你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
通过门户配置 Azure DDoS 防护诊断日志记录功能
配置 Azure DDoS 防护的诊断日志记录,以获得 DDoS 攻击的可见性。
在本教程中,你将了解如何执行以下操作:
- 配置诊断日志。
- 在日志分析工作区中查询日志。
先决条件
- 如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
- 你必须先创建 Azure DDoS 防护计划,才能完成本指南中的步骤。 必须在虚拟网络上启用 DDoS 网络保护,或者必须在公共 IP 地址上启用 DDoS IP 保护。
- 若要使用诊断日志记录,必须先创建一个已启用诊断设置的 Log Analytics 工作区。
- DDoS 监视分配给虚拟网络中的资源的公共 IP 地址。 如果虚拟网络中没有任何具有公共 IP 地址的资源,必须首先创建具有公共 IP 地址的资源。 你可以监视 Azure 服务的虚拟网络中列出的通过资源管理器(非经典)部署的所有资源(包括后端虚拟机位于虚拟网络中的 Azure 负载均衡器)的公共 IP,但 Azure 应用服务环境除外。 若要继续本指南的内容,可快速创建 Windows 或 Linux 虚拟机。
配置诊断日志
登录 Azure 门户。
在门户顶部的搜索框中,输入“Monitor”。 在搜索结果中选择“Monitor”。
在左窗格的“设置”下选择“诊断设置”,然后在“诊断设置”页面中选择以下信息。 接下来,选择“添加诊断设置”。
设置 值 订阅 选择包含要记录的公共 IP 地址的订阅。 资源组 选择包含要记录的公共 IP 地址的资源组。 资源类型 选择“公共 IP 地址”。 资源 选择要为其记录指标的特定公共 IP 地址。 在“诊断设置”页面的“目标详细信息”下,选择“发送到 Log Analytics 工作区”,然后输入以下信息并选择“保存”。
设置 值 诊断设置名称 输入“myDiagnosticSettings”。 日志 选择“allLogs”。 度量值 选择“AllMetrics”。 目标详细信息 选择“发送到 Log Analytics 工作区” 订阅 选择 Azure 订阅。 Log Analytics 工作区 选择“myLogAnalyticsWorkspace”。
在日志分析工作区中查询 Azure DDoS 防护日志
有关日志架构的详细信息,请参阅查看诊断日志。
DDoSProtectionNotifications 日志
在“日志分析工作区”边栏选项卡下,选择日志分析工作区。
在“常规”下,选择“日志”
在查询资源管理器中,键入以下 Kusto 查询,将时间范围更改为“自定义”,并将时间范围更改为过去 3 个月。 然后单击“运行”。
AzureDiagnostics | where Category == "DDoSProtectionNotifications"若要查看 DDoSMitigationFlowLogs,请将查询更改为如下所示,保留相同的时间范围,然后单击“运行”。
AzureDiagnostics | where Category == "DDoSMitigationFlowLogs"若要查看 DDoSMitigationReports,请将查询更改为如下所示,保留相同的时间范围,然后单击“运行”。
AzureDiagnostics | where Category == "DDoSMitigationReports"
验证
在门户顶部的搜索框中,输入“Monitor”。 在搜索结果中选择“Monitor”。
在左窗格的“设置”下选择“诊断设置”,然后在“诊断设置”页面中选择以下信息:
设置 值 订阅 选择包含公共 IP 地址的订阅。 资源组 选择包含公共 IP 地址的资源组。 资源类型 选择“公共 IP 地址”。 确认“诊断状态”为“已启用”。
后续步骤
在本教程中,了解了如何为 DDoS 防护配置诊断日志记录。 要了解如何配置诊断日志记录警报,请继续阅读下一篇文章。