Azure-Website-Protokolle einschließlich interner IPs in Einträgen

Question

In den letzten paar Wochen haben wir eine zunehmende Anzahl von Einträgen in den Weblogs unserer Azure-Website mit der ursprünglichen IP-Adresse (in der Spalte c-ip des Protokolls) verzeichnet. scheint im Bereich von 100.90.XX zu liegen Es hat mittlerweile mehr als die Hälfte des gesamten Datenverkehrs erreicht und beeinträchtigt unsere Fähigkeit zur Analyse und Erkennung von Bedrohungen.

Nach the Wikipedia entry on reserved IP addresses dieser Block ist Teil eines „Wird für die Kommunikation zwischen einem Dienstanbieter und seinen Abonnenten, wenn ein Carrier-Grade NAT, wie durch RFC 6598 spezifiziert“, so dies ein Problem in Azure könnte ?

Mit Blick auf die Protokolle kommt der Verkehr von vielen verschiedenen Benutzeragenten (sowohl normale Benutzer als auch die üblichen legitimen Bots) und fordert eine breite Palette von Ressourcen, so dass nicht sofort andere als die IPs verdächtig erscheinen. Es sieht eher so aus, als ob legitimer Verkehr eine falsche (interne) IP bekommt.

Es scheint nur den statischen Inhalt (z. B. Bilder und XML-Dateien) zu beeinflussen, aber nicht ALLE statischen Inhalt.

Wir verwenden in Westeuropa eine einzige Small-Standard-Instanz, auf der eine einzige Web-App läuft. Wir verwenden keine Skalierungsfunktionen. Es gibt eine verknüpfte SQL-Datenbank und die Website läuft hauptsächlich über HTTPs. 95% unseres Traffics stammen aus britischen Quellen. Wir haben keine Änderungen an der Protokollierung vorgenommen, die von Azure gehandhabt wird.

Gibt es eine Möglichkeit, die tatsächlichen IPs hier wieder zu sehen, oder ist dieser bösartige Verkehr?

Answer 1

Es ist möglich, die Protokollierung zu ändern, aber nicht in einer App. Die App Diagnose Einstellung ist ziemlich rudimentär - nur ein Schalter "zu loggen oder nicht zu loggen?"

Was Sie interessiert ist, ist this comparison zwischen apps (es hieß damals "sites"), Rollen (verfügbar über Cloud Service) und virtuelle Maschinen. Der Artikel erwähnt, dass es mehr Kontrolle über die Protokollierung der Rollenumgebung gibt, was bedeutet, dass Sie benutzerdefinierte Protokolle einrichten können. This article Details zum Einrichten der Protokollierung für die Header, die Sie in IIS auswählen. Jetzt können Sie mit Ihrem IIS in einer virtuellen Maschine experimentieren, aber es besteht die Möglichkeit, dass eine eingeschränkte Version beispielsweise in einer Webrolle funktioniert. This article erläutert, wie Sie die Diagnoseprotokollierung in Ihrer gehosteten Cloud-Anwendung aktivieren.

Der Umstieg auf den Cloud-Service aus der App-Umgebung ist nicht trivial, da Sie noch viel mehr Dinge einrichten müssen. Möglicherweise möchten Sie die Struktur Ihrer Lösung ändern und möglicherweise die Architektur Ihrer App ändern. Also würde ich es nicht in Betracht ziehen, nur damit ich die IP eines Kunden sehen kann.

Die einfachste Sache, die Sie tun können, ist versuchen, Analytik anzubringen. There used to be a solution straight from Azure, aber ich kann es nicht im Portal finden. Google Analytics ist meine erste Lösung für die Analyse des Datenverkehrs. Es kann Ihnen die gewünschten Informationen liefern.

---

1. Es ist wirklich ärgerlich, wie Microsoft ein azur Service alle paar Monate rebrands.