开启日志记录
启用DDoS高防功能后,您可以将攻击日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的AAD日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。
约束与限制
1个日志流只能记录1种类型的日志,如果需要同时记录攻击日志和攻击详情,请创建2个日志流。
开启DDoS高防日志
- 登录AAD服务控制台。
- 在左侧导航栏选择,进入“概览”页面。
- 在“日志”页签,单击“对接LTS配置”。
- 配置日志对接信息,相关参数说明如图1所示。
表1 日志配置参数 参数
参数说明
日志组Region
选择日志组所属的Region。
日志类型
勾选需要记录的日志类型。
选择日志组
日志组(LogGroup)是云日志服务进行日志管理的基本单位,用于对日志流进行分类,一个日志组下面可以创建多个日志流。日志组本身不存储任何日志数据,仅方便用户管理日志流。
选择已创建的日志组,或单击“创建日志组”,跳转到LTS管理控制台创建新的日志组。
实例攻击日志
日志流(LogStream)是日志读写的基本单位。日志采集后,以日志流为单位,将不同类型的日志分类存储在不同的日志流上,方便对日志进一步分类管理。
请选择一个日志流用于记录实例攻击日志。
实例攻击详情
请选择一个日志流用于记录实例攻击详情。
- 单击“确定”,日志配置成功。
日志字段说明
本章节介绍了DDoS高防日志包含的日志字段。
| 字段 | 说明 |
|---|---|
| ip | 被攻击IP。 |
| ip_id | 被攻击IP的ID。 |
| attack_type | 攻击的类型。 |
| attack_protocol | 该字段尚未使用,默认是0。 |
| attack_start_time | 攻击开始时间,毫秒级时间戳。 |
| attack_status | 攻击状态。
|
| drop_kbits | 分钟级别的最大攻击流量,单位“bit”。 |
| attack_pkts | 分钟级别的最大攻击报文数。 |
| duration_elapse | 已结束安全事件的持续时间,单位“秒”。 |
| end_time | 攻击结束时间,毫秒级时间戳。未结束的安全事件,该字段为0。 |
| max_drop_kbps | 攻击流量的峰值,单位“kbps”。 |
| max_drop_pps | 攻击报文的峰值,单位“pps”。 |
| 字段 | 说明 |
|---|---|
| attackStatus | 攻击状态。 |
| attackType | 攻击状态。
|
| attackTypeDescCn | 攻击类型(中文)。 |
| attackTypeDescEn | 攻击类型(英文)。 |
| attackUnit | 攻击单位。 |
| attacker | 攻击来源。 |
| attackerKbps | 攻击流量峰值,单位“kbps”。 |
| attackerPps | 攻击流量峰值,单位“pps”。 |
| direction | 日志方向。
|
| dropKbits | 丢弃的流量总数,单位“kbits”。 |
| dropPackets | 丢弃的报文总数。 |
| duration | 攻击持续时间,单位“秒”。 |
| handleTime | 处理日志时间。 |
| logTime | 日志时间。 |
| logType | 日志类型。 |
| maxDropKbps | IP丢弃流量峰值,单位“kbps”。 |
| maxDropPps | IP丢弃流量峰值,单位“pps”。 |
| port | 端口号。 |
| startTimeAlert | 异常开始时间。 |
| timeScale | 时间标识(处理分钟级或小时级数据的标识)。 |
| valid | 是否成功解析到日志。 |
| writeTime | 持久化时间。 |
| zoneIP | 防护IP。 |
| startTimeAttack | 攻击开始时间。 |
| startTimeKey | 对于同一个攻击不同时间的唯一标识。 |
