更新时间:2024-12-05 GMT+08:00
分享

开启LTS日志

操作场景

启用DDoS原生高级防护功能后,您可以将攻击日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的CNAD日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。

前提条件

已开通云日志服务。

操作步骤

  1. 登录管理控制台
  2. 在页面上方选择“区域”后,单击页面左上方的,选择安全与合规 > DDoS防护 AAD,进入“Anti-DDoS流量清洗”界面。
  3. 在左侧导航栏,选择DDoS原生高级防护 > 概览,进入“数据报表”页面。
  4. 选择“日志”页签,开启日志,并选择日志组和日志流,相关参数说明如图1所示。

    图1 配置日志
    表1 全量日志配置参数

    参数

    参数说明

    选择企业项目

    选择已创建的企业项目。

    选择日志组

    选择已创建的日志组,或者单击“查看日志组”,跳转到LTS管理控制台创建新的日志组。

    记录攻击日志

    选择已创建的日志流,或者单击“查看日志流”,跳转到LTS管理控制台创建新的日志流。

    攻击日志记录每一个攻击告警信息,包括攻击类型、防护的IP等信息。

  5. 单击“确定”,全量日志配置成功。

    您可以在LTS管理控制台查看DDoS原生高级防护的防护日志。

日志字段说明

本章节介绍了DDoS原生高级防护日志包含的日志字段。

表2 关键字段说明

字段

说明

currentConn

当前连接数。

maxInPps

入报文峰值(单位:pps)。

newConn

新建连接数。

deviceType

上报日志的设备类型。默认为“CLEAN”,清洗设备。

attackTypes

攻击类型,具体请参考表3

zoneIP

防护的IP。

logType

日志类型。默认为“ip_attack_sum”,攻击日志。

maxDropPps

攻击报文峰值(单位:pps)。

maxInKbps

入流量峰值(单位:kbps)。

startTime

攻击开始时间。

endTime

攻击结束时间,为空时则表示攻击还未结束。

maxDropKbps

攻击流量峰值(单位:kbps)。

attackStatus

攻击状态。

  • ATTACK:攻击状态。
  • NORMAL:正常状态。
表3 攻击类型说明

数值

攻击类型

0-9

自定义服务攻击

10

Syn Flood攻击

11

Ack Flood攻击

12

SynAck Flood攻击

13

Fin/Rst Flood攻击

14

并发连接数超过阈值

15

新建连接数超过阈值

16

TCP分片报文攻击

17

TCP分片BandWidth limit攻击

18

TCP BandWidth limit攻击

19

UDP flood攻击

20

UDP分片攻击

21

UDP分片BandWidth limit攻击

22

UDP BandWidth limit攻击

23

ICMP BandWidth limit攻击

24

Other BandWidth limit攻击

25

总流量限流

26

HTTPS Flood攻击

27

HTTP Flood攻击

28

保留

29

DNS Query Flood攻击

30

DNS Reply Flood攻击

31

Sip Flood攻击

32

黑名单丢弃

33

HTTP URL行为异常

34

TCP分片abnormal丢弃流量

35

TCP abnormal丢弃流量

36

UDP分片abnormal丢弃流量

37

UDP abnormal丢弃流量

38

ICMP abnormal攻击

39

Other abnormal攻击

40

Connection Flood攻击

41

域名劫持攻击

42

DNS投毒攻击报文

43

DNS反射攻击

44

超大DNS报文攻击

45

DNS源请求速率异常

46

DNS源回应速率异常

47

DNS域名请求速率异常

48

DNS域名回应包速率异常

49

DNS请求报文TTL异常

50

DNS报文格式异常

51

DNS Cache匹配丢弃攻击

52

端口扫描攻击

53

TCP Abnormal攻击(tcp 报文标记位异常)

54

BGP攻击

55

UDP关联防范异常

56

DNS NO such Name异常

57

Other 指纹攻击

58

防护对象限流攻击

59

HTTP慢速攻击

60

恶意软件防范

61

域名阻断

62

FILTER过滤

63

Web攻击抓包

64

SIP源限速攻击

相关文档