更新时间:2024-12-24 GMT+08:00

开启日志记录

启用DDoS高防功能后,您可以将攻击日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的AAD日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。

前提条件

已开通云日志服务,具体操作请参考管理日志组管理日志流

开启DDoS高防日志

  1. 登录管理控制台
  2. 在页面上方选择“区域”后,单击页面左上方的,选择安全与合规 > DDoS防护 AAD,进入“Anti-DDoS流量清洗”界面。
  3. 在左侧导航栏选择DDoS高防 > 概览,进入“概览”页面。
  4. 单击“日志”,开启全量日志,并选择日志组和日志流,相关参数说明如图1所示。

    图1 配置DDoS高防日志
    表1 日志配置参数

    参数

    参数说明

    企业项目

    选择已创建的企业项目。

    日志组Region

    选择日志组所属的Region

    选择日志组

    选择已创建的日志组,或者单击“查看日志组”,跳转到LTS管理控制台创建新的日志组。

    实例攻击日志

    选择已创建的日志流,或者单击“查看日志流”,跳转到LTS管理控制台创建新的日志流。

    实例攻击日志记录每一个攻击告警信息,包括攻击事件类型、防护动作、攻击源IP等信息,字段说明如表2所示。

    实例攻击详情

    选择已创建的日志流,或者单击“查看日志流”,跳转到LTS管理控制台创建新的日志流。

    实例攻击详情记录攻击开始时间、结束时间、攻击状态、攻击类型等信息,字段说明如表3所示。

  5. 单击“确定”,日志配置成功。

    您可以在LTS管理控制台查看防护日志。

日志字段说明

本章节介绍了DDoS高防日志包含的日志字段。

表2 实例攻击日志字段说明

字段

说明

ip

被攻击IP。

ip_id

被攻击IP的ID。

attack_type

攻击的类型。

attack_protocol

该字段尚未使用,默认是0。

attack_start_time

攻击开始时间,毫秒级时间戳。

attack_status

攻击状态。

  • ATTACK:攻击中。
  • NORMAL:攻击结束。

drop_kbits

分钟级别的最大攻击流量,单位“bit”

attack_pkts

分钟级别的最大攻击报文数。

duration_elapse

已结束安全事件的持续时间,单位“秒”

end_time

攻击结束时间,毫秒级时间戳。未结束的安全事件,该字段为0。

max_drop_kbps

攻击流量的峰值,单位“kbps”

max_drop_pps

攻击报文的峰值,单位“pps”

表3 实例攻击详情字段说明

字段

说明

attackStatus

攻击状态。

attackType

攻击状态。

  • ATTACK:攻击中。
  • NORMAL:攻击结束。

attackTypeDescCn

攻击类型(中文)。

attackTypeDescEn

攻击类型(英文)。

attackUnit

攻击单位。

attacker

攻击来源。

attackerKbps

攻击流量峰值,单位“kbps”

attackerPps

攻击流量峰值,单位“pps”

direction

日志方向。

  • inbound:入方向。
  • outbound:出方向。

dropKbits

丢弃的流量总数,单位“kbits”

dropPackets

丢弃的报文总数。

duration

攻击持续时间,单位“秒”

handleTime

处理日志时间。

logTime

日志时间。

logType

日志类型。

maxDropKbps

IP丢弃流量峰值,单位“kbps”

maxDropPps

IP丢弃流量峰值,单位“pps”

port

端口号。

startTimeAlert

异常开始时间。

timeScale

时间标识(处理分钟级或小时级数据的标识)。

valid

是否成功解析到日志。

writeTime

持久化时间。

zoneIP

防护IP。

startTimeAttack

攻击开始时间。

startTimeKey

对于同一个攻击不同时间的唯一标识。