你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
监视 Azure DDoS 防护
Azure Monitor 从系统收集并聚合指标和日志,以监视可用性、性能和复原能力,并通知你影响系统的问题。 可以使用 Azure 门户、PowerShell、Azure CLI、REST API 或客户端库来设置和查看监视数据。
不同的指标和日志可用于不同的资源类型。 本文介绍可为此服务收集的监视数据类型以及分析这些数据的方法。
使用 Azure Monitor 收集数据
下表介绍了如何收集数据来监视服务,以及收集到的数据可以做些什么:
| 要收集的数据 | 说明 | 如何收集和路由数据 | 查看数据的位置 | 支持的数据 |
|---|---|---|---|---|
| 指标数据 | 指标是数字值,用于描述系统某个方面在特定时间点的情况。 可以使用算法来聚合指标、将其与其他指标进行比较,以及通过分析指标来了解一段时间内的趋势。 | - 定期自动收集。 - 可以将某些平台指标路由到 Log Analytics 工作区,以使用其他数据进行查询。 检查每个指标的“DS 导出”设置,查看是否可以使用诊断设置来路由指标数据。 |
指标资源管理器 | Azure Monitor 支持的 Azure DDoS 防护指标 |
| 资源日志数据 | 日志是记录的具有时间戳的系统事件。 日志可包含不同类型的数据,可以结构化或采用自由文本格式。 可以将资源日志数据路由到 Log Analytics 工作区进行查询和分析。 | 创建诊断设置以收集和路由资源日志数据。 | Log Analytics | Azure Monitor 支持的 Azure DDoS 保护资源日志数据 |
| 活动日志数据 | Azure Monitor 活动日志提供关于订阅级事件的见解。 活动日志包括何时修改了资源或何时启动了虚拟机等信息。 | - 自动收集。 - 免费为 Log Analytics 工作区创建诊断设置。 |
活动日志 |
有关 Azure Monitor 支持的所有数据的列表,请参阅:
Azure DDoS 防护的内置监视功能
Azure DDoS 防护通过 DDoS 攻击分析提供攻击模式的深入见解和可视化效果。 它为客户提供了通过报告和流日志可全面了解的攻击流量和缓解操作。 在 DDoS 攻击期间,可以通过 Azure Monitor 获取详细的指标,这也允许基于这些指标的警报配置。
你可以查看和配置 Azure DDoS 防护遥测。
对攻击的遥测是通过 Azure Monitor 实时提供的。 虽然 TCP SYN、TCP 和 UDP 的缓解触发器在和平期内可用,但其他遥测只能在公共 IP 地址被缓解后可用。
可以通过以下三种不同的资源类型查看受保护的公共 IP 地址的 DDoS 遥测:DDoS 防护计划、虚拟网络和公共 IP 地址。
可将记录与 Microsoft Sentinel、Splunk(Azure 事件中心)、OMS Log Analytics 和 Azure 存储进一步集成,以通过 Azure Monitor 诊断界面进行高级分析。
有关指标的详细信息,请参阅监视 Azure DDoS 防护,以详细了解 DDoS 防护监视日志。
查看 DDoS 防护计划中的指标
登录 Azure 门户并选择 DDoS 防护计划。
在 Azure 门户菜单上,选择或搜索并选择“DDoS 防护计划”,然后选择你的 DDoS 防护计划。
在“监视”下,选择“指标”。
选择“添加指标”,然后选择“范围”。
在“选择范围”菜单中选择“订阅”,其中包含要记录的公共 IP 地址。
为“资源类型”选择“公共 IP 地址”,并选择要为其记录指标的特定公共 IP 地址,然后选择“应用”。
对于“指标”,选择“是否受到 DDoS 攻击”。
选择“最大值”作为“聚合”类型 。
查看来自虚拟网络的指标
登录到 Azure 门户,然后浏览到已启用 DDoS 防护功能的虚拟网络。
在“监视”下,选择“指标”。
选择“添加指标”,然后选择“范围”。
在“选择范围”菜单中选择“订阅”,其中包含要记录的公共 IP 地址。
为“资源类型”选择“公共 IP 地址”,并选择要为其记录指标的特定公共 IP 地址,然后选择“应用”。
在“指标”下选择所选指标,然后在“聚合”下选择类型为“最大值”。
注意
若要筛选 IP 地址,请选择“添加筛选器”。 在“属性”下,选择“受保护的 IP 地址”,运算符应设置为 =。 在“值”下,你将看到受 Azure DDoS 防护保护的公共 IP 地址的下拉列表,这些地址与虚拟网络相关联。
查看公共 IP 地址中的指标
- 登录到 Azure 门户,并浏览到公共 IP 地址。
- 在“Azure 门户”菜单上,选择或搜索并选择“公共 IP 地址”,然后选择你的公共 IP 地址。
- 在“监视”下,选择“指标”。
- 选择“添加指标”,然后选择“范围”。
- 在“选择范围”菜单中选择“订阅”,其中包含要记录的公共 IP 地址。
- 为“资源类型”选择“公共 IP 地址”,并选择要为其记录指标的特定公共 IP 地址,然后选择“应用”。
- 在“指标”下选择所选指标,然后在“聚合”下选择类型为“最大值”。
注意
将 DDoS IP 保护从“已启用”更改为“已禁用”时,公共 IP 资源的遥测将不可用。
查看 DDoS 缓解策略
Azure DDoS 防护对要保护的资源的每个公共 IP 地址使用三个自动调整的缓解策略(TCP SYN、TCP 和 UDP)。 此方法适用于启用了 DDoS 防护的任何虚拟网络。
可以通过选择“入站 SYN 数据包来触发 DDoS 缓解”、“入站 TCP 数据包来触发 DDoS 缓解”,以及“入站 UDP 数据包来触发 DDoS 缓解”指标,从而查看公共 IP 地址指标中的策略限制。 请确保将聚合类型设置为 Max。
查看和平时间流量遥测
请务必关注 TCP SYN、UDP 和 TCP 检测触发器的指标。 这些指标可帮助你了解 DDoS 保护何时启动。 确保这些触发器在没有攻击时反映正常的流量级别。
可以为公共 IP 地址资源创建图表。 此图表中包括数据包计数和 SYN 计数指标。 数据包计数包括 TCP 和 UDP 数据包。 这会显示流量的总和。
注意
若要进行公平的比较,需要将数据转换为每秒数据包。 你可以通过将看到的数字除以 60 来进行此转换,因为该数据表示在 60 秒内收集的数据包数、字节数或 SYN 数据包数。 例如,如果有 91,000 个数据包收集超过 60 秒,则将 91,000 除以 60,以获取大约 1,500 个数据包/秒 (pps)。
验证并测试
要模拟 DDoS 攻击以验证 DDoS 防护遥测,请参阅验证 DDoS 检测。
使用 Azure Monitor 工具分析数据
Azure 门户中提供了以下 Azure Monitor 工具,可帮助你分析监视数据:
某些 Azure 服务在 Azure 门户中具有内置的监视仪表板。 这些仪表板称为“见解”,可以在 Azure 门户的 Azure Monitor 的“见解”部分找到它们。
指标资源管理器可用于查看和分析 Azure 资源的指标。 有关详细信息,请参阅使用 Azure Monitor 指标资源管理器分析指标。
Log Analytics 支持使用 Kusto 查询语言 (KQL) 来查询和分析日志数据。 有关详细信息,请参阅 Azure Monitor 日志查询入门。
Azure 门户具有用于执行活动日志查看和基本搜索的用户界面。 要进行更深入的分析,请将数据路由到 Azure Monitor 日志,并在 Log Analytics 中运行更复杂的查询。
Application Insights 监视 Web 应用程序的可用性、性能和使用情况,因此你可以确定并诊断错误,而无需等待用户报告这些错误。
Application Insights 包含各种开发工具的连接点,并与 Visual Studio 集成以支持 DevOps 过程。 有关详细信息,请参阅应用服务的应用程序监视。
支持更复杂可视化效果的工具包括:
- 仪表板,它支持将不同类型的数据合并到 Azure 门户的单个窗格中。
- 工作簿,它们是可在 Azure 门户中创建的可自定义报表。 工作簿可以包括文本、指标和日志查询。
- Grafana,它是一个适用于操作仪表板的开放平台工具。 可以使用 Grafana 创建包含来自除 Azure Monitor 以外多个源的数据的仪表板。
- Power BI,它是一项业务分析服务,可提供跨各种数据源的交互式可视化效果。 可将 Power BI 配置为自动从 Azure Monitor 导入日志数据,以利用这些可视化效果。
导出 Azure Monitor 数据
可以使用以下方法将数据从 Azure Monitor 导出到其他工具:
指标:使用适用于指标的 REST API 从 Azure Monitor 指标数据库提取指标数据。 有关详细信息,请参阅 Azure Monitor REST API 参考。
日志:使用 REST API 或关联的客户端库。
要开始使用 Azure Monitor REST API,请参阅 Azure 监视 REST API 演练。
使用 Kusto 查询分析日志数据
可以使用 Kusto 查询语言 (KQL) 分析 Azure Monitor 日志数据。 有关详细信息,请参阅 Azure Monitor 中的日志查询。
使用 Azure Monitor 警报通知问题
Azure Monitor 警报允许你识别和解决系统中的问题,并在监视数据中观察到特定情况时在客户注意到之前主动通知你。 可以针对 Azure Monitor 数据平台中的任何指标或日志数据源发出警报。 有不同类型的 Azure Monitor 警报,具体取决于要监视的服务以及要收集的监视数据。 请参阅选择正确的警报规则类型。
适用于 Azure DDoS 防护的建议 Azure Monitor 警报规则
有关 Azure DDoS 防护中的警报的详细信息,请参阅通过门户配置 Azure DDoS 防护指标警报和配置 Azure DDoS 防护诊断日志记录警报。
有关 Azure 资源常见警报的示例,请参阅示例日志警报查询。
大规模实现警报
对于某些服务,你可以通过将相同的指标警报规则应用于同一 Azure 区域中的多个相同类型资源,进行大规模的监视。 Azure Monitor 基线警报 (AMBA) 提供了大规模实现重要平台指标警报、仪表板和指南的半自动化方法。