata från Azure Monitor-måttdatabasen. Mer information finns i Azure Monitor REST API-referens.

• Loggar: Använd REST-API:et eller de associerade klientbiblioteken.

• Dataexporten för Log Analytics-arbetsytan.

Information om hur du kommer igång med REST API :et för Azure Monitor finns i Genomgång av REST API för Azure-övervakning.

Använda Kusto-frågor för att analysera loggdata

Du kan analysera Azure Monitor-loggdata med hjälp av Kusto-frågespråket (KQL). Mer information finns i Logga frågor i Azure Monitor.

Använda Azure Monitor-aviseringar för att meddela dig om problem

Med Azure Monitor-aviseringar kan du identifiera och åtgärda problem i systemet och proaktivt meddela dig när specifika villkor finns i dina övervakningsdata innan kunderna märker dem. Du kan avisera om valfritt mått eller loggdatakälla på Azure Monitor-dataplattformen. Det finns olika typer av Azure Monitor-aviseringar beroende på vilka tjänster du övervakar och vilka övervakningsdata du samlar in. Se Välja rätt typ av aviseringsregel.

Rekommenderade Azure Monitor-aviseringsregler för Azure DDoS Protection

Mer information om aviseringar i Azure DDoS Protection finns i Konfigurera Azure DDoS Protection-måttaviseringar via portalen och Konfigurera diagnostikloggningsaviseringar för Azure DDoS Protection.

Exempel på vanliga aviseringar för Azure-resurser finns i Exempelloggaviseringsfrågor.

Implementera aviseringar i stor skala

För vissa tjänster kan du övervaka i stor skala genom att tillämpa samma måttaviseringsregel på flera resurser av samma typ som finns i samma Azure-region. Azure Monitor Baseline Alerts (AMBA) tillhandahåller en halvautomatiserad metod för att implementera viktiga plattformsmåttaviseringar, instrumentpaneler och riktlinjer i stor skala.

Relaterat innehåll

• Datareferens för Azure DDoS Protection-övervakning
• Övervaka Azure-resurser med Azure Monitor
• Konfigurera DDoS-aviseringar
• Visa aviseringar i Microsoft Defender för molnet
• Testa med simuleringspartner