开启日志记录
启用DDoS原生高级防护功能后,您可以将攻击日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的CNAD日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。
开启LTS日志
- 登录AAD服务控制台。
- 在左侧导航栏,选择,进入“数据报表”页面。
- 在“日志”页签,单击“对接LTS配置”。
- 选择日志组和日志流,相关参数说明如图1所示。
表1 全量日志配置参数 参数
参数说明
日志组Region
选择日志组所属的Region。
日志组
日志组(LogGroup)是云日志服务进行日志管理的基本单位,用于对日志流进行分类,一个日志组下面可以创建多个日志流。日志组本身不存储任何日志数据,仅方便用户管理日志流。
选择已创建的日志组,或单击“创建日志组”,跳转到LTS管理控制台创建新的日志组。
记录攻击日志
日志流(LogStream)是日志读写的基本单位。日志采集后,以日志流为单位,将不同类型的日志分类存储在不同的日志流上,方便对日志进一步分类管理。
选择已创建的日志流,或单击“创建日志流”,跳转到LTS管理控制台创建新的日志流。
- 单击“确定”,全量日志配置成功。
日志字段说明
本章节介绍了DDoS原生高级防护日志包含的日志字段。
| 字段 | 说明 |
|---|---|
| currentConn | 当前连接数。 |
| maxInPps | 入报文峰值(单位:pps)。 |
| newConn | 新建连接数。 |
| deviceType | 上报日志的设备类型。默认为“CLEAN”,清洗设备。 |
| attackTypes | 攻击类型,具体请参考表3。 |
| zoneIP | 防护的IP。 |
| logType | 日志类型。默认为“ip_attack_sum”,攻击日志。 |
| maxDropPps | 攻击报文峰值(单位:pps)。 |
| maxInKbps | 入流量峰值(单位:kbps)。 |
| startTime | 攻击开始时间。 |
| endTime | 攻击结束时间,为空时则表示攻击还未结束。 |
| maxDropKbps | 攻击流量峰值(单位:kbps)。 |
| attackStatus | 攻击状态。
|
| 数值 | 攻击类型 |
|---|---|
| 0-9 | 自定义服务攻击 |
| 10 | Syn Flood攻击 |
| 11 | Ack Flood攻击 |
| 12 | SynAck Flood攻击 |
| 13 | Fin/Rst Flood攻击 |
| 14 | 并发连接数超过阈值 |
| 15 | 新建连接数超过阈值 |
| 16 | TCP分片报文攻击 |
| 17 | TCP分片BandWidth limit攻击 |
| 18 | TCP BandWidth limit攻击 |
| 19 | UDP flood攻击 |
| 20 | UDP分片攻击 |
| 21 | UDP分片BandWidth limit攻击 |
| 22 | UDP BandWidth limit攻击 |
| 23 | ICMP BandWidth limit攻击 |
| 24 | Other BandWidth limit攻击 |
| 25 | 总流量限流 |
| 26 | HTTPS Flood攻击 |
| 27 | HTTP Flood攻击 |
| 28 | 保留 |
| 29 | DNS Query Flood攻击 |
| 30 | DNS Reply Flood攻击 |
| 31 | Sip Flood攻击 |
| 32 | 黑名单丢弃 |
| 33 | HTTP URL行为异常 |
| 34 | TCP分片abnormal丢弃流量 |
| 35 | TCP abnormal丢弃流量 |
| 36 | UDP分片abnormal丢弃流量 |
| 37 | UDP abnormal丢弃流量 |
| 38 | ICMP abnormal攻击 |
| 39 | Other abnormal攻击 |
| 40 | Connection Flood攻击 |
| 41 | 域名劫持攻击 |
| 42 | DNS投毒攻击报文 |
| 43 | DNS反射攻击 |
| 44 | 超大DNS报文攻击 |
| 45 | DNS源请求速率异常 |
| 46 | DNS源回应速率异常 |
| 47 | DNS域名请求速率异常 |
| 48 | DNS域名回应包速率异常 |
| 49 | DNS请求报文TTL异常 |
| 50 | DNS报文格式异常 |
| 51 | DNS Cache匹配丢弃攻击 |
| 52 | 端口扫描攻击 |
| 53 | TCP Abnormal攻击(tcp 报文标记位异常) |
| 54 | BGP攻击 |
| 55 | UDP关联防范异常 |
| 56 | DNS NO such Name异常 |
| 57 | Other 指纹攻击 |
| 58 | 防护对象限流攻击 |
| 59 | HTTP慢速攻击 |
| 60 | 恶意软件防范 |
| 61 | 域名阻断 |
| 62 | FILTER过滤 |
| 63 | Web攻击抓包 |
| 64 | SIP源限速攻击 |
