Share via

عرض سجلات حماية Azure DDoS في مساحة عمل Log Analytics

  • مقالة

توفر لك سجلات تشخيص DDoS Protection القدرة على عرض إعلامات DDoS Protection وتقارير التخفيف وسجلات تدفق التخفيف بعد هجوم DDoS. يمكنك عرض هذه السجلات في مساحة عمل Log Analytics.

في هذا البرنامج التعليمي، تتعلم كيفية:

  • عرض سجلات تشخيص Azure DDoS Protection بما في ذلك الإعلامات وتقارير التخفيف وسجلات تدفق التخفيف.

المتطلبات الأساسية

عرض في مساحة عمل Log Analytics

  1. تسجيل الدخول إلى ⁧⁩مدخل Microsoft Azure⁧⁩.

  2. في مربع البحث أعلى المدخل، أدخل مساحة عمل Log Analytics. حدد مساحة عمل Log Analytics في نتائج البحث.

  3. ضمن جزء مساحات عمل Log Analytics ، حدد مساحة العمل الخاصة بك.

  4. في علامة التبويب على الجانب الأيسر، حدد Logs. هنا سترى مستكشف الاستعلام. قم بإنهاء جزء Queries لاستخدام صفحة Logs .

    لقطة شاشة لعرض مساحة عمل تحليلات السجل.

  5. في صفحة Logs ، اكتب في الاستعلام ثم اضغط على Run لعرض النتائج.

    لقطة شاشة لعرض سجلات إعلام DDoS Protection في مساحة عمل تحليلات السجل.

مثال على استعلامات السجل

إعلامات حماية DDoS

ستعلمك الإعلامات في أي وقت يتعرض فيه مورد IP عام للهجوم، وعند انتهاء التخفيف من الهجوم.

AzureDiagnostics
| where Category == "DDoSProtectionNotifications"

يسرد الجدول التالي أسماء الحقول وأوصافها:

اسم الحقل الوصف
وقت الإنشاء التاريخ والوقت في التوقيت العالمي المتفق عليه عند إنشاء الإعلام.
معرّف المورد معرف المورد لعنوان IP العام.
الفئة بالنسبة إلى الإعلامات، سيكون DDoSProtectionNotificationsهذا.
ResourceGroup مجموعة الموارد التي تحتوي على عنوان IP العام والشبكة الظاهرية.
SubscriptionId. معرف اشتراك خطة حماية DDoS.
المورد اسم عنوان IP العام الخاص بك.
ResourceType هذا سيكون دائمًا PUBLICIPADDRESS.
اسم العملية بالنسبة إلى الإعلامات، سيكون DDoSProtectionNotificationsهذا.
الرسالة تفاصيل الهجوم.
النوع نوع الإعلام. تشمل القيم المتاحة ما يليMitigationStarted. MitigationStopped.
PublicIpAddress عنوان IP العام الخاص بك.

سجلات تدفق التخفيف من مخاطر DDoS

تسمح لك سجلات تدفق التخفيف من الهجوم بمراجعة نسبة استخدام الشبكة التي تم إسقاطها وحركة المرور التي تمت إعادة توجيهها ونقاط البيانات الأخرى المثيرة للاهتمام أثناء هجوم DDoS نشط في الوقت الفعلي تقريبا. يمكنك استيعاب الدفق المستمر لهذه البيانات في Microsoft Sentinel أو إلى أنظمة SIEM التابعة لجهة خارجية عبر مركز الأحداث للمراقبة في الوقت الفعلي تقريبا، واتخاذ الإجراءات المحتملة ومعالجة الحاجة إلى عمليات الدفاع الخاصة بك.

AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"

يسرد الجدول التالي أسماء الحقول وأوصافها:

اسم الحقل الوصف
وقت الإنشاء التاريخ والوقت في UTC عند إنشاء سجل التدفق.
معرّف المورد معرف المورد لعنوان IP العام.
الفئة بالنسبة إلى سجلات التدفق، سيكون DDoSMitigationFlowLogsهذا.
ResourceGroup مجموعة الموارد التي تحتوي على عنوان IP العام والشبكة الظاهرية.
SubscriptionId. معرف اشتراك خطة حماية DDoS.
المورد اسم عنوان IP العام الخاص بك.
ResourceType هذا سيكون دائمًا PUBLICIPADDRESS.
اسم العملية بالنسبة إلى سجلات التدفق، سيكون DDoSMitigationFlowLogsهذا.
الرسالة تفاصيل الهجوم.
SourcePublicIpAddress عنوان IP العام للعميل الذي ينشئ نسبة استخدام الشبكة إلى عنوان IP العام الخاص بك.
SourcePort رقم المنفذ يتراوح من 0 إلى 65535.
DestPublicIpAddress عنوان IP العام الخاص بك.
DestPort رقم المنفذ يتراوح من 0 إلى 65535.
⁩البروتوكول⁧ نوع البروتوكول. تتضمن القيم المحتملة tcp، udp، other.

تقارير التخفيف من مخاطر DDoS

تستخدم تقارير التخفيف من الهجوم بيانات بروتوكول Netflow، والتي يتم تجميعها لتوفير معلومات مفصلة حول الهجوم على المورد الخاص بك. في أي وقت يتعرض فيه مورد IP عام للهجوم، سيبدأ إنشاء التقرير بمجرد بدء التخفيف. سيكون هناك تقرير تزايدي يتم إنشاؤه كل 5 دقائق وتقرير ما بعد التخفيف لفترة التخفيف بأكملها. هذا للتأكد من أنه في حالة استمرار هجوم DDoS لمدة أطول من الوقت، ستتمكن من عرض أحدث لقطة من تقرير التخفيف كل 5 دقائق وملخص كامل بمجرد انتهاء تخفيف الهجوم.

AzureDiagnostics
| where Category == "DDoSMitigationReports"

يسرد الجدول التالي أسماء الحقول وأوصافها:

اسم الحقل الوصف
وقت الإنشاء التاريخ والوقت في التوقيت العالمي المتفق عليه عند إنشاء الإعلام.
معرّف المورد معرف المورد لعنوان IP العام.
الفئة بالنسبة إلى تقارير التخفيف من المخاطر، سيكون DDoSMitigationReportsهذا.
ResourceGroup مجموعة الموارد التي تحتوي على عنوان IP العام والشبكة الظاهرية.
SubscriptionId. معرف اشتراك خطة حماية DDoS.
المورد اسم عنوان IP العام الخاص بك.
ResourceType هذا سيكون دائمًا PUBLICIPADDRESS.
اسم العملية بالنسبة إلى تقارير التخفيف من المخاطر، سيكون DDoSMitigationReportsهذا. 
ReportType القيم المُحتملة هي Incremental وPostMitigation.
MitigationPeriodStart التاريخ والوقت في التوقيت العالمي المتفق عليه عند بدء التخفيف.
MitigationPeriodEnd التاريخ والوقت في UTC عند انتهاء التخفيف.
ipAddress عنوان IP العام الخاص بك.
AttackVectors تدهور أنواع الهجمات. تتضمن TCP SYN floodالمفاتيح و TCP floodUDP floodو.Other packet floodUDP reflection
TrafficOverview تدهور حركة مرور الهجوم. تتضمن Total packetsالمفاتيح و Total TCP packetsTotal packets droppedو Total TCP packets droppedو Total UDP packetsو Total UDP packets droppedTotal Other packetsو.Total Other packets dropped
البروتوكولات   تصنيف البروتوكولات المضمنة. تتضمن TCPالمفاتيح و UDPو.Other   
DropReasons تحليل أسباب الحزم التي تم إسقاطها. تتضمن Protocol violation invalid TCPالمفاتيح . syn Protocol violation invalid TCPو Protocol violation invalid UDPو UDP reflectionو TCP rate limit exceededUDP rate limit exceededو. Destination limit exceededPacket was forwarded to serviceOther packet flood Rate limit exceeded تشير أسباب الإفلات غير الصالحة لانتهاك البروتوكول إلى الحزم المشوهة.
TopSourceCountries تصنيف أفضل 10 بلدان مصدر إلى نسبة استخدام الشبكة الواردة.
TopSourceCountriesForDroppedPackets تحليل أفضل 10 بلدان مصدر لنسبة استخدام الشبكة الهجومية التي تم تقييدها.
TopSourceASNs تحليل أهم 10 مصادر لأرقام النظام المستقلة (ASNs) لنسبة استخدام الشبكة الواردة.  
SourceContinents تحليل القارة المصدر لنسبة استخدام الشبكة الواردة.
النوع نوع الإعلام. تشمل القيم المتاحة ما يليMitigationStarted. MitigationStopped.

الخطوات التالية

في هذا البرنامج التعليمي، تعلمت كيفية عرض سجلات تشخيص حماية DDoS في مساحة عمل Log Analytics. لمعرفة المزيد حول الخطوات الموصى بها التي يجب اتخاذها عند تلقي هجوم DDoS، راجع هذه الخطوات التالية.

التفاعل مع الاستجابة السريعة ل Azure DDoS

مكونات استراتيجية الاستجابة السريعة ل DDoS