教程:通过门户配置 Azure DDoS 防护指标警报
本教程介绍如何执行下列操作:
- 通过 Azure Monitor 配置指标警报。
DDoS 防护指标警报是在检测到攻击时通过Azure 门户、电子邮件、短信、推送或语音通知向团队发出警报的重要步骤。
先决条件
- 具有活动订阅的 Azure 帐户。 创建试用版订阅。
- 必须在虚拟网络上启用 DDoS 网络保护,或者必须在公共 IP 地址上启用 DDoS IP 保护。
- DDoS 防护监视分配给虚拟网络中资源的公共 IP 地址。 如果虚拟网络中没有任何具有公共 IP 地址的资源,必须首先创建具有公共 IP 地址的资源。
通过门户配置指标警报
利用 Azure Monitor 警报配置,可以选择任何可用的 Azure DDoS 防护指标,以在攻击期间发生活跃的风险缓解时发出警报。
登录到 Azure 门户。
在门户顶部的搜索框中,输入“警报”。 在搜索结果中选择“警报”。
在导航栏上选择“+ 创建”,然后选择“警报规则”。
在“创建警报规则”页上,选择“+ 选择范围”,然后在“选择资源”页中选择以下信息。
设置 值 按订阅筛选 选择包含要记录的公共 IP 地址的订阅。 按资源类型筛选 选择“公共 IP 地址”。 资源 选择要为其记录指标的特定公共 IP 地址。 选择“完成”,然后选择“下一步: 条件”。
在“条件”页上,选择“+ 添加条件”,然后在“按信号名搜索”搜索框中,搜索并选择“是否受到 DDoS 攻击”。
在“创建警报规则”页上,选择以下信息。
设置 值 阈值 保留为默认的“静态”。 聚合类型 保留为默认的“最大值”。 操作员 选择“大于或等于”。 计价单位 保留为默认的“计数”。 阈值 输入 1。 对于“是否受到 DDoS 攻击”指标,“0”表示未受到攻击,而“1”表示受到攻击。 检查间隔 选择警报规则检查条件是否满足的频率。 保留为默认的“1 分钟”。 回溯期间 这是回溯期,也就是每次检查数据时要回溯的时间段。 例如,每隔 1 分钟查看过去的 5 分钟。 保留为默认的“5 分钟”。 选择“下一步: 操作”,然后选择“+ 创建操作组”。
创建操作组
在“创建操作组”页中,输入以下信息,然后选择“下一步: 通知”。
设置 值 订阅 选择包含要记录的公共 IP 地址的 Azure 订阅。 资源组 选择你的资源组。 区域 请选择下述位置以获取范围超广的 Azure 产品和长期容量增长优势。 操作组 请提供在资源组中唯一的操作组名称。 对于此示例,请输入“myDDoSAlertsActionGroup”。 显示名称 此显示名称将在电子邮件和短信通知中显示为操作组名称。 对于此示例,请输入“myDDoSAlerts”。 在“通知”选项卡的“通知类型”下,选择要使用的通知类型。 对于此示例,我们选择“电子邮件/短信/推送/语音”。 在“名称”选项卡中,输入“myUnderAttackEmailAlert”。
在“电子邮件/短信/推送/语音”页上,选中“电子邮件”复选框,然后输入所需的电子邮件地址。 选择“确定”。
选择“查看 + 创建”,然后选择“创建” 。
注意
有关创建操作组的详细信息,请查看操作组文档。
继续通过门户配置警报
选择“下一步: 详细信息”。
在“详细信息”选项卡上的“警报规则详细信息”下,输入以下信息。
设置 值 Severity 选择“2 - 警告”。 警报规则名称 输入 myDDoSAlert。 选择“查看 + 创建”,然后在通过验证后选择“创建” 。
检测到攻击几分钟后,应从 Azure Monitor 指标收到一封电子邮件,如下图所示:
还可以了解有关为创建警报而配置 webhook 和逻辑应用的详细信息。
清理资源
可保留资源以供下一教程使用。 不再需要这些警报时,请将其删除。
后续步骤
在本教程中,你已了解如何通过 Azure 门户配置指标警报。
要配置诊断日志记录,请继续学习下一教程。