您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

查看和配置 DDoS 诊断日志记录

Azure DDoS 防护标准通过 DDoS 攻击分析提供详细的攻击见解和可视化效果。 保护其虚拟网络免受 DDoS 攻击的客户可通过攻击缓解报告和缓解流日志来详细了解攻击流量以及缓解攻击的操作。 在 DDoS 攻击期间通过 Azure Monitor 公开丰富的遥测数据(包括详细的指标)。 可以针对 DDoS 防护公开的任何 Azure Monitor 指标配置警报。 可将记录与 Azure Sentinel、Splunk(Azure 事件中心)、OMS Log Analytics 和 Azure 存储进一步集成,以通过 Azure Monitor 诊断界面进行高级分析。

以下诊断日志适用于 Azure DDoS 防护标准:

  • DDoSProtectionNotifications:通知会在公共 IP 资源遭受攻击以及攻击风险缓解结束时向你发出通知。
  • DDoSMitigationFlowLogs:通过风险攻击缓解流日志,可在活动 DDoS 攻击期间近乎实时地查看丢弃流量、转发流量和其他相关数据点。 可通过事件中心将此数据的恒定流引入 Azure Sentinel 或第三方 SIEM 系统,以实现近实时监视,还可采取可能的措施,解决防御运营需求。
  • DDoSMitigationReports:攻击风险缓解报表使用聚合的 Netflow 协议数据来提供有关资源受攻击的详细信息。 只要公共 IP 资源受到攻击,就会在缓解措施启动时开始生成报告。 每 5 分钟生成一份增量报告,整个缓解过程结束后,生成一份缓解后报告。 这是为了确保在 DDoS 攻击持续时间较长时,能够每隔 5 分钟查看一次最新的缓解报告快照,并在攻击缓解结束时查看完整总结。
  • AllMetrics:提供在 DDoS 攻击期间可用的所有可能指标。

本教程介绍以下操作:

  • 配置 DDoS 诊断日志,包括通知、风险缓解报表和缓解流日志。
  • 在定义的范围内对所有公共 IP 启用诊断日志记录。
  • 查看工作簿中的日志数据。

先决条件

  • 如果没有 Azure 订阅,请在开始之前创建一个免费帐户
  • 在完成本教程中的步骤之前,必须先创建 Azure DDoS 标准保护计划,并且必须在虚拟网络上启用 DDoS 保护标准。
  • DDoS 监视分配给虚拟网络中的资源的公共 IP 地址。 如果虚拟网络中没有任何具有公共 IP 地址的资源,必须首先创建具有公共 IP 地址的资源。 你可以监视 Azure 服务的虚拟网络中列出的通过资源管理器(非经典)部署的所有资源(包括后端虚拟机位于虚拟网络中的 Azure 负载均衡器)的公共 IP,但 Azure 应用服务环境除外。 可快速创建 WindowsLinux 虚拟机继续本教程的内容。

配置 DDoS 诊断日志

如果要针对环境中的所有公共 IP 自动启用诊断日志记录,请跳到针对所有公共 IP 启用诊断日志记录

  1. 在门户左上角选择“所有服务”。

  2. 在“筛选器”框中输入 Monitor。 当“Monitor”出现在结果中时,将其选中。

  3. 在“设置”下,选择“诊断设置”。

  4. 选择包含要记录的公共 IP 地址的订阅和资源组。

  5. 对于“资源类型”,请选择“公共 IP”,然后选择要为其启用日志的特定公共 IP 。

  6. 选择“添加诊断设置”。 在“类别详细信息”下,选择所需的以下任意选项,然后选择“保存”。

    DDoS 诊断设置

  7. 在“目标详细信息”下,根据需要选择以下任意多个选项:

    • 存档到存储帐户:将数据写入 Azure 存储帐户。 若要了解有关此选项的详细信息,请参阅存档资源日志
    • 流式传输到事件中心:允许日志接收器使用 Azure 事件中心选取日志。 事件中心将启用与 Splunk 或其他 SIEM 系统的集成。 若要了解有关此选项的详细信息,请参阅将资源日志流式传输到事件中心
    • 发送到 Log Analytics:将日志写入到 Azure Monitor 服务。 若要了解有关此选项的详细信息,请参阅 收集日志以在 Azure Monitor 日志中使用

日志架构

下表列出了字段的名称和描述:

字段名称 说明
TimeGenerated 创建通知时的日期和时间 (UTC)。
ResourceId 公共 IP 的资源 ID。
类别 对于通知,这将为 DDoSProtectionNotifications
ResourceGroup 包含公共 IP 和虚拟网络的资源组。
SubscriptionId 你的 DDoS 防护计划订阅 ID。
资源 公共 IP 的名称。
ResourceType 这将始终为 PUBLICIPADDRESS
OperationName 对于通知,这将为 DDoSProtectionNotifications
消息 攻击的详细信息。
类型 通知的类型。 可能的值包括 MitigationStartedMitigationStopped.
PublicIpAddress 你的公共 IP。

对所有公共 IP 启用诊断日志记录

模板创建一个 Azure Policy 定义,用于在定义的范围内对所有公共 IP 日志自动启用诊断日志记录。

部署到 Azure

查看工作簿中的日志数据

Azure Sentinel 数据连接器

可以将日志连接到 Azure Sentinel,查看和分析工作簿中的数据,创建自定义警报,并将其纳入调查过程。 若要连接到 Azure Sentinel,请参阅连接到 Azure sentinel

Azure Sentinel DDoS 连接器

Azure DDoS 防护工作簿

可以使用此 Azure 资源管理器 (ARM) 模板来部署攻击分析工作簿。 利用此工作簿,可在多个可筛选面板上可视化攻击数据,以轻松了解面临的威胁。

部署到 Azure

DDoS 保护工作簿

验证并测试

若要模拟 DDoS 攻击来验证警报,请参阅验证 DDoS 检测

后续步骤

在本教程中,你将了解:

  • 配置 DDoS 诊断日志,包括通知、风险缓解报表和缓解流日志。
  • 在定义的范围内对所有公共 IP 启用诊断日志记录。
  • 查看工作簿中的日志数据。

若要了解如何配置攻击警报,请继续阅读下一教程。