監視 Azure DDoS 保護

Azure 監視器會從系統收集及匯總計量和記錄，以監視可用性、效能和復原能力，並通知您影響系統的問題。 您可以使用 Azure 入口網站、PowerShell、Azure CLI、REST API 或用戶端程式庫來設定及檢視監視資料。

不同的計量和記錄適用於不同的資源類型。 本文說明您可以為此服務收集的監視數據類型，以及分析該數據的方式。

使用 Azure 監視器收集數據

下表描述如何收集數據來監視服務，以及一旦收集數據后，您可以執行哪些動作：

要收集的資料	描述	如何收集和路由數據	檢視數據的位置	支援的資料
計量資料	計量為數值，可描述系統在特定時間點的某個方面。 相較於其他計量，您可以使用演算法匯總計量，並分析一段時間的趨勢。	- 定期自動收集。 - 您可以將某些平台計量路由傳送至 Log Analytics 工作區，以與其他數據進行查詢。 檢查每個計量的 DS 匯出 設定，以查看您是否可以使用診斷設定來路由計量數據。	計量瀏覽器	Azure 監視器支援的 Azure DDoS 保護計量
資源記錄數據	記錄會記錄具有時間戳的系統事件。 記錄可以包含不同類型的數據，而且是結構化或自由格式的文字。 您可以將資源記錄數據路由傳送至 Log Analytics 工作區，以進行查詢和分析。	建立診斷設定 以收集和路由傳送資源記錄數據。	Log Analytics	Azure 監視器支援的 Azure DDoS 保護資源記錄數據
活動記錄數據	Azure 監視器活動記錄提供訂用帳戶層級事件的深入解析。 此活動記錄包含像是何時修改資源或啟動虛擬機器的資訊。	- 自動收集。 - 免費建立Log Analytics工作區的診斷設定 。	活動記錄檔

如需 Azure 監視器所支援之所有資料的清單，請參閱：

• Azure 監視器支援的計量
• Azure 監視器支持的資源記錄

Azure DDoS 保護的內建監視

Azure DDoS 保護透過 DDoS 攻擊分析，提供攻擊模式的深入見解和視覺效果。 其可讓客戶透過報告和流程記錄，全面了解攻擊流量和風險降低動作。 在 DDoS 攻擊期間，可透過 Azure 監視器取得詳細的計量，也可根據這些計量來設定警示。

您可以檢視及設定 Azure DDoS 保護遙測。

攻擊的遙測可透過 Azure 監視器即時提供。 雖然 TCP SYN、TCP 和 UDP 的風險降低觸發程序可在安全期間使用，但只有在公用 IP 位址處於風險降低狀態時，才能使用其他遙測。

您可以透過三種不同的資源類型檢視受保護公用 IP 位址的 DDoS 遙測：DDoS 保護計劃、虛擬網路和公用 IP 位址。

記錄可以透過 Azure 監視器診斷介面來進一步與 Microsoft Sentinel、Splunk (Azure 事件中樞)、OMS Log Analytics 及 Azure 儲存體整合，以進行進階分析。

如需計量的詳細資訊，請參閱監視 Azure DDoS 保護，以取得 DDoS 保護監視記錄的詳細資料。

從 DDoS 保護計劃檢視計量

1. 請登入 Azure 入口網站，並選取您的 DDoS 保護計劃。

2. 在 Azure 入口網站的功能表中，選取或搜尋並選取 [DDoS 保護計劃]，然後選取您的 DDoS 保護計劃。

3. 在 [監視] 下，選取 [計量]。

4. 選取 [新增計量]，然後選取 [範圍]。

5. 在 [選取範圍] 功能表中，選取包含您要記錄之公用 IP 位址的 [訂用帳戶]。

6. 在 [資源類型] 選取 [公用 IP 位址]，然後選取您想要為其記錄計量的特定公用 IP 位址，再選取 [套用]。

7. 針對 [計量]，選取 [是否受到 DDoS 攻擊]。

8. 選取 [最大值] 作為彙總類型。

   

從虛擬網路檢視計量

1. 登入 Azure 入口網站，並瀏覽至已啟用 DDoS 保護的虛擬網路。

2. 在 [監視] 下，選取 [計量]。

3. 選取 [新增計量]，然後選取 [範圍]。

4. 在 [選取範圍] 功能表中，選取包含您要記錄之公用 IP 位址的 [訂用帳戶]。

5. 在 [資源類型] 選取 [公用 IP 位址]，然後選取您想要為其記錄計量的特定公用 IP 位址，再選取 [套用]。

6. 在 [計量] 下選取您選擇的計量，然後在 [彙總] 下選取類型為 [最大值]。

   

注意

若要篩選 IP 位址，請選取 [ 新增篩選]。 在 [屬性] 底下，選取 [受保護的 IP 位址]，並將運算子設定為 =。 在 [值] 底下，您會看到與 Azure DDoS 保護所保護之虛擬網路相關聯的公用 IP 位址下拉式清單。

從公用 IP 位址檢視計量

1. 登入 Azure 入口網站並瀏覽至您的公用 IP 位址。
2. 在 Azure 入口網站的功能表中，選取或搜尋並選取 [公用 IP 位址]，然後選取您的公用 IP 位址。
3. 在 [監視] 下，選取 [計量]。
4. 選取 [新增計量]，然後選取 [範圍]。
5. 在 [選取範圍] 功能表中，選取包含您要記錄之公用 IP 位址的 [訂用帳戶]。
6. 在 [資源類型] 選取 [公用 IP 位址]，然後選取您想要為其記錄計量的特定公用 IP 位址，再選取 [套用]。
7. 在 [計量] 下選取您選擇的計量，然後在 [彙總] 下選取類型為 [最大值]。

注意

當您將 DDoS IP 保護從 啟用 變更為 停用時，公用 IP 資源的遙測無法使用。

檢視 DDoS 風險降低原則

Azure DDoS 保護會針對要保護之資源的每個公用 IP 位址，使用三個自動調整的風險降低原則 (TCP SYN、TCP 和 UDP)。 此方法適用於已啟用 DDoS 保護的任何虛擬網路。

您可以選擇觸發 DDoS 風險降低的輸入 SYN 封包、觸發 DDoS 風險降低的輸入 TCP 封包，以及觸發 DDoS 風險降低的輸入 UDP 封包，來查看公用 IP 位址計量內的原則限制。 請務必將彙總類型設為 [最大]。

檢視和平時間流量遙測

請務必留意 TCP SYN、UDP 和 TCP 偵測觸發程序的計量。 這些計量可協助您掌握 DDoS 保護的開始時間。 請確定這些觸發程序會在沒有攻擊時反映一般流量層級。

您可以建立公用 IP 位址資源的圖表。 在此圖表中，包含封包計數和 SYN 計數計量。 此封包計數同時包含 TCP 和 UDP 封包。 此會顯示流量的總和。

注意

若要進行公平的比較，您需要將資料轉換成每秒封包數。 您可以藉由將看到的數位除以 60 來執行這項轉換，因為數據代表在 60 秒內收集的封包、位元組或 SYN 封包數目。 例如，如果您有在 60 秒內收集的 91,000 個封包，請將 91,000 除以 60，以取得約 1,500 個每秒封包數 (pps)。

驗證和測試

若要模擬 DDoS 攻擊來驗證 DDoS 保護遙測，請參閱驗證 DDoS 偵測。

使用 Azure 監視器工具來分析數據

這些 Azure 監視器工具可在 Azure 入口網站 中取得，以協助您分析監視數據：

• 某些 Azure 服務在 Azure 入口網站 中有內建的監視儀錶板。 這些儀錶板稱為深入解析，您可以在 Azure 入口網站 的 Azure 監視器深入解析區段中找到這些儀錶板。

• 計量總 管可讓您檢視和分析 Azure 資源的計量。 如需詳細資訊，請參閱 使用 Azure 監視器計量總管分析計量。

• Log Analytics 可讓您使用 Kusto 查詢語言 （KQL） 來查詢和分析記錄數據。 如需詳細資訊，請參閱開始使用 Azure 監視器中的記錄查詢。

• Azure 入口網站 具有使用者介面，可供檢視活動記錄和基本搜尋。 若要進行更深入的分析，請將數據路由傳送至 Azure 監視器記錄，並在 Log Analytics 中執行更複雜的查詢。

• Application Insights 會監視 Web 應用程式的可用性、效能和使用狀況，因此您可以識別和診斷錯誤，而不需要等待使用者回報錯誤。
  Application Insights 包含各種開發工具的連接點，並與 Visual Studio 整合以支援 DevOps 程式。 如需詳細資訊，請參閱 App Service 的應用程式監視 (部分機器翻譯)。

支援更複雜視覺效果的工具包括：

• 儀表板 (機器翻譯) 可讓您將不同類型的資料合併到 Azure 入口網站中的單一窗格。
• 活頁簿 (機器翻譯) 是能在 Azure 入口網站中建立的可自訂報表。 活頁簿可以包含文字、計量及記錄查詢。
• Grafana 是在操作儀表板中表現相當出色的開放平台工具。 您可以使用 Grafana 來建立儀表板，納入 Azure 監視器以外多個來源的資料。
• Power BI (機器翻譯) 是一項商務分析服務，可提供跨各種資料來源的互動式視覺效果。 你可以將 Power BI 設定為自動從 Azure 監視器匯入記錄資料，以利用這些視覺效果。

匯出 Azure 監視器數據

您可以使用：

• 計量：使用計量的 REST API (機器翻譯) 從 Azure 監視器計量資料庫中擷取計量資料。 如需詳細資訊，請參閱 Azure 監視器 REST API 參考 (機器翻譯)。

• 記錄：使用 REST API 或相關聯的用戶端程式庫 (機器翻譯)。

• Log Analytics 工作區數據導出。

若要開始使用 Azure 監視器 REST API，請參閱 Azure 監視 REST API 逐步解說。

使用 Kusto 查詢來分析記錄數據

您可以使用 Kusto 查詢語言 （KQL） 分析 Azure 監視器記錄資料。 如需詳細資訊，請參閱 Azure 監視器中的記錄警示。

使用 Azure 監視器警示通知您問題

Azure 監視器警示 可讓您識別並解決系統中的問題，並在客戶注意到問題之前，在監視數據中找到特定條件時主動通知您。 您可以針對在 Azure 監視器資料平台中的任何計量或記錄資料來源發出警示。 根據您監視的服務，以及您要收集的監視數據，有 不同類型的 Azure 監視器警示 。 請參閱選擇正確的警示規則類型。

適用於 Azure DDoS 保護的建議 Azure 監視器警示規則

如需 Azure DDoS Protection 中警示的詳細資訊，請參閱 透過入口網站 設定 Azure DDoS 保護計量警示和 設定 Azure DDoS 保護診斷記錄警示。

如需 Azure 資源的常見警示範例，請參閱記錄警示查詢範例 (機器翻譯)。

大規模實作警示

對於某些服務，若要進行大規模監控，您可以將同一計量警示規則套用至相同 Azure 區域中存在的多個同類型資源。 Azure 監視器基準警示 （AMBA） 提供半自動化的方法，可大規模實作重要的平臺計量警示、儀錶板和指導方針。

相關內容

• Azure DDoS 保護監視數據參考
• 使用 Azure 監視器監視 Azure 資源
• 設定 DDoS 警示
• 檢視適用於雲端的 Microsoft Defender 中的警示
• 使用模擬合作夥伴進行測試