本文介绍DDoS防护访问日志的字段详情。

DDoS高防(新BGP)

日志字段说明
__topic__日志主题,固定为ddoscoo_access_log。
owner_id阿里云账号ID
body_bytes_sent请求Body的大小,单位:字节。
cc_actionCC防护策略行为,例如none、challenge、pass、close、captcha、wait、login等。
cc_phaseCC防护策略,包括seccookie、server_ip_blacklist、static_whitelist、server_header_blacklist、server_cookie_blacklist、server_args_blacklist、qps_overmax等。
cc_blocks是否被CC防护策略阻断。包括:
  • 1表示阻断。
  • 其他内容表示通过。
content_type内容类型
host源网站
http_cookie请求Cookie
http_referer请求Referer。如果HTTP Header中没有Referer,则显示为短划线(-)。
http_user_agent请求User Agent
http_x_forwarded_for通过代理跳转的上游用户的IP地址。
https该请求是否为HTTPS请求。取值如下:
  • true:该请求是HTTPS请求。
  • false:该请求是HTTP请求。
isp_line线路信息,例如BGP、电信、联通等。
matched_host匹配到的源站,可能是泛域名。如果未匹配,则显示为短划线(-)。
real_client_ip客户端的真实IP地址。如果获取不到,则显示为短划线(-)。
threat_real_client_ip客户端的真实IP地址的威胁情报。更多信息,请参见威胁情报字段
remote_addr请求连接的客户端IP地址
remote_port请求连接的客户端端口号
request_length请求长度,单位:字节。
request_method请求的HTTP方法
request_time_msec请求时间,单位:毫秒。
request_uri请求路径
server_name匹配到的host名。如果未匹配,则显示为default。
statusHTTP状态
time时间
ua_browser浏览器
ua_browser_family浏览器系列
ua_browser_type浏览器类型
ua_device_type客户端设备类型
ua_os客户端操作系统
ua_os_family客户端操作系统系列
upstream_addr回源地址列表,格式为IP:Port。

多个地址之间以英文逗号(,)分隔。

upstream_ip实际回源地址IP地址
upstream_response_time回源响应时间,单位:秒。
upstream_status回源请求HTTP状态

DDoS高防(国际)

日志字段说明
__topic__日志主题,固定为ddosdip_access_log。
owner_id阿里云账号ID
body_bytes_sent请求Body的大小,单位:字节。
cc_actionCC防护策略行为,例如none、challenge、pass、close、captcha、wait、login等。
cc_phaseCC防护策略,包括seccookie、server_ip_blacklist、static_whitelist、server_header_blacklist、server_cookie_blacklist、server_args_blacklist、qps_overmax等。
cc_blocks是否被CC防护策略阻断。包括:
  • 1表示阻断。
  • 其他内容表示通过。
content_type内容类型
host源网站
http_cookie请求Cookie
http_referer请求Referer。如果HTTP Header中没有Referer,则显示为短划线(-)。
http_user_agent请求User Agent
http_x_forwarded_for通过代理跳转的上游用户的IP地址。
https该请求是否为HTTPS请求。取值如下:
  • true:该请求是HTTPS请求。
  • false:该请求是HTTP请求。
isp_line线路信息,例如BGP、电信、联通等。
matched_host匹配到的源站,可能是泛域名。如果未匹配,则显示为短划线(-)。
real_client_ip客户端的真实IP地址。如果获取不到,则显示为短划线(-)。
threat_real_client_ip客户端的真实IP地址的威胁情报。更多信息,请参见威胁情报字段
remote_addr请求连接的客户端IP地址
remote_port请求连接的客户端端口号
request_length请求长度,单位:字节。
request_method请求的HTTP方法
request_time_msec请求时间,单位:毫秒。
request_uri请求路径
server_name匹配到的Host名。如果未匹配,则显示为default。
statusHTTP状态
time时间
ua_browser浏览器
ua_browser_family浏览器系列
ua_browser_type浏览器类型
ua_device_type客户端设备类型
ua_os客户端操作系统
ua_os_family客户端操作系统系列
upstream_addr回源地址列表,格式为IP:Port。

多个地址之间以英文逗号(,)分隔。

upstream_ip实际回源地址IP地址
upstream_response_time回源响应时间,单位:秒。
upstream_status回源请求HTTP状态

DDoS原生

字段说明
__topic__日志主题,固定为ddosbqp_access_log。
data_type日志类型
event_type事件类型
ip事件发生的IP地址
subnet代播的网段
event_time事件发生时的时间,例如2020-01-01。
qps事件发生时的每秒查询率
pps_in事件发生时的入流量,单位:pps。
new_con事件发生时的新连接
kbps_in事件发生时的入流量,单位:bps。
instance_id实例ID
time日志时间,例如2020-07-17 10:00:30。
destination_ip目的IP地址
port目的端口
total_traffic_in_bps总入流量,单位:bps。
total_traffic_drop_bps总入流量的丢弃量,单位:bps。
total_traffic_in_pps总入流量,单位:pps。
total_traffic_drop_pps总入流量的丢弃量,单位:pps。
pps_types_in_tcp_pps按协议统计的tcp类型入流量,单位:pps。
pps_types_in_udp_pps按协议统计的udp类型入流量,单位:pps。
pps_types_in_icmp_pps按协议统计的icmp类型入流量,单位:pps。
pps_types_in_syn_pps按协议统计的syn类型入流量,单位:pps。
pps_types_in_ack_pps按协议统计的ack类型入流量,单位:pps。
user_id阿里云账号ID