您可以在DDoS高防IP控制台为网站开启DDos高防日志采集功能。

前提条件

  1. 开通DDos高防IP产品,购买DDoS高防实例,并配置上线
  2. 开通日志服务产品。

背景信息

日志服务支持实时采集阿里云DDoS高防IP的网站访问日志、CC攻击日志,并支持对采集到的日志数据进行实时检索与分析,并以仪表盘形式展示查询结果,通过日志对访问和攻击行为进行即时分析研究、协助安全部门制定防护策略。

操作步骤

  1. 登录云盾DDoS防护管理控制台,在左侧导航栏中选择日志 > 全量日志,进入全量日志页面。
  2. 若您是第一次配置DDoS高防日志采集功能,请根据页面提示授权。
    授权后DDoS有权限将DDos高防日志分发到您的Logstore中。
  3. 选择您需要开启DDoS高防日志采集功能的网站,并开启右侧的状态开关。
    图 1. 开启功能

    至此,您已成功为当前网站开启了DDoS高防日志采集功能。日志服务会在您的账号下为您自动创建一个专属日志库和专属Logstore,DDoS会将所有开启了该功能的网站高防日志导入到这个专属日志库中。专属日志库和专属Logstore等默认配置请参见默认配置

    表 1. 默认配置
    默认配置项 配置内容
    Project 默认为您创建Projectddos-pro-logstore
    Logstore 默认为您创建Logstore。Logstore名称由您购买的DDoS的所在地域决定。
    • 大陆地域的DDoS实例:ddos-pro-project-阿里云账户ID-cn-hangzhou
    • 其他地域的DDoS实例:ddos-pro-project-阿里云账户ID-ap-southeast-1

    DDoS高防IP日志采集功能产生的所有日志都会保存在这个Logstore中。
    地域
    • DDoS地域为中国大陆地区的,默认Project默认保存在杭州地域。
    • DDoS地域为其他地区的,默认Project默认保存在新加坡地域。
    Shard 默认为您创建2个Shard,并开启自动分裂Shard 功能。
    日志存储时间 默认保存3天,在免费额度之内。3天以上的日志自动删除。

    若您需要更长的存储时间,可以自定义修改。详细步骤请参考费用说明中的如何修改网站日志的存储时间部分。

    仪表盘 默认为您创建两个仪表盘,分别为:
    • ddos-pro-logstore_ddos_operation_center:运营中心
    • ddos-pro-logstore_ddos_access_center:访问中心
    关于仪表盘的更多信息,请参考DDoS高防日志-日志报表

    您可以在当前的全量日志页面对采集到的日志进行实时查询与分析等操作,日志字段说明请查看下图。另外,日志服务为您创建了DDoS运营中心和访问中心两个仪表盘,您也可以自定义配置仪表盘。

    字段 说明 示例
    __topic__ 日志主题(Topic),固定为ddos_access_log。 -
    body_bytes_sent 请求发送Body的大小,单位为字节。 2
    content_type 内容类型。 application/x-www-form-urlencoded
    host 源网站。 api.zhihu.com
    http_cookie 请求cookie。 k1=v1;k2=v2
    http_referer 请求referer,若没有,显示为- http://xyz.com
    http_user_agent 请求User Agent。 Dalvik/2.1.0 (Linux; U; Android 7.0; EDI-AL10 Build/HUAWEIEDISON-AL10)
    http_x_forwarded_for 通过代理跳转的上游用户IP。 -
    https 该请求是否为HTTPS请求,其中:
    • true:该请求是HTTPS请求。
    • false:该请求是HTTP请求。
    		 true
    matched_host 匹配的配置的源站,可能是泛域名。未匹配则为- *.zhihu.com
    real_client_ip 访问客户的真实IP,获取不到时为- 1.2.3.4
    isp_line 线路信息,例如BGP、电信、联通等。 电信
    remote_addr 请求连接的客户端IP。 1.2.3.4
    remote_port 请求连接的客户端端口号。 23713
    request_length 请求长度,单位为字节。 123
    request_method 请求的HTTP方法。 GET
    request_time_msec 请求时间,单位为微秒。 44
    request_uri 请求路径。 /answers/377971214/banner
    server_name 匹配到的host名,没有匹配到则为default api.abc.com
    status HTTP状态。 200
    time 时间。 2018-05-02T16:03:59+08:00
    cc_action CC防护策略行为,例如none、challenge、pass、close、captcha、wait、login、n等。 close
    cc_blocks 表示CC防护是否阻止,其中:
    • 1表示阻止。
    • 其他内容表示通过。
    		 1
    cc_phase CC防护策略,包括seccookie、server_ip_blacklist、static_whitelist、 server_header_blacklist、server_cookie_blacklist、server_args_blacklist、qps_overmax等。 server_ip_blacklist
    ua_browser 浏览器。 ie9
    ua_browser_family 浏览器系列。 internet explorer
    ua_browser_type 浏览器类型。 web_browser
    ua_browser_version 浏览器版本。 9.0
    ua_device_type 客户端设备类型。 computer
    ua_os 客户端操作系统。 windows_7
    ua_os_family 客户端操作系统系列。 windows
    upstream_addr 回源地址列表,格式为IP:Port,多个地址用逗号分隔。 1.2.3.4:443
    upstream_ip 实际回源地址IP。 1.2.3.4
    upstream_response_time 回源响应时间,单位为秒。 0.044
    upstream_status 回源请求HTTP状态。 200
    user_id 阿里云AliUID。 12345678
    querystring 请求字符串。 token=bbcd&abc=123

下一步

  • 单击日志分析查询分析采集到的日志数据。
  • 单击日志报表,查看内置仪表盘
  • 单击高级管理,跳转到日志服务控制台,对您采集到的日志数据进行查询、统计、流式消费、设置告警等多样化处理。