开启日志记录
启用DDoS高防功能后,您可以将攻击日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的AAD日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。
约束与限制
1个日志流只能记录1种类型的日志,如果需要同时记录攻击日志和攻击详情,请创建2个日志流。
开启DDoS高防日志
- 登录AAD服务控制台。
- 在左侧导航栏选择,进入“概览”页面。
- 在“日志”页签,单击“对接TLS配置”。
- 配置日志对接信息,相关参数说明如图1所示。
表1 日志配置参数 参数
参数说明
日志组Region
选择日志组所属的Region。
日志类型
勾选需要记录的日志类型。
选择日志组
日志组(LogGroup)是云日志服务进行日志管理的基本单位,用于对日志流进行分类,一个日志组下面可以创建多个日志流。日志组本身不存储任何日志数据,仅方便用户管理日志流。
选择已创建的日志组,或单击“创建日志组”,跳转到LTS管理控制台创建新的日志组。
实例攻击日志
日志流(LogStream)是日志读写的基本单位。日志采集后,以日志流为单位,将不同类型的日志分类存储在不同的日志流上,方便对日志进一步分类管理。
请选择一个日志流用于记录实例攻击日志。
实例攻击详情
请选择一个日志流用于记录实例攻击详情。
- 单击“确定”,日志配置成功。
日志字段说明
本章节介绍了DDoS高防日志包含的日志字段。
|
字段 |
说明 |
|---|---|
|
ip |
被攻击IP。 |
|
ip_id |
被攻击IP的ID。 |
|
attack_type |
攻击的类型。 |
|
attack_protocol |
该字段尚未使用,默认是0。 |
|
attack_start_time |
攻击开始时间,毫秒级时间戳。 |
|
attack_status |
攻击状态。
|
|
drop_kbits |
分钟级别的最大攻击流量,单位“bit”。 |
|
attack_pkts |
分钟级别的最大攻击报文数。 |
|
duration_elapse |
已结束安全事件的持续时间,单位“秒”。 |
|
end_time |
攻击结束时间,毫秒级时间戳。未结束的安全事件,该字段为0。 |
|
max_drop_kbps |
攻击流量的峰值,单位“kbps”。 |
|
max_drop_pps |
攻击报文的峰值,单位“pps”。 |
|
字段 |
说明 |
|---|---|
|
attackStatus |
攻击状态。 |
|
attackType |
攻击状态。
|
|
attackTypeDescCn |
攻击类型(中文)。 |
|
attackTypeDescEn |
攻击类型(英文)。 |
|
attackUnit |
攻击单位。 |
|
attacker |
攻击来源。 |
|
attackerKbps |
攻击流量峰值,单位“kbps”。 |
|
attackerPps |
攻击流量峰值,单位“pps”。 |
|
direction |
日志方向。
|
|
dropKbits |
丢弃的流量总数,单位“kbits”。 |
|
dropPackets |
丢弃的报文总数。 |
|
duration |
攻击持续时间,单位“秒”。 |
|
handleTime |
处理日志时间。 |
|
logTime |
日志时间。 |
|
logType |
日志类型。 |
|
maxDropKbps |
IP丢弃流量峰值,单位“kbps”。 |
|
maxDropPps |
IP丢弃流量峰值,单位“pps”。 |
|
port |
端口号。 |
|
startTimeAlert |
异常开始时间。 |
|
timeScale |
时间标识(处理分钟级或小时级数据的标识)。 |
|
valid |
是否成功解析到日志。 |
|
writeTime |
持久化时间。 |
|
zoneIP |
防护IP。 |
|
startTimeAttack |
攻击开始时间。 |
|
startTimeKey |
对于同一个攻击不同时间的唯一标识。 |
