管理全量日志
启用全量日志后,您可以将攻击日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。
LTS对于采集的日志数据,通过海量日志数据的分析与处理,可以为您提供一个实时、高效、安全的日志处理能力。LTS默认存储日志的时间为7天,存储时间可以在1~30天之间进行设置,超出存储时间的日志数据将会被自动删除,对于需要长期存储的日志数据(日志持久化),LTS提供转储功能,可以将日志转储至对象存储服务(OBS)或者数据接入服务(DIS)中长期保存。
- 在LTS管理控制台,您可以查看最近30天的防护日志、下载5天内的防护日志数据。
- LTS按流量单独计费。有关LTS的计费详情,请参见LTS价格详情。
- 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能开启该企业项目的全量日志。
- 将防护日志配置到LTS请参见将防护日志配置到LTS。
- 在LTS管理控制台查看日志数据请参见在LTS上查看防护日志。
- 边缘安全支持HTTP攻击日志和DDoS攻击日志:
- HTTP攻击日志字段说明请参见HTTP攻击日志字段说明。
- DDoS攻击日志字段说明请参见DDoS攻击日志字段说明。
前提条件
已添加防护网站,详情操作请参见添加防护网站 。
在LTS上查看防护日志
- 登录管理控制台。
- 单击页面左上方的,选择“日志管理”页面。 ,进入
- 在日志组列表中,单击展开日志组(例如,“lts-group-EdgeSec”)。
- 查看攻击日志。
- 在日志流列表,单击配置的攻击日志流名称。
图1 单击攻击日志流名称
- 查看攻击日志。
- 在日志流列表,单击配置的攻击日志流名称。
HTTP攻击日志字段说明
字段 |
类型 |
字段说明 |
描述 |
---|---|---|---|
id |
string |
攻击事件id |
- |
geo |
string |
地理位置 |
其中c表示国家,r表示省份。 |
sip |
string |
攻击源ip |
- |
attackTime |
string |
攻击时间 |
- |
tenantId |
string |
租户id |
- |
host |
string |
域名 |
- |
hostId |
string |
域名id |
- |
enterpriseProjectId |
string |
企业项目id |
- |
projectId |
string |
租户所在region的项目id |
- |
siteSn |
string |
站点名 |
- |
rule |
string |
规则id |
- |
ruleName |
sting |
规则名 |
- |
method |
string |
攻击请求方法 |
- |
url |
string |
攻击请求url |
- |
requestHeader |
string |
攻击请求头 |
- |
requestParams |
string |
攻击请求参数 |
- |
cookie |
string |
攻击请求cookie |
- |
requestBody |
string |
攻击请求体 |
- |
status |
string |
攻击响应码 |
Nginx作为Web服务器时,会处理客户端的请求并返回该响应码。 |
responseHeaders |
string |
攻击响应头 |
- |
responseBody |
string |
攻击响应体 |
- |
responseSize |
long |
攻击响应体大小 |
- |
upstreamStatus |
string |
上游服务器攻击响应码 |
Nginx作为反向代理服务器时,客户端的请求转发给上游服务器,由上游服务器返回的响应码。 |
upstreamResponseTime |
string |
攻击响应时间 |
- |
processTime |
string |
攻击处理时间 |
- |
attackCount |
long |
攻击数 |
- |
attackCategory |
string |
攻击类别 |
- |
attack |
string |
攻击详情 |
attack中的key和value分别表示攻击类型和攻击数,action中的key和value分别表示该攻击类型的防护动作和防护次数。 |
maliciousData |
string |
触发规则的恶意数据 |
- |
maliciousLocation |
string |
恶意数据位置 |
- |
policyId |
string |
策略id |
- |
DDoS攻击日志字段说明
字段 |
类型 |
字段说明 |
描述 |
---|---|---|---|
id |
string |
受攻击目的ip |
- |
attackTime |
long |
攻击时间 |
- |
tenantId |
string |
租户id |
- |
siteId |
string |
站点id |
- |
attackType |
string |
攻击来源类型 |
- |
avgBps |
long |
攻击流量带宽平均值 |
- |
avgPps |
long |
攻击数据包转发数平均值 |
- |
maxBps |
long |
攻击流量带宽最大值 |
- |
maxPps |
long |
攻击数据包转发数最大值 |
- |
日志标签字段说明
字段 |
类型 |
字段说明 |
描述 |
---|---|---|---|
_resource_id |
string |
资源id |
表示攻击来源,当前支持HTTP和DDoS。 |
_resource_name |
string |
资源名称 |
表示日志类型,当前仅支持攻击日志(attack-log)。 |
_service_type |
string |
服务类型 |
表示云服务类型,当前边缘安全属于EdgeSec云服务。 |