Megosztás a következőn keresztül:

Az Azure DDoS Protection monitorozása

  • Cikk

Az Azure Monitor metrikákat és naplókat gyűjt és összesít a rendszerből a rendelkezésre állás, a teljesítmény és a rugalmasság monitorozása érdekében, és értesíti Önt a rendszert érintő problémákról. A monitorozási adatok beállításához és megtekintéséhez használhatja az Azure Portalt, a PowerShellt, az Azure CLI-t, a REST API-t vagy az ügyfélkódtárakat.

Különböző metrikák és naplók érhetők el a különböző erőforrástípusokhoz. Ez a cikk a szolgáltatáshoz gyűjthető monitorozási adatok típusait és az adatok elemzésének módjait ismerteti.

Adatok gyűjtése az Azure Monitorral

Ez a táblázat azt ismerteti, hogyan gyűjthet adatokat a szolgáltatás figyeléséhez, és mit tehet az adatgyűjtés után:

Összegyűjtendő adatok Leírás Az adatok gyűjtése és átirányítása Az adatok megtekintése Támogatott adatok
Metrikaadatok A metrikák numerikus értékek, amelyek egy rendszer egy adott időpontban történő aspektusát írják le. A metrikák algoritmusokkal összesíthetők, összehasonlíthatók más metrikákkal, és elemezhetők az időbeli trendek alapján. - Rendszeres időközönként automatikusan összegyűjtve.
– Egyes platformmetrikákat átirányíthat egy Log Analytics-munkaterületre más adatok lekérdezéséhez. Ellenőrizze az egyes metrikák DS-exportálási beállításait, és ellenőrizze, hogy használhat-e diagnosztikai beállítást a metrikaadatok átirányításához.		 Metrikák kezelője Az Azure Monitor által támogatott Azure DDoS Protection-metrikák
Erőforrásnapló adatai A naplók időbélyeggel rögzített rendszeresemények. A naplók különböző típusú adatokat tartalmazhatnak, és strukturált vagy szabad formátumú szöveget tartalmazhatnak. Az erőforrásnapló-adatokat a Log Analytics-munkaterületekre irányíthatja lekérdezés és elemzés céljából. Hozzon létre egy diagnosztikai beállítást az erőforrásnapló adatainak gyűjtéséhez és irányításához. Naplóelemzés Az Azure Monitor által támogatott Azure DDoS Protection-erőforrásnapló-adatok
Tevékenységnapló adatai Az Azure Monitor tevékenységnaplója betekintést nyújt az előfizetési szintű eseményekbe. A tevékenységnapló olyan információkat tartalmaz, mint az erőforrások módosításának vagy a virtuális gépek indításának az időpontja. - Automatikusan összegyűjtve.
- Hozzon létre egy diagnosztikai beállítást egy Log Analytics-munkaterületen díjmentesen.		 Tevékenységnapló

Az Azure Monitor által támogatott összes adat listájáért lásd:

Beépített monitorozás az Azure DDoS Protectionhez

Az Azure DDoS Protection részletes elemzéseket és vizualizációkat kínál a támadási mintákról a DDoS Attack Analytics használatával. Átfogó betekintést nyújt az ügyfeleknek a támadási forgalomba és a kockázatcsökkentési műveletekbe jelentéseken és folyamatnaplókon keresztül. A DDoS-támadás során részletes metrikák érhetők el az Azure Monitoron keresztül, amely ezen metrikákon alapuló riasztáskonfigurációkat is lehetővé tesz.

Megtekintheti és konfigurálhatja az Azure DDoS protection telemetriát.

Az Azure Monitor valós időben biztosítja a támadásokkal kapcsolatos telemetriát. Míg a TCP SYN kockázatcsökkentési eseményindítói , a TCP > UDP békeidőben érhetők el, más telemetriai adatok csak akkor érhetők el, ha egy nyilvános IP-cím kockázatcsökkentés alatt áll.

A védett nyilvános IP-címek DDoS-telemetriáját három különböző erőforrástípuson keresztül tekintheti meg: DDoS védelmi terv, virtuális hálózat és nyilvános IP-cím.

A naplózás tovább integrálható a Microsoft Sentinel, a Splunk (Azure Event Hubs), az OMS Log Analytics és az Azure Storage szolgáltatással a speciális elemzéshez az Azure Monitor Diagnostics felületén keresztül.

A metrikákkal kapcsolatos további információkért tekintse meg az Azure DDoS Protection monitorozási naplóinak részleteit.

Metrikák megtekintése a DDoS védelmi csomagból

  1. Jelentkezzen be az Azure Portalra , és válassza ki a DDoS védelmi csomagját.

  2. Az Azure Portal menüjében válassza ki vagy keresse meg a DDoS védelmi csomagokat , majd válassza ki a DDoS védelmi csomagot.

  3. A Figyelés területen kattintson a Metrikák elemre.

  4. Válassza a Metrikák hozzáadása lehetőséget, majd a Hatókör lehetőséget.

  5. A Hatókör kiválasztása menüben válassza ki azt az előfizetést , amely a naplózni kívánt nyilvános IP-címet tartalmazza.

  6. Válassza ki az erőforrástípus nyilvános IP-címét, majd válassza ki azt a nyilvános IP-címet, amelyhez metrikákat szeretne naplózni, majd válassza az Alkalmaz lehetőséget.

  7. A metrika esetében válassza a DDoS-támadás alatt lehetőséget, vagy sem.

  8. Válassza ki az összesítés típusát Max értékként.

    Képernyőkép a DDoS védelmi metrikák menüjének létrehozásáról.

Metrikák megtekintése virtuális hálózatból

  1. Jelentkezzen be az Azure Portalra , és keresse meg a DDoS-védelmet engedélyező virtuális hálózatot.

  2. A Figyelés területen kattintson a Metrikák elemre.

  3. Válassza a Metrikák hozzáadása lehetőséget, majd a Hatókör lehetőséget.

  4. A Hatókör kiválasztása menüben válassza ki azt az előfizetést , amely a naplózni kívánt nyilvános IP-címet tartalmazza.

  5. Válassza ki az erőforrástípus nyilvános IP-címét, majd válassza ki azt a nyilvános IP-címet, amelyhez metrikákat szeretne naplózni, majd válassza az Alkalmaz lehetőséget.

  6. A Metrika területen válassza ki a kiválasztott metrikát, majd az Összesítés csoportban válassza ki a típust Max értékként.

    Képernyőkép az Azure DDoS diagnosztikai beállításairól.

Feljegyzés

Az IP-címek szűréséhez válassza a Szűrő hozzáadása lehetőséget. A Tulajdonság területen válassza a Védett IP-cím lehetőséget, és az operátornak a következőre kell állítania: =. Az Értékek területen megjelenik a virtuális hálózathoz társított nyilvános IP-címek legördülő listája, amelyeket az Azure DDoS Protection véd.

Metrikák megtekintése nyilvános IP-címről

  1. Jelentkezzen be az Azure Portalra , és keresse meg nyilvános IP-címét.
  2. Az Azure Portal menüjében válassza ki vagy keresse meg a nyilvános IP-címeket , majd válassza ki a nyilvános IP-címet.
  3. A Figyelés területen kattintson a Metrikák elemre.
  4. Válassza a Metrikák hozzáadása lehetőséget, majd a Hatókör lehetőséget.
  5. A Hatókör kiválasztása menüben válassza ki azt az előfizetést , amely a naplózni kívánt nyilvános IP-címet tartalmazza.
  6. Válassza ki az erőforrástípus nyilvános IP-címét, majd válassza ki azt a nyilvános IP-címet, amelyhez metrikákat szeretne naplózni, majd válassza az Alkalmaz lehetőséget.
  7. A Metrika területen válassza ki a kiválasztott metrikát, majd az Összesítés csoportban válassza ki a típust Max értékként.

Feljegyzés

Ha a DDoS IP-védelmét letiltottról letiltottra módosítja, a nyilvános IP-erőforrás telemetriai adatai nem érhetők el.

DDoS-kockázatcsökkentési szabályzatok megtekintése

Az Azure DDoS Protection három automatikusan igazított kockázatcsökkentési szabályzatot (TCP SYN, TCP és UDP) használ a védett erőforrás minden nyilvános IP-címéhez. Ez a megközelítés minden olyan virtuális hálózatra vonatkozik, amelyen engedélyezve van a DDoS-védelem.

A nyilvános IP-címmetrikákon belül a szabályzatkorlátokat a DDoS-kockázatcsökkentés aktiválásához szükséges bejövő SYN-csomagok, a DDoS-kockázatcsökkentést kiváltó bejövő TCP-csomagok, valamint a DDoS-kockázatcsökkentési metrikák aktiválásához szükséges bejövő UDP-csomagok kiválasztásával tekintheti meg. Győződjön meg arról, hogy az összesítés típusát Max értékre állítja.

A kockázatcsökkentési szabályzatok megtekintésének képernyőképe.

A békeidő forgalmi telemetriájának megtekintése

Fontos szem előtt tartani a TCP SYN, az UDP és a TCP-észlelési triggerek metrikáit. Ezek a metrikák segítenek tudni, hogy mikor indul el a DDoS-védelem. Győződjön meg arról, hogy ezek az eseményindítók a normál forgalmi szinteket tükrözik, ha nincs támadás.

Létrehozhat diagramot a nyilvános IP-cím erőforrásához. Ebben a diagramban adja meg a Csomagszám és a SYN Count metrikákat. A csomagszám tcp- és UDP-csomagokat is tartalmaz. Ez a forgalom összegét mutatja.

Képernyőkép a békeidő telemetriájának megtekintéséről.

Feljegyzés

A tisztességes összehasonlításhoz másodpercenkénti csomagokká kell konvertálnia az adatokat. Ezt az átalakítást úgy teheti meg, hogy elosztja a 60-zal látható számot, mivel az adatok a 60 másodperc alatt gyűjtött csomagok, bájtok vagy SYN-csomagok számát jelölik. Ha például 91 000 csomag van összegyűjtve 60 másodperc alatt, 91 000-et 60-zal osztva körülbelül 1500 csomagot kap másodpercenként (pps).

Ellenőrzés és tesztelés

A DDoS védelmi telemetriájának ellenőrzéséhez DDoS-támadás szimulálásához lásd: DDoS-észlelés ellenőrzése.

Az adatok elemzése az Azure Monitor-eszközökkel

Ezek az Azure Monitor-eszközök az Azure Portalon érhetők el a figyelési adatok elemzéséhez:

  • Egyes Azure-szolgáltatások beépített monitorozási irányítópulttal rendelkeznek az Azure Portalon. Ezeket az irányítópultokat elemzéseknek nevezzük, és ezeket az Azure Monitor Elemzések szakaszában találja az Azure Portalon.

  • A Metrics Explorer lehetővé teszi az Azure-erőforrások mérőszámainak megtekintését és elemzését. További információ: Metrikák elemzése az Azure Monitor metrikakezelőjével.

  • A Log Analytics lehetővé teszi a naplóadatok lekérdezését és elemzését a Kusto lekérdezési nyelv (KQL) használatával. További információ: A napló lekérdezéseinek első lépései az Azure Monitorban.

  • Az Azure Portal felhasználói felülettel rendelkezik a tevékenységnapló megtekintéséhez és alapszintű kereséséhez. Ha részletesebb elemzést szeretne végezni, irányítsa az adatokat az Azure Monitor-naplókba, és futtasson összetettebb lekérdezéseket a Log Analyticsben.

  • Az Application Insights figyeli a webalkalmazások rendelkezésre állását, teljesítményét és használatát, így anélkül azonosíthatja és diagnosztizálhatja a hibákat, hogy megvárja, amíg a felhasználó bejelenti őket.
    Az Application Insights csatlakozási pontokat tartalmaz a különböző fejlesztési eszközökhöz, és integrálható a Visual Studióval a DevOps-folyamatok támogatásához. További információ: App Service alkalmazásfigyelés.

Az összetettebb vizualizációt lehetővé tevő eszközök a következők:

  • Irányítópultok , amelyek lehetővé teszik, hogy különböző típusú adatokat egyesítsen egyetlen panelen az Azure Portalon.
  • Az Azure Portalon létrehozható munkafüzetek, testreszabható jelentések. A munkafüzetek tartalmazhatnak szöveget, metrikákat és napló lekérdezéseket.
  • Grafana, egy nyíltplatformos eszköz, amely kiválóan működik az irányítópultokon. A Grafana használatával olyan irányítópultokat hozhat létre, amelyek az Azure Monitoron kívül több forrásból származó adatokat is tartalmaznak.
  • A Power BI egy üzleti elemzési szolgáltatás, amely interaktív vizualizációkat biztosít különböző adatforrásokban. A Power BI-t úgy konfigurálhatja, hogy automatikusan importálja a naplóadatokat az Azure Monitorból a vizualizációk előnyeinek kihasználásához.

Azure Monitor-adatok exportálása

Adatokat exportálhat az Azure Monitorból más eszközökre a következő eszközökkel:

Az Azure Monitor REST API használatának megkezdéséhez tekintse meg az Azure monitorozási REST API-útmutatót.

A Kusto-lekérdezések használata a naplóadatok elemzéséhez

Az Azure Monitor naplóadatait a Kusto lekérdezési nyelv (KQL) használatával elemezheti. További információ: Napló lekérdezések az Azure Monitorban.

Azure Monitor-riasztások használata a problémákról való értesítéshez

Az Azure Monitor-riasztások lehetővé teszik a rendszer problémáinak azonosítását és kezelését, és proaktív módon értesíti Önt, ha adott feltételek találhatók a monitorozási adatokban, mielőtt az ügyfelek észrevennénk őket. Az Azure Monitor adatplatformon bármilyen metrika- vagy naplóadatforrásról riasztást készíthet. Az Azure Monitor-riasztások különböző típusai vannak a figyelt szolgáltatásoktól és a gyűjtött monitorozási adatoktól függően. Lásd: A riasztási szabály megfelelő típusának kiválasztása.

Az Azure DDoS Protection riasztásaival kapcsolatos további információkért tekintse meg az Azure DDoS Protection metrikariasztásainak konfigurálását a portálon keresztül, valamint az Azure DDoS Protection diagnosztikai naplózási riasztásainak konfigurálását ismertető cikket.

Az Azure-erőforrásokra vonatkozó gyakori riasztások példáiért lásd a naplóriasztási lekérdezéseket.

Riasztások nagy léptékű implementálása

Egyes szolgáltatások esetében nagy léptékben monitorozhat, ha ugyanazt a metrikariasztási szabályt több, azonos típusú erőforrásra alkalmazza, amelyek ugyanabban az Azure-régióban léteznek. Az Azure Monitor alapszintű riasztásai (AMBA) félautomata módszert biztosítanak a fontos platformmetrika-riasztások, irányítópultok és irányelvek nagy léptékű implementálásához.

Kapcsolódó tartalom