管理全量日志
启用全量日志后,您可以将攻击日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。
LTS对于采集的日志数据,通过海量日志数据的分析与处理,可以为您提供一个实时、高效、安全的日志处理能力。LTS默认存储日志的时间为7天,存储时间可以在1~30天之间进行设置,超出存储时间的日志数据将会被自动删除,对于需要长期存储的日志数据(日志持久化),LTS提供转储功能,可以将日志转储至对象存储服务(OBS)或者数据接入服务(DIS)中长期保存。
- 在LTS管理控制台,您可以查看最近30天的防护日志、下载5天内的防护日志数据。
- LTS按流量单独计费。有关LTS的计费详情,请参见LTS价格详情。
- 如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能开启该企业项目的全量日志。
- 当前边缘安全LTS全量日志功能仅支持在华北-北京四区域的LTS使用。
- 将防护日志配置到LTS请参见将防护日志配置到LTS。
- 在LTS管理控制台查看日志数据请参见在LTS上查看防护日志。
- 边缘安全支持HTTP攻击日志和DDoS攻击日志:
- HTTP攻击日志字段说明请参见HTTP攻击日志字段说明。
- DDoS攻击日志字段说明请参见DDoS攻击日志字段说明。
前提条件
已添加防护网站,详情操作请参见添加防护网站 。
在LTS上查看防护日志
- 登录管理控制台。
- 单击页面左上方的
,选择,进入“日志管理”页面。 - 在日志组列表中,单击
展开日志组(例如,“lts-group-EdgeSec”)。 - 查看攻击日志。
- 在日志流列表,单击配置的攻击日志流名称。 图1 单击攻击日志流名称
- 查看攻击日志。
- 在日志流列表,单击配置的攻击日志流名称。
HTTP攻击日志字段说明
字段 | 类型 | 字段说明 | 描述 |
|---|---|---|---|
id | string | 攻击事件id | - |
geo | string | 地理位置 | 其中c表示国家,r表示省份。 |
sip | string | 攻击源ip | - |
attackTime | string | 攻击时间 | - |
tenantId | string | 租户id | - |
host | string | 域名 | - |
hostId | string | 域名id | - |
enterpriseProjectId | string | 企业项目id | - |
projectId | string | 租户所在region的项目id | - |
siteSn | string | 站点名 | - |
rule | string | 规则id | - |
ruleName | string | 规则名 | - |
method | string | 攻击请求方法 | - |
url | string | 攻击请求url | - |
requestHeader | string | 攻击请求头 | - |
requestParams | string | 攻击请求参数 | - |
cookie | string | 攻击请求cookie | - |
requestBody | string | 攻击请求体 | - |
status | string | 攻击响应码 | Nginx作为Web服务器时,会处理客户端的请求并返回该响应码。 |
responseHeaders | string | 攻击响应头 | - |
responseBody | string | 攻击响应体 | - |
responseSize | long | 攻击响应体大小 | - |
upstreamStatus | string | 上游服务器攻击响应码 | Nginx作为反向代理服务器时,客户端的请求转发给上游服务器,由上游服务器返回的响应码。 |
upstreamResponseTime | string | 攻击响应时间 | - |
processTime | string | 攻击处理时间 | - |
attackCount | long | 攻击数 | - |
attackCategory | string | 攻击类别 | - |
attack | string | 攻击详情 | attack中的key和value分别表示攻击类型和攻击数,action中的key和value分别表示该攻击类型的防护动作和防护次数。 |
maliciousData | string | 触发规则的恶意数据 | - |
maliciousLocation | string | 恶意数据位置 | - |
policyId | string | 策略id | - |
DDoS攻击日志字段说明
字段 | 类型 | 字段说明 | 描述 |
|---|---|---|---|
id | string | 受攻击目的ip | - |
attackTime | long | 攻击时间 | - |
tenantId | string | 租户id | - |
siteId | string | 站点id | - |
attackType | string | 攻击来源类型 | - |
avgBps | long | 攻击流量带宽平均值 | - |
avgPps | long | 攻击数据包转发数平均值 | - |
maxBps | long | 攻击流量带宽最大值 | - |
maxPps | long | 攻击数据包转发数最大值 | - |
日志标签字段说明
字段 | 类型 | 字段说明 | 描述 |
|---|---|---|---|
_resource_id | string | 资源id | 表示攻击来源,当前支持HTTP和DDoS。 |
_resource_name | string | 资源名称 | 表示日志类型,当前仅支持攻击日志(attack-log)。 |
_service_type | string | 服务类型 | 表示云服务类型,当前边缘安全属于EdgeSec云服务。 |
