在过去的几周里,我们在Azure网站的网络日志中看到越来越多的条目,其原始IP地址(在日志的c-ip列中)似乎在100.90范围内。 XX它现在已经达到了所有流量记录的一半以上,并且干扰了我们执行分析和威胁检测的能力。
根据the Wikipedia entry on reserved IP addresses,此块是“使用运营商级NAT(由RFC 6598指定)时用于服务提供商与其订户之间通信的一部分”,因此可能是Azure中的问题?
查看日志,流量来自许多不同的用户代理(普通用户和普通合法机器人)并且正在请求广泛的资源,因此除了IP之外不会立即显得可疑。看起来更像是合法流量被赋予了不正确的(内部)IP。
它似乎只影响静态内容(例如图像和XML文件),但不影响所有静态内容。
我们在西欧使用单个Small Standard实例,其上运行一个Web应用程序。我们没有使用任何缩放功能。有一个链接的SQL数据库,该网站主要通过HTTP运行。 95%以上的流量来自英国。我们没有对日志进行任何更改,这是由Azure处理的。
我们有什么方法可以回到这里看到实际的IP,还是这种恶意流量?
答案 0 :(得分:0)
可以更改日志记录,但不能更改应用程序。应用程序诊断设置非常简陋 - 只是一个“记录或不记录?”的开关。
您感兴趣的是应用程序之间的this comparison(当时称为“网站”),角色(通过云服务提供) 1 和虚拟机。文章提到对角色环境中的日志记录有更多的控制权,我认为这意味着您可以设置自定义日志。 This article详细说明了如何为在IIS中选择的标头设置日志记录。现在,您可以在虚拟机中摆弄您的IIS,但例如,有可能在Web角色中使用此版本的缩减版本。 This article讨论了如何在云服务托管应用程序中启用诊断日志记录。
从应用环境迁移到云服务并非易事,因为您必须设置更多内容。可能您正在考虑更改解决方案的结构,可能会改变应用程序的体系结构。所以我不会考虑这样做,所以我可以看到客户的IP。
您可以做的最简单的事情就是尝试附加分析。 There used to be a solution straight from Azure,但我无法在门户中找到它。 Google Analytics是我流量分析的首选解决方案。它可以为您提供所需的信息。