开启日志记录
启用DDoS高防功能后,您可以将攻击日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的AAD日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。
约束与限制
1个日志流只能记录1种类型的日志,如果需要同时记录攻击日志和攻击详情,请创建2个日志流。
开启DDoS高防日志
- 登录AAD服务控制台。
- 在左侧导航栏选择,进入“概览”页面。
- 在“日志”页签,单击“对接LTS配置”。
- 配置日志对接信息,相关参数说明如图1所示。
表1 日志配置参数 参数
参数说明
日志组Region
选择日志组所属的Region。
日志类型
勾选需要记录的日志类型。
选择日志组
日志组(LogGroup)是云日志服务进行日志管理的基本单位,用于对日志流进行分类,一个日志组下面可以创建多个日志流。日志组本身不存储任何日志数据,仅方便用户管理日志流。
选择已创建的日志组,或单击“创建日志组”,跳转到LTS管理控制台创建新的日志组。
实例攻击日志
日志流(LogStream)是日志读写的基本单位。日志采集后,以日志流为单位,将不同类型的日志分类存储在不同的日志流上,方便对日志进一步分类管理。
请选择一个日志流用于记录实例攻击日志。
实例攻击详情
请选择一个日志流用于记录实例攻击详情。
- 单击“确定”,日志配置成功。
日志字段说明
本章节介绍了DDoS高防日志包含的日志字段。
字段 | 说明 |
|---|---|
ip | 被攻击IP。 |
ip_id | 被攻击IP的ID。 |
attack_type | 攻击的类型。 |
attack_protocol | 该字段尚未使用,默认是0。 |
attack_start_time | 攻击开始时间,毫秒级时间戳。 |
attack_status | 攻击状态。
|
drop_kbits | 分钟级别的最大攻击流量,单位“bit”。 |
attack_pkts | 分钟级别的最大攻击报文数。 |
duration_elapse | 已结束安全事件的持续时间,单位“秒”。 |
end_time | 攻击结束时间,毫秒级时间戳。未结束的安全事件,该字段为0。 |
max_drop_kbps | 攻击流量的峰值,单位“kbps”。 |
max_drop_pps | 攻击报文的峰值,单位“pps”。 |
字段 | 说明 |
|---|---|
attackStatus | 攻击状态。 |
attackType | 攻击状态。
|
attackTypeDescCn | 攻击类型(中文)。 |
attackTypeDescEn | 攻击类型(英文)。 |
attackUnit | 攻击单位。 |
attacker | 攻击来源。 |
attackerKbps | 攻击流量峰值,单位“kbps”。 |
attackerPps | 攻击流量峰值,单位“pps”。 |
direction | 日志方向。
|
dropKbits | 丢弃的流量总数,单位“kbits”。 |
dropPackets | 丢弃的报文总数。 |
duration | 攻击持续时间,单位“秒”。 |
handleTime | 处理日志时间。 |
logTime | 日志时间。 |
logType | 日志类型。 |
maxDropKbps | IP丢弃流量峰值,单位“kbps”。 |
maxDropPps | IP丢弃流量峰值,单位“pps”。 |
port | 端口号。 |
startTimeAlert | 异常开始时间。 |
timeScale | 时间标识(处理分钟级或小时级数据的标识)。 |
valid | 是否成功解析到日志。 |
writeTime | 持久化时间。 |
zoneIP | 防护IP。 |
startTimeAttack | 攻击开始时间。 |
startTimeKey | 对于同一个攻击不同时间的唯一标识。 |
