更新时间:2024-10-31 GMT+08:00

管理全量日志

启用全量日志后,您可以将攻击日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。

LTS对于采集的日志数据,通过海量日志数据的分析与处理,可以为您提供一个实时、高效、安全的日志处理能力。LTS默认存储日志的时间为7天,存储时间可以在1~30天之间进行设置,超出存储时间的日志数据将会被自动删除,对于需要长期存储的日志数据(日志持久化),LTS提供转储功能,可以将日志转储至对象存储服务(OBS)或者数据接入服务(DIS)中长期保存。

  • 在LTS管理控制台,您可以查看最近30天的防护日志、下载5天内的防护日志数据。
  • LTS按流量单独计费。有关LTS的计费详情,请参见LTS价格详情
  • 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能开启该企业项目的全量日志。

前提条件

已添加防护网站,详情操作请参见添加防护网站

将防护日志配置到LTS

  1. 登录管理控制台
  2. 单击页面左上方的,选择CDN与智能边缘 > CDN与安全防护
  3. 根据需求选择配置路径:

    配置边缘安全日志:在左侧导航栏选择安全防护 > 防护统计,进入“防护统计”页面,选择“全量日志”页签。

  4. 开启全量日志,并选择日志组,或单击“云日志服务(LTS)”。相关参数说明如表1所示。前往LTS管理控制台创建日志组和日志流。操作步骤请参见创建日志组和日志流

    表1 全量日志配置参数

    参数

    参数说明

    取值样例

    选择日志组

    选择已创建的日志组,或者单击“查看日志组”,跳转到LTS管理控制台创建新的日志组。

    lts-group-qhse

    记录HTTP攻击日志

    若开启按钮,可以选择已创建的日志流,或者单击“查看日志流”,跳转到LTS管理控制台创建新的日志流。

    lts-topic-8dvf

    记录DDoS攻击日志

    若开启按钮,可以选择已创建的日志流,或者单击“查看日志流”,跳转到LTS管理控制台创建新的日志流。

    lts-topic-8n7I

  5. 单击“确定”,全量日志配置成功。

在LTS上查看防护日志

  1. 登录管理控制台
  2. 单击页面左上方的,选择管理与部署 > 云日志服务,进入“日志管理”页面。
  3. 在日志组列表中,单击展开日志组(例如,“lts-group-EdgeSec”)。
  4. 查看攻击日志。

    1. 在日志流列表,单击配置的攻击日志流名称。
      图1 单击攻击日志流名称
    2. 查看攻击日志。

HTTP攻击日志字段说明

字段

类型

字段说明

描述

id

string

攻击事件id

-

geo

string

地理位置

其中c表示国家,r表示省份。

sip

string

攻击源ip

-

attackTime

string

攻击时间

-

tenantId

string

租户id

-

host

string

域名

-

hostId

string

域名id

-

enterpriseProjectId

string

企业项目id

-

projectId

string

租户所在region的项目id

-

siteSn

string

站点名

-

rule

string

规则id

-

ruleName

sting

规则名

-

method

string

攻击请求方法

-

url

string

攻击请求url

-

requestHeader

string

攻击请求头

-

requestParams

string

攻击请求参数

-

cookie

string

攻击请求cookie

-

requestBody

string

攻击请求体

-

status

string

攻击响应码

Nginx作为Web服务器时,会处理客户端的请求并返回该响应码。

responseHeaders

string

攻击响应头

-

responseBody

string

攻击响应体

-

responseSize

long

攻击响应体大小

-

upstreamStatus

string

上游服务器攻击响应码

Nginx作为反向代理服务器时,客户端的请求转发给上游服务器,由上游服务器返回的响应码。

upstreamResponseTime

string

攻击响应时间

-

processTime

string

攻击处理时间

-

attackCount

long

攻击数

-

attackCategory

string

攻击类别

-

attack

string

攻击详情

attack中的key和value分别表示攻击类型和攻击数,action中的key和value分别表示该攻击类型的防护动作和防护次数。

maliciousData

string

触发规则的恶意数据

-

maliciousLocation

string

恶意数据位置

-

policyId

string

策略id

-

DDoS攻击日志字段说明

字段

类型

字段说明

描述

id

string

受攻击目的ip

-

attackTime

long

攻击时间

-

tenantId

string

租户id

-

siteId

string

站点id

-

attackType

string

攻击来源类型

-

avgBps

long

攻击流量带宽平均值

-

avgPps

long

攻击数据包转发数平均值

-

maxBps

long

攻击流量带宽最大值

-

maxPps

long

攻击数据包转发数最大值

-

日志标签字段说明

字段

类型

字段说明

描述

_resource_id

string

资源id

表示攻击来源,当前支持HTTP和DDoS。

_resource_name

string

资源名称

表示日志类型,当前仅支持攻击日志(attack-log)。

_service_type

string

服务类型

表示云服务类型,当前边缘安全属于EdgeSec云服务。