教程:通过门户配置 Azure DDoS 防护指标警报

本教程介绍如何执行下列操作:

  • 通过 Azure Monitor 配置指标警报。

DDoS 防护指标警报是在检测到攻击时通过Azure 门户、电子邮件、短信、推送或语音通知向团队发出警报的重要步骤。

先决条件

  • 具有活动订阅的 Azure 帐户。 创建试用版订阅
  • 必须在虚拟网络上启用 DDoS 网络保护,或者必须在公共 IP 地址上启用 DDoS IP 保护
  • DDoS 防护监视分配给虚拟网络中资源的公共 IP 地址。 如果虚拟网络中没有任何具有公共 IP 地址的资源,必须首先创建具有公共 IP 地址的资源。  

通过门户配置指标警报

利用 Azure Monitor 警报配置,可以选择任何可用的 Azure DDoS 防护指标,以在攻击期间发生活跃的风险缓解时发出警报。

  1. 登录到 Azure 门户

  2. 在门户顶部的搜索框中,输入“警报”。 在搜索结果中选择“警报”。

  3. 在导航栏上选择“+ 创建”,然后选择“警报规则”。

    创建警报的 DDoS 防护的屏幕截图。

  4. 在“创建警报规则”页上,选择“+ 选择范围”,然后在“选择资源”页中选择以下信息。

    选择 DDoS 防护攻击警报范围的屏幕截图。

    设置
    按订阅筛选 选择包含要记录的公共 IP 地址的订阅。
    按资源类型筛选 选择“公共 IP 地址”。
    资源 选择要为其记录指标的特定公共 IP 地址。
  5. 选择“完成”,然后选择“下一步: 条件”。

  6. 在“条件”页上,选择“+ 添加条件”,然后在“按信号名搜索”搜索框中,搜索并选择“是否受到 DDoS 攻击”

    添加 DDoS 防护攻击警报条件的屏幕截图。

  7. 在“创建警报规则”页上,选择以下信息

    添加 DDoS 防护攻击警报信号的屏幕截图。

    设置
    阈值 保留为默认的“静态”。
    聚合类型 保留为默认的“最大值”。
    操作员 选择“大于或等于”。
    计价单位 保留为默认的“计数”。
    阈值 输入 1。 对于“是否受到 DDoS 攻击”指标,“0”表示未受到攻击,而“1”表示受到攻击。
    检查间隔 选择警报规则检查条件是否满足的频率。 保留为默认的“1 分钟”。
    回溯期间 这是回溯期,也就是每次检查数据时要回溯的时间段。 例如,每隔 1 分钟查看过去的 5 分钟。 保留为默认的“5 分钟”。
  8. 选择“下一步: 操作”,然后选择“+ 创建操作组”。

创建操作组

  1. 在“创建操作组”页中,输入以下信息,然后选择“下一步: 通知”。

    添加 DDoS 防护攻击警报操作组基本信息的屏幕截图。

    设置
    订阅 选择包含要记录的公共 IP 地址的 Azure 订阅。
    资源组 选择你的资源组。
    区域 请选择下述位置以获取范围超广的 Azure 产品和长期容量增长优势。
    操作组 请提供在资源组中唯一的操作组名称。 对于此示例,请输入“myDDoSAlertsActionGroup”。
    显示名称 此显示名称将在电子邮件和短信通知中显示为操作组名称。 对于此示例,请输入“myDDoSAlerts”。
  2. 在“通知”选项卡的“通知类型”下,选择要使用的通知类型。 对于此示例,我们选择“电子邮件/短信/推送/语音”。 在“名称”选项卡中,输入“myUnderAttackEmailAlert”。

    添加 DDoS 防护攻击警报通知类型的屏幕截图。

  3. 在“电子邮件/短信/推送/语音”页上,选中“电子邮件”复选框,然后输入所需的电子邮件地址。 选择“确定”。

    添加 DDoS 防护攻击警报通知页的屏幕截图。

  4. 选择“查看 + 创建”,然后选择“创建” 。

注意

有关创建操作组的详细信息,请查看操作组文档。

继续通过门户配置警报

  1. 选择“下一步: 详细信息”。

    添加 DDoS 防护攻击警报详细信息页的屏幕截图。

  2. 在“详细信息”选项卡上的“警报规则详细信息”下,输入以下信息。

    设置
    Severity 选择“2 - 警告”。
    警报规则名称 输入 myDDoSAlert。
  3. 选择“查看 + 创建”,然后在通过验证后选择“创建” 。

检测到攻击几分钟后,应从 Azure Monitor 指标收到一封电子邮件,如下图所示:

DDoS 攻击后 DDoS 攻击警报的屏幕截图。

还可以了解有关为创建警报而配置 webhook逻辑应用的详细信息。

清理资源

可保留资源以供下一教程使用。 不再需要这些警报时,请将其删除。

  1. 在门户顶部的搜索框中,输入“警报”。 在搜索结果中选择“警报”。

    Azure 中 DDoS 防护的“警报”页的屏幕截图。

  2. 选择“警报规则”。

    Azure 中 DDoS 防护的“警报规则”页的屏幕截图。

  3. 在“警报规则”页中,选择你的订阅。

  4. 选择在本教程中创建的警报,然后选择“删除”。

后续步骤

在本教程中,你已了解如何通过 Azure 门户配置指标警报。

要配置诊断日志记录,请继续学习下一教程。