你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
查看和配置 DDoS 诊断日志记录
Azure DDoS 防护标准通过 DDoS 攻击分析提供详细的攻击见解和可视化效果。 保护其虚拟网络免受 DDoS 攻击的客户可通过攻击缓解报告和缓解流日志来详细了解攻击流量以及缓解攻击的操作。 在 DDoS 攻击期间通过 Azure Monitor 公开丰富的遥测数据(包括详细的指标)。 可以针对 DDoS 防护公开的任何 Azure Monitor 指标配置警报。 可将记录与 Microsoft Sentinel、Splunk(Azure 事件中心)、OMS Log Analytics 和 Azure 存储进一步集成,以通过 Azure Monitor 诊断界面进行高级分析。
以下诊断日志适用于 Azure DDoS 防护标准:
- DDoSProtectionNotifications:通知会在公共 IP 资源遭受攻击以及攻击风险缓解结束时向你发出通知。
- DDoSMitigationFlowLogs:通过风险攻击缓解流日志,可在活动 DDoS 攻击期间近乎实时地查看丢弃流量、转发流量和其他相关数据点。 可通过事件中心将此数据的恒定流引入 Microsoft Sentinel 或第三方 SIEM 系统,以实现近实时监视,还可采取可能的措施,解决防御运营需求。
- DDoSMitigationReports:攻击风险缓解报表使用聚合的 Netflow 协议数据来提供有关资源受攻击的详细信息。 只要公共 IP 资源受到攻击,就会在缓解措施启动时开始生成报告。 每 5 分钟生成一份增量报告,整个缓解过程结束后,生成一份缓解后报告。 这是为了确保在 DDoS 攻击持续时间较长时,能够每隔 5 分钟查看一次最新的缓解报告快照,并在攻击缓解结束时查看完整总结。
- AllMetrics:提供在 DDoS 攻击期间可用的所有可能指标。
本教程介绍以下操作:
- 配置 DDoS 诊断日志,包括通知、风险缓解报表和缓解流日志。
- 在定义的范围内对所有公共 IP 启用诊断日志记录。
- 查看工作簿中的日志数据。
先决条件
- 如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
- 在完成本教程中的步骤之前,必须先创建 Azure DDoS 标准防护计划,并且必须在虚拟网络上启用 DDoS 防护标准。
- DDoS 监视分配给虚拟网络中的资源的公共 IP 地址。 如果虚拟网络中没有任何具有公共 IP 地址的资源,必须首先创建具有公共 IP 地址的资源。 你可以监视 Azure 服务的虚拟网络中列出的通过资源管理器(非经典)部署的所有资源(包括后端虚拟机位于虚拟网络中的 Azure 负载均衡器)的公共 IP,但 Azure 应用服务环境除外。 可快速创建 Windows 或 Linux 虚拟机继续本教程的内容。
配置 DDoS 诊断日志
如果要针对环境中的所有公共 IP 自动启用诊断日志记录,请跳到针对所有公共 IP 启用诊断日志记录。
在门户左上角选择“所有服务”。
在“筛选器”框中输入 Monitor。 当“Monitor”出现在结果中时,将其选中。
在“设置”下,选择“诊断设置”。
选择包含要记录的公共 IP 地址的订阅和资源组。
对于“资源类型”,请选择“公共 IP”,然后选择要为其启用日志的特定公共 IP 。
选择“添加诊断设置”。 在“类别详细信息”下,选择所需的以下任意选项,然后选择“保存”。
在“目标详细信息”下,根据需要选择以下任意多个选项:
- 存档到存储帐户:将数据写入 Azure 存储帐户。 若要了解有关此选项的详细信息,请参阅存档资源日志。
- 流式传输到事件中心:允许日志接收器使用 Azure 事件中心选取日志。 事件中心将启用与 Splunk 或其他 SIEM 系统的集成。 若要了解有关此选项的详细信息,请参阅将资源日志流式传输到事件中心。
- 发送到 Log Analytics:将日志写入到 Azure Monitor 服务。 若要了解有关此选项的详细信息,请参阅 收集日志以在 Azure Monitor 日志中使用。
在日志分析工作区中查询 DDOS 防护日志
DDoSProtectionNotifications 日志
在“日志分析工作区”边栏选项卡下,选择日志分析工作区。
在“常规”下,单击“日志”
在查询资源管理器中,键入以下 Kusto 查询,将时间范围更改为“自定义”,并将时间范围更改为过去 3 个月。 然后单击“运行”。
AzureDiagnostics | where Category == "DDoSProtectionNotifications"
DDoSMitigationFlowLogs
现在,将查询更改为如下所示,保留相同的时间范围,然后单击“运行”。
AzureDiagnostics | where Category == "DDoSMitigationFlowLogs"
DDoSMitigationReports
现在,将查询更改为如下所示,保留相同的时间范围,然后单击“运行”。
AzureDiagnostics | where Category == "DDoSMitigationReports"
日志架构
下表列出了字段的名称和描述:
| 字段名称 | 说明 |
|---|---|
| TimeGenerated | 创建通知时的日期和时间 (UTC)。 |
| ResourceId | 公共 IP 的资源 ID。 |
| 类别 | 对于通知,这将为 DDoSProtectionNotifications。 |
| ResourceGroup | 包含公共 IP 和虚拟网络的资源组。 |
| SubscriptionId | 你的 DDoS 防护计划订阅 ID。 |
| 资源 | 公共 IP 的名称。 |
| ResourceType | 这将始终为 PUBLICIPADDRESS。 |
| OperationName | 对于通知,这将为 DDoSProtectionNotifications。 |
| 消息 | 攻击的详细信息。 |
| 类型 | 通知的类型。 可能的值包括 MitigationStarted。 MitigationStopped. |
| PublicIpAddress | 你的公共 IP。 |
对所有公共 IP 启用诊断日志记录
此内置策略会自动对定义范围内的所有公共 IP 日志启用诊断日志记录。 有关内置策略的完整列表,请参阅 Azure DDoS 防护标准版的 Azure Policy 内置定义。
查看工作簿中的日志数据
Microsoft Sentinel 数据连接器
可以将日志连接到 Microsoft Sentinel,查看和分析工作簿中的数据,创建自定义警报,并将其纳入调查过程。 要连接到 Microsoft Sentinel,请参阅连接 Microsoft Sentinel。
Azure DDoS 防护工作簿
可以使用此 Azure 资源管理器 (ARM) 模板来部署攻击分析工作簿。 利用此工作簿,可在多个可筛选面板上可视化攻击数据,以轻松了解面临的威胁。
验证并测试
若要模拟 DDoS 攻击来验证警报,请参阅验证 DDoS 检测。
后续步骤
在本教程中,你将了解:
- 配置 DDoS 诊断日志,包括通知、风险缓解报表和缓解流日志。
- 在定义的范围内对所有公共 IP 启用诊断日志记录。
- 查看工作簿中的日志数据。
若要了解如何配置攻击警报,请继续阅读下一教程。