Tutorial: Exibir logs da Proteção contra DDoS do Azure no espaço de trabalho do Log Analytics
Neste tutorial, irá aprender a:
- exiba os logs de diagnóstico da Proteção contra DDoS do Azure, incluindo notificações, relatórios de mitigação e logs de fluxo de mitigação.
Os logs de diagnóstico da Proteção contra DDoS fornecem a capacidade de visualizar notificações de Proteção contra DDoS, relatórios de mitigação e logs de fluxo de mitigação após um ataque DDoS. Pode ver estes registos na área de trabalho do Log Analytics.
Os relatórios de mitigação de ataques usam os dados do protocolo Netflow, que são agregados para fornecer informações detalhadas sobre o ataque ao seu recurso. Sempre que um recurso IP público está sob ataque, a geração de relatórios começa assim que a mitigação começa. Haverá um relatório incremental gerado a cada 5 minutos e um relatório pós-mitigação para todo o período de mitigação. Isso é para garantir que, em um caso em que o ataque DDoS continue por um longo período de tempo, você poderá visualizar o instantâneo mais atual do relatório de mitigação a cada 5 minutos e um resumo completo assim que a mitigação do ataque terminar.
Pré-requisitos
- Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
- A Proteção de Rede DDoS deve estar habilitada em uma rede virtual ou a Proteção IP DDoS deve ser habilitada em um endereço IP público.
- Configure os logs de diagnóstico da Proteção contra DDoS. Para saber mais, consulte Configurar logs de diagnóstico.
- Simule um ataque usando um dos nossos parceiros de simulação. Para saber mais, consulte Teste com parceiros de simulação.
Exibir no espaço de trabalho do Log Analytics
Inicie sessão no portal do Azure.
Na caixa de pesquisa na parte superior do portal, insira o espaço de trabalho do Log Analytics. Selecione Espaço de trabalho do Log Analytics nos resultados da pesquisa.
Na folha Espaços de trabalho do Log Analytics, selecione seu espaço de trabalho.
Na guia do lado esquerdo, selecione Logs. Aqui você vê o explorador de consultas. Saia do painel Consultas para utilizar a página Logs .
Na página Logs, digite sua consulta e pressione Executar para exibir os resultados.
Consultar logs da Proteção contra DDoS do Azure no espaço de trabalho de análise de log
Para obter mais informações sobre esquemas de log, consulte Exibir logs de diagnóstico.
DDoSProtectionLogs de notificações
Na folha Espaços de trabalho de análise de log, selecione seu espaço de trabalho de análise de log.
No painel do lado esquerdo, selecione Logs.
No Gerenciador de consultas, digite a seguinte Consulta Kusto e altere o intervalo de tempo para Personalizado e altere o intervalo de tempo para durar três meses. Em seguida, clique em Executar.
AzureDiagnostics | where Category == "DDoSProtectionNotifications"Para exibir DDoSMitigationFlowLogs , altere a consulta para o seguinte e mantenha o mesmo intervalo de tempo e pressione Executar.
AzureDiagnostics | where Category == "DDoSMitigationFlowLogs"Para exibir DDoSMitigationReports , altere a consulta para o seguinte e mantenha o mesmo intervalo de tempo e pressione Executar.
AzureDiagnostics | where Category == "DDoSMitigationReports"
Exemplo de consultas dos registos
Notificações de proteção contra DDoS
As notificações irão notificá-lo sempre que um recurso IP público estiver sob ataque e quando a mitigação do ataque terminar.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
A tabela a seguir lista os nomes e descrições dos campos:
| Nome do campo | Description |
|---|---|
| TimeGenerated | A data e a hora em UTC quando a notificação foi criada. |
| ResourceId | O ID do recurso do seu endereço IP público. |
| Categoria | Para notificações, será DDoSProtectionNotifications. |
| ResourceGroup | O grupo de recursos que contém seu endereço IP público e rede virtual. |
| SubscriptionId | O ID de subscrição do seu plano de proteção contra DDoS. |
| Recurso | O nome do seu endereço IP público. |
| ResourceType | Será sempre PUBLICIPADDRESS. |
| Nome da operação | Para notificações, isto é DDoSProtectionNotifications. |
| Mensagem | Detalhes do ataque. |
| Tipo | Tipo de notificação. Os valores possíveis incluem MitigationStarted. MitigationStopped. |
| PublicIpAddress | O seu endereço IP público. |
FlowLogs de mitigação de DDoS
Os logs de fluxo de mitigação de ataques permitem que você analise o tráfego perdido, o tráfego encaminhado e outros pontos de dados interessantes durante um ataque DDoS ativo quase em tempo real. Você pode ingerir o fluxo constante desses dados no Microsoft Sentinel ou em seus sistemas SIEM de terceiros via hub de eventos para monitoramento quase em tempo real, tomar ações potenciais e atender à necessidade de suas operações de defesa.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
A tabela a seguir lista os nomes e descrições dos campos:
| Nome do campo | Description |
|---|---|
| TimeGenerated | A data e a hora em UTC quando o log de fluxo foi criado. |
| ResourceId | O ID do recurso do seu endereço IP público. |
| Categoria | Para logs de fluxo, isso é DDoSMitigationFlowLogs. |
| ResourceGroup | O grupo de recursos que contém seu endereço IP público e rede virtual. |
| SubscriptionId | O ID de subscrição do seu plano de proteção contra DDoS. |
| Recurso | O nome do seu endereço IP público. |
| ResourceType | Será sempre PUBLICIPADDRESS. |
| Nome da operação | Para logs de fluxo, isso é DDoSMitigationFlowLogs. |
| Mensagem | Detalhes do ataque. |
| SourcePublicIpAddress | O endereço IP público do cliente que gera tráfego para o seu endereço IP público. |
| FontePort | Número da porta que varia de 0 a 65535. |
| DestPublicIpAddress | O seu endereço IP público. |
| DestPort | Número da porta que varia de 0 a 65535. |
| Protocolo | Tipo de protocolo. Os valores possíveis incluem tcp, udp, other. |
Relatórios de mitigação de DDoS
AzureDiagnostics
| where Category == "DDoSMitigationReports"
A tabela a seguir lista os nomes e descrições dos campos:
| Nome do campo | Description |
|---|---|
| TimeGenerated | A data e a hora em UTC quando a notificação foi criada. |
| ResourceId | O ID do recurso do seu endereço IP público. |
| Categoria | Para relatórios de mitigação, isso é DDoSMitigationReports. |
| ResourceGroup | O grupo de recursos que contém seu endereço IP público e rede virtual. |
| SubscriptionId | O ID de subscrição do seu plano de proteção contra DDoS. |
| Recurso | O nome do seu endereço IP público. |
| ResourceType | Será sempre PUBLICIPADDRESS. |
| Nome da operação | Para relatórios de mitigação, isso é DDoSMitigationReports. |
| Tipo de relatório | Os valores possíveis são Incremental e PostMitigation. |
| MitigationPeriodStart | A data e a hora em UTC quando a mitigação começou. |
| MitigaçãoPeríodoFinal | A data e hora em UTC quando a mitigação terminou. |
| Endereço IPAddress | O seu endereço IP público. |
| Vetores de ataque | Degradação dos tipos de ataque. As chaves incluem TCP SYN flood, TCP flood, UDP flood, UDP reflection, e Other packet flood. |
| TráfegoVisão geral | Degradação do tráfego de ataque. As chaves incluem Total packets, Total packets dropped, Total TCP packets, Total TCP packets dropped, Total UDP packets, Total UDP packets dropped, Total Other packetse Total Other packets dropped. |
| Protocolos | Repartição dos protocolos incluída. As chaves incluem TCP, UDPe Other. |
| DropReasons | Análise das causas da queda de pacotes. As chaves incluem Protocol violation invalid TCP. syn Protocol violation invalid TCP, Protocol violation invalid UDP, , UDP reflection, TCP rate limit exceeded, UDP rate limit exceeded, Other packet flood Rate limit exceededDestination limit exceeded, e Packet was forwarded to service. Os motivos de violação de protocolo de descarte inválido referem-se a pacotes malformados. |
| TopSourceCountries | Discriminação dos 10 principais países de origem em tráfego de entrada. |
| TopSourceCountriesForDroppedPackets | Análise dos 10 principais países de origem para o tráfego de ataque que foi limitado. |
| TopSourceASNs | Análise das 10 principais fontes de números de sistemas autônomos (ASNs) de tráfego de entrada. |
| FonteContinentes | Análise do continente de origem para o tráfego de entrada. |
| Tipo | Tipo de notificação. Os valores possíveis incluem MitigationStarted. MitigationStopped. |
Próximos passos
Neste tutorial, você aprendeu como exibir logs de diagnóstico da Proteção contra DDoS em um espaço de trabalho do Log Analytics. Para saber mais sobre as etapas recomendadas a serem seguidas quando você recebe um ataque DDoS, consulte estas próximas etapas.