مراقبة حماية Azure DDoS
يجمع Azure Monitor المقاييس والسجلات من نظامك ويجمعها لمراقبة التوفر والأداء والمرونة، ويخطرك بالمشكلات التي تؤثر على نظامك. يمكنك استخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI أو REST API أو مكتبات العميل لإعداد بيانات المراقبة وعرضها.
تتوفر مقاييس وسجلات مختلفة أنواع موارد مختلفة. توضح هذه المقالة أنواع بيانات المراقبة التي يمكنك جمعها لهذه الخدمة وطرق تحليل تلك البيانات.
جمع البيانات باستخدام Azure Monitor
يصف هذا الجدول كيف يمكنك جمع البيانات لمراقبة خدمتك، وما يمكنك فعله بالبيانات بمجرد جمعها:
| البيانات المراد جمعها | الوصف | كيفية جمع البيانات وتوجيهها | مكان عرض البيانات | البيانات المعتمدة |
|---|---|---|---|---|
| بيانات القياس | المقاييس هي قيم رقمية تصف جانبا من النظام في نقطة زمنية معينة. يمكن تجميع المقاييس باستخدام الخوارزميات، مقارنة بالمقاييس الأخرى، وتحليلها للاتجاهات بمرور الوقت. | - يتم جمعها تلقائيا على فترات منتظمة.
- يمكنك توجيه بعض مقاييس النظام الأساسي إلى مساحة عمل Log Analytics للاستعلام مع بيانات أخرى. تحقق من إعداد تصدير DS لكل مقياس لمعرفة ما إذا كان يمكنك استخدام إعداد تشخيص لتوجيه بيانات القياس. |
مستكشف المقاييس | مقاييس Azure DDoS Protection المدعومة من Azure Monitor |
| بيانات سجل الموارد | السجلات هي أحداث النظام المسجلة مع طابع زمني. يمكن أن تحتوي السجلات على أنواع مختلفة من البيانات، وأن تكون نصا منظما أو حرا. يمكنك توجيه بيانات سجل الموارد إلى مساحات عمل Log Analytics للاستعلام والتحليل. | إنشاء إعداد تشخيص لجمع بيانات سجل الموارد وتوجيهها. | تحليلات السجل | بيانات سجل موارد Azure DDoS Protection المدعومة من Azure Monitor |
| بيانات سجل النشاط | يوفر سجل نشاط Azure Monitor نظرة ثاقبة على الأحداث على مستوى الاشتراك. يتضمن سجل النشاط معلومات مثل وقت تعديل مورد أو بدء تشغيل جهاز ظاهري. | - يتم جمعها تلقائيا.
- إنشاء إعداد تشخيص لمساحة عمل Log Analytics دون أي رسوم. |
سجل النشاط |
للحصول على قائمة بجميع البيانات التي يدعمها Azure Monitor، راجع:
مضمن في المراقبة ل Azure DDoS Protection
توفر Azure DDoS Protection رؤى وتصورات متعمقة لأنماط الهجوم من خلال DDoS Attack Analytics. فهو يوفر للعملاء رؤية شاملة لحركة مرور الهجمات وإجراءات التخفيف من المخاطر عبر التقارير وسجلات التدفق. أثناء هجوم DDoS، تتوفر مقاييس مفصلة من خلال Azure Monitor، والذي يسمح أيضا بتكوينات التنبيه استنادا إلى هذه المقاييس.
يمكنك عرض وتكوين بيانات تتبع الاستخدام لحماية Azure DDoS.
يتم توفير التتبع عن بعد لأي هجوم من خلال Azure Monitor في الوقت الفعلي. بينما تتوفر مشغلات التخفيف ل TCP SYN وTCP وUDP أثناء وقت السلام، لا تتوفر بيانات تتبع الاستخدام الأخرى إلا عندما يكون عنوان IP العام قيد التخفيف.
يمكنك عرض DDoS عن بُعد لعنوان IP عام محمي من خلال ثلاثة أنواع مختلفة من الموارد: خطة حماية DDoS، والشبكة الظاهرية، وعنوان IP العام.
يمكن دمج التسجيل بشكل أكبر مع Microsoft Sentinel وSplunk (Azure Event Hubs) وOMS Log Analytics وAzure Storage للتحليل المتقدم عبر واجهة تشخيص Azure Monitor.
لمزيد من المعلومات حول المقاييس، راجع مراقبة حماية Azure DDoS للحصول على تفاصيل حول سجلات مراقبة حماية DDoS.
عرض المقاييس من خطة حماية DDoS
سجّل الدخول إلى مدخل Azure وحدد خطة حماية DDoS.
في قائمة مدخل Azure، حدد أو ابحث عن خطط حماية DDoS وحددها ثم حدد خطة حماية DDoS.
ضمن Monitoring، حدد Metrics.
حدد Add metric ثم حدد Scope.
في قائمة تحديد نطاق، حدد الاشتراك الذي يحتوي على عنوان IP العام الذي تريد تسجيله.
حدد عنوان IP العاممن أجل نوع المورد، ثم حدد عنوان IP العام المحدد الذي تريد تسجيل القياسات له، ثم حدد تطبيق.
بالنسبة إلى القياس، حدد ضمن هجوم موزع لحجب الخدمة أم لا.
حدد نوع التجميع كـ حد أقصى.
عرض المقاييس من الشبكة الظاهرية
سجّل الدخول إلى مدخل Azure واستعرض الشبكة الظاهرية التي تم تمكين حماية DDoS بها.
ضمن Monitoring، حدد Metrics.
حدد Add metric ثم حدد Scope.
في قائمة تحديد نطاق، حدد الاشتراك الذي يحتوي على عنوان IP العام الذي تريد تسجيله.
حدد عنوان IP العاممن أجل نوع المورد، ثم حدد عنوان IP العام المحدد الذي تريد تسجيل القياسات له، ثم حدد تطبيق.
ضمن القياس، حدد القياس الذي اخترته ثم ضمن التجميع حدد النوع باعتباره الحد الأقصى.
إشعار
لتصفية عناوين IP، حدد إضافة عامل تصفية. ضمن الخاصية، حدد عنوان IP المحمي، ويجب تعيين عامل التشغيل على =. ضمن القيم، سترى قائمة منسدلة من عناوين IP العامة، المقترنة بالشبكة الظاهرية، المحمية بواسطة Azure DDoS Protection.
عرض القياسات من عنوان IP العام
- سجّل الدخول إلى مدخل Azure واستعرض عنوان IP العام الخاص بك.
- في قائمة مدخل Azure، حدد عناوين IP العامة أو ابحث عنها وحددها، ثم حدد عنوان IP العام.
- ضمن Monitoring، حدد Metrics.
- حدد Add metric ثم حدد Scope.
- في قائمة تحديد نطاق، حدد الاشتراك الذي يحتوي على عنوان IP العام الذي تريد تسجيله.
- حدد عنوان IP العاممن أجل نوع المورد، ثم حدد عنوان IP العام المحدد الذي تريد تسجيل القياسات له، ثم حدد تطبيق.
- ضمن القياس، حدد القياس الذي اخترته ثم ضمن التجميع حدد النوع باعتباره الحد الأقصى.
إشعار
عند تغيير حماية DDoS IP من ممكنة إلى معطل، لا يتوفر القياس عن بعد لمورد IP العام.
عرض نُهج التخفيف DDoS
تستخدم Azure DDoS Protection ثلاثة نهج تخفيف معدلة تلقائيا (TCP SYN وTCP وUDP) لكل عنوان IP عام للمورد الذي تتم حمايته. ينطبق هذا الأسلوب على أي شبكة ظاهرية مع تمكين حماية DDoS.
يمكنك مشاهدة حدود النهج داخل مقاييس عنوان IP العام عن طريق اختيار حزم SYN الواردة لتشغيل تخفيف DDoS وحزم TCP الواردة لتشغيل تخفيف DDoS وحزم UDP الواردة لتشغيل مقاييس تخفيف DDoS. تأكد من تعيين نوع التجميع إلى Max.
عرض القياس عن بعد لحركة مرور وقت السلام
من المهم مراقبة مقاييس مشغلات الكشف TCP SYN وUDP وTCP. تساعدك هذه المقاييس على معرفة متى تبدأ حماية DDoS. تأكد من أن هذه المشغلات تعكس مستويات نسبة استخدام الشبكة العادية عندما لا يكون هناك هجوم.
يمكنك إنشاء مخطط لمورد عنوان IP العام. في هذا المخطط، قم بتضمين مقاييس عدد الحزم وعدد SYN. يتضمن عدد الحزم كل من حزم TCP وUDP. يظهر لك هذا مجموع نسبة استخدام الشبكة.
إشعار
لإجراء مقارنة عادلة، تحتاج إلى تحويل البيانات إلى حزم بيانات في الثانية. يمكنك إجراء هذا التحويل عن طريق قسمة الرقم الذي تراه على 60، حيث تمثل البيانات عدد الحزم أو وحدات البايت أو حزم SYN التي تم جمعها على مدى 60 ثانية. على سبيل المثال، إذا كان لديك 91000 حزمة تم جمعها على مدى 60 ثانية، فقسم 91000 على 60 للحصول على ما يقرب من 1500 حزمة في الثانية (pps).
التحقق من الصحة والاختبار
لمحاكاة هجوم DDoS للتحقق من القياس عن بُعد لحماية DDoS، راجع التحقق من اكتشاف DDoS.
استخدام أدوات Azure Monitor لتحليل البيانات
تتوفر أدوات Azure Monitor هذه في مدخل Microsoft Azure لمساعدتك في تحليل بيانات المراقبة:
تحتوي بعض خدمات Azure على لوحة معلومات مراقبة مضمنة في مدخل Microsoft Azure. تسمى لوحات المعلومات هذه رؤى، ويمكنك العثور عليها في قسم Insights في Azure Monitor في مدخل Microsoft Azure.
يسمح لك مستكشف المقاييس بعرض وتحليل المقاييس لموارد Azure. لمزيد من المعلومات، راجع تحليل المقاييس باستخدام مستكشف مقاييس Azure Monitor.
يسمح لك Log Analytics بالاستعلام عن بيانات السجل وتحليلها باستخدام لغة استعلام Kusto (KQL). لمزيد من المعلومات، راجع البدء في استعلامات السجل في Azure Monitor.
يحتوي مدخل Azure على واجهة مستخدم لعرض سجل النشاط وعمليات البحث الأساسية له. لإجراء تحليل أكثر تعمقا، قم بتوجيه البيانات إلى سجلات Azure Monitor وتشغيل استعلامات أكثر تعقيدا في Log Analytics.
يراقب Application Insights توفر تطبيقات الويب وأدائها واستخدامها، بحيث يمكنك تحديد الأخطاء وتشخيصها دون انتظار المستخدم للإبلاغ عنها.
يتضمن Application Insights نقاط الاتصال بأدوات التطوير المختلفة ويتكامل مع Visual Studio لدعم عمليات DevOps الخاصة بك. لمزيد من المعلومات، راجع مراقبة التطبيق لخدمة التطبيقات.
تتضمن الأدوات التي تسمح بتصور أكثر تعقيدا ما يلي:
- لوحات المعلومات التي تتيح لك دمج أنواع مختلفة من البيانات في جزء واحد في مدخل Microsoft Azure.
- المصنفات والتقارير القابلة للتخصيص التي يمكنك إنشاؤها في مدخل Microsoft Azure. يمكن أن تتضمن المصنفات النص والمقاييس واستعلامات السجل.
- Grafana، أداة منصة مفتوحة تتفوق في لوحات المعلومات التشغيلية. يمكنك استخدام Grafana لإنشاء لوحات معلومات تتضمن بيانات من مصادر متعددة غير Azure Monitor.
- Power BI، خدمة تحليلات الأعمال التي توفر مرئيات تفاعلية عبر مصادر بيانات مختلفة. يمكنك تكوين Power BI لاستيراد بيانات السجل تلقائيًا من Azure Monitor للاستفادة من هذه المرئيات.
تصدير بيانات Azure Monitor
يمكنك تصدير البيانات من Azure Monitor إلى أدوات أخرى باستخدام:
المقاييس: استخدم واجهة برمجة تطبيقات REST للمقاييس لاستخراج بيانات القياس من قاعدة بيانات مقاييس Azure Monitor. لمزيد من المعلومات، راجع مرجع Azure Monitor REST API.
السجلات: استخدم واجهة برمجة تطبيقات REST أو مكتبات العميل المقترنة.
تصدير بيانات مساحة عمل Log Analytics.
للبدء في Azure Monitor REST API، راجع معاينة واجهة برمجة تطبيقات REST لمراقبة Azure.
استخدام استعلامات Kusto لتحليل بيانات السجل
يمكنك تحليل بيانات سجل Azure Monitor باستخدام لغة استعلام Kusto (KQL). لمزيد من المعلومات، راجع تسجيل الاستعلامات في Azure Monitor.
استخدام تنبيهات Azure Monitor لإعلامك بالمشكلات
تسمح لك تنبيهات Azure Monitor بتحديد المشكلات ومعالجتها في النظام الخاص بك، وإعلامك بشكل استباقي عند العثور على شروط محددة في بيانات المراقبة قبل أن يلاحظها عملاؤك. يمكنك التنبيه على أي مقياس أو مصدر بيانات سجل في النظام الأساسي للبيانات Azure Monitor. هناك أنواع مختلفة من تنبيهات Azure Monitor اعتمادا على الخدمات التي تراقبها وبيانات المراقبة التي تجمعها. راجع اختيار النوع الصحيح من قاعدة التنبيه.
قواعد تنبيه Azure Monitor الموصى بها لحماية Azure DDoS
لمزيد من المعلومات حول التنبيهات في Azure DDoS Protection، راجع تكوين تنبيهات قياس Azure DDoS Protection من خلال المدخل وتكوين تنبيهات التسجيل التشخيصي ل Azure DDoS Protection.
للحصول على أمثلة للتنبيهات الشائعة لموارد Azure، راجع نموذج استعلامات تنبيه السجل.
تنفيذ التنبيهات على نطاق واسع
بالنسبة لبعض الخدمات، يمكنك المراقبة على نطاق واسع عن طريق تطبيق نفس قاعدة التنبيه القياسي على موارد متعددة من نفس النوع موجودة في نفس منطقة Azure. توفر Azure Monitor Baseline Alerts (AMBA) طريقة شبه آلية لتنفيذ تنبيهات قياس النظام الأساسي الهامة ولوحات المعلومات والإرشادات على نطاق واسع.