管理全量日志
启用全量日志后,您可以将攻击日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。
LTS对于采集的日志数据,通过海量日志数据的分析与处理,可以为您提供一个实时、高效、安全的日志处理能力。LTS默认存储日志的时间为7天,存储时间可以在1~30天之间进行设置,超出存储时间的日志数据将会被自动删除,对于需要长期存储的日志数据(日志持久化),LTS提供转储功能,可以将日志转储至对象存储服务(OBS)或者数据接入服务(DIS)中长期保存。
- 在LTS管理控制台,您可以查看最近30天的防护日志、下载5天内的防护日志数据。
- LTS按流量单独计费。有关LTS的计费详情,请参见LTS价格详情。
- 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能开启该企业项目的全量日志。
- 将防护日志配置到LTS请参见将防护日志配置到LTS。
- 在LTS管理控制台查看日志数据请参见在LTS上查看防护日志。
- 边缘安全支持HTTP攻击日志和DDoS攻击日志:
- HTTP攻击日志字段说明请参见HTTP攻击日志字段说明。
- DDoS攻击日志字段说明请参见DDoS攻击日志字段说明。
前提条件
已添加防护网站,详情操作请参见添加防护网站 。
在LTS上查看防护日志
- 登录管理控制台。
- 单击页面左上方的
,选择,进入“日志管理”页面。 - 在日志组列表中,单击
展开日志组(例如,“lts-group-EdgeSec”)。 - 查看攻击日志。
- 在日志流列表,单击配置的攻击日志流名称。
图1 单击攻击日志流名称
- 查看攻击日志。
- 在日志流列表,单击配置的攻击日志流名称。
HTTP攻击日志字段说明
|
字段 |
类型 |
字段说明 |
描述 |
|---|---|---|---|
|
id |
string |
攻击事件id |
- |
|
geo |
string |
地理位置 |
其中c表示国家,r表示省份。 |
|
sip |
string |
攻击源ip |
- |
|
attackTime |
string |
攻击时间 |
- |
|
tenantId |
string |
租户id |
- |
|
host |
string |
域名 |
- |
|
hostId |
string |
域名id |
- |
|
enterpriseProjectId |
string |
企业项目id |
- |
|
projectId |
string |
租户所在region的项目id |
- |
|
siteSn |
string |
站点名 |
- |
|
rule |
string |
规则id |
- |
|
ruleName |
sting |
规则名 |
- |
|
method |
string |
攻击请求方法 |
- |
|
url |
string |
攻击请求url |
- |
|
requestHeader |
string |
攻击请求头 |
- |
|
requestParams |
string |
攻击请求参数 |
- |
|
cookie |
string |
攻击请求cookie |
- |
|
requestBody |
string |
攻击请求体 |
- |
|
status |
string |
攻击响应码 |
Nginx作为Web服务器时,会处理客户端的请求并返回该响应码。 |
|
responseHeaders |
string |
攻击响应头 |
- |
|
responseBody |
string |
攻击响应体 |
- |
|
responseSize |
long |
攻击响应体大小 |
- |
|
upstreamStatus |
string |
上游服务器攻击响应码 |
Nginx作为反向代理服务器时,客户端的请求转发给上游服务器,由上游服务器返回的响应码。 |
|
upstreamResponseTime |
string |
攻击响应时间 |
- |
|
processTime |
string |
攻击处理时间 |
- |
|
attackCount |
long |
攻击数 |
- |
|
attackCategory |
string |
攻击类别 |
- |
|
attack |
string |
攻击详情 |
attack中的key和value分别表示攻击类型和攻击数,action中的key和value分别表示该攻击类型的防护动作和防护次数。 |
|
maliciousData |
string |
触发规则的恶意数据 |
- |
|
maliciousLocation |
string |
恶意数据位置 |
- |
|
policyId |
string |
策略id |
- |
DDoS攻击日志字段说明
|
字段 |
类型 |
字段说明 |
描述 |
|---|---|---|---|
|
id |
string |
受攻击目的ip |
- |
|
attackTime |
long |
攻击时间 |
- |
|
tenantId |
string |
租户id |
- |
|
siteId |
string |
站点id |
- |
|
attackType |
string |
攻击来源类型 |
- |
|
avgBps |
long |
攻击流量带宽平均值 |
- |
|
avgPps |
long |
攻击数据包转发数平均值 |
- |
|
maxBps |
long |
攻击流量带宽最大值 |
- |
|
maxPps |
long |
攻击数据包转发数最大值 |
- |
日志标签字段说明
|
字段 |
类型 |
字段说明 |
描述 |
|---|---|---|---|
|
_resource_id |
string |
资源id |
表示攻击来源,当前支持HTTP和DDoS。 |
|
_resource_name |
string |
资源名称 |
表示日志类型,当前仅支持攻击日志(attack-log)。 |
|
_service_type |
string |
服务类型 |
表示云服务类型,当前边缘安全属于EdgeSec云服务。 |
