开启LTS日志
操作场景
启用DDoS原生高级防护功能后,您可以将攻击日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的CNAD日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。
前提条件
已开通云日志服务。
操作步骤
- 登录管理控制台。
- 在页面上方选择“区域”后,单击页面左上方的,选择 ,进入“Anti-DDoS流量清洗”界面。
- 在左侧导航栏,选择“数据报表”页面。 ,进入
- 选择“日志”页签,开启日志,并选择日志组和日志流,相关参数说明如图1所示。
表1 全量日志配置参数 参数
参数说明
选择企业项目
选择已创建的企业项目。
选择日志组
选择已创建的日志组,或者单击“查看日志组”,跳转到LTS管理控制台创建新的日志组。
记录攻击日志
选择已创建的日志流,或者单击“查看日志流”,跳转到LTS管理控制台创建新的日志流。
攻击日志记录每一个攻击告警信息,包括攻击类型、防护的IP等信息。
- 单击“确定”,全量日志配置成功。
您可以在LTS管理控制台查看DDoS原生高级防护的防护日志。
日志字段说明
本章节介绍了DDoS原生高级防护日志包含的日志字段。
字段 |
说明 |
---|---|
currentConn |
当前连接数。 |
maxInPps |
入报文峰值(单位:pps)。 |
newConn |
新建连接数。 |
deviceType |
上报日志的设备类型。默认为“CLEAN”,清洗设备。 |
attackTypes |
攻击类型,具体请参考表3。 |
zoneIP |
防护的IP。 |
logType |
日志类型。默认为“ip_attack_sum”,攻击日志。 |
maxDropPps |
攻击报文峰值(单位:pps)。 |
maxInKbps |
入流量峰值(单位:kbps)。 |
startTime |
攻击开始时间。 |
endTime |
攻击结束时间,为空时则表示攻击还未结束。 |
maxDropKbps |
攻击流量峰值(单位:kbps)。 |
attackStatus |
攻击状态。
|
数值 |
攻击类型 |
---|---|
0-9 |
自定义服务攻击 |
10 |
Syn Flood攻击 |
11 |
Ack Flood攻击 |
12 |
SynAck Flood攻击 |
13 |
Fin/Rst Flood攻击 |
14 |
并发连接数超过阈值 |
15 |
新建连接数超过阈值 |
16 |
TCP分片报文攻击 |
17 |
TCP分片BandWidth limit攻击 |
18 |
TCP BandWidth limit攻击 |
19 |
UDP flood攻击 |
20 |
UDP分片攻击 |
21 |
UDP分片BandWidth limit攻击 |
22 |
UDP BandWidth limit攻击 |
23 |
ICMP BandWidth limit攻击 |
24 |
Other BandWidth limit攻击 |
25 |
总流量限流 |
26 |
HTTPS Flood攻击 |
27 |
HTTP Flood攻击 |
28 |
保留 |
29 |
DNS Query Flood攻击 |
30 |
DNS Reply Flood攻击 |
31 |
Sip Flood攻击 |
32 |
黑名单丢弃 |
33 |
HTTP URL行为异常 |
34 |
TCP分片abnormal丢弃流量 |
35 |
TCP abnormal丢弃流量 |
36 |
UDP分片abnormal丢弃流量 |
37 |
UDP abnormal丢弃流量 |
38 |
ICMP abnormal攻击 |
39 |
Other abnormal攻击 |
40 |
Connection Flood攻击 |
41 |
域名劫持攻击 |
42 |
DNS投毒攻击报文 |
43 |
DNS反射攻击 |
44 |
超大DNS报文攻击 |
45 |
DNS源请求速率异常 |
46 |
DNS源回应速率异常 |
47 |
DNS域名请求速率异常 |
48 |
DNS域名回应包速率异常 |
49 |
DNS请求报文TTL异常 |
50 |
DNS报文格式异常 |
51 |
DNS Cache匹配丢弃攻击 |
52 |
端口扫描攻击 |
53 |
TCP Abnormal攻击(tcp 报文标记位异常) |
54 |
BGP攻击 |
55 |
UDP关联防范异常 |
56 |
DNS NO such Name异常 |
57 |
Other 指纹攻击 |
58 |
防护对象限流攻击 |
59 |
HTTP慢速攻击 |
60 |
恶意软件防范 |
61 |
域名阻断 |
62 |
FILTER过滤 |
63 |
Web攻击抓包 |
64 |
SIP源限速攻击 |