DDoS原生防护日志字段有哪些和是什么_DDoS防护(Anti-DDoS)-阿里云帮助中心

本文介绍了DDoS原生防护日志中包含的所有字段的说明。

DDoS原生防护的所有日志字段按照功能划分为以下类型：

事件类字段：表示与被防护资产上发生的清洗、黑洞、代播防护事件相关的字段，包含事件的时间、状态等信息。
流量检测类字段：表示与被防护资产上产生的流量数据相关的字段，例如，入方向流量的宽带速率、不同类型数据包的包转发率等。
流量清洗类字段：表示与流量清洗过程相关的字段，包含流量清洗过程中由不同防护策略丢弃、放行的流量数据。

事件类字段

名称	说明	取值示例
data_type	数据类型。取值： Global_SC_Detection：表示从高防清洗中心流入的流量数据（代播模式中）。 Global_SC_Mitigation：表示通过高防清洗中心清洗的流量数据（代播模式中）。 Regional_SC_Detection：表示阿里云资产所在地域的入流量数据。 Regional_SC_Mitigation：表示阿里云资产所在地域的清洗流量数据。 event：表示攻击事件数据。	Regional_SC_Mitigation
event_time	事件发生时间。使用时间戳格式表示，单位：秒。	1624434027
event_type	事件类型。取值： mitigation_begin：表示清洗事件开始。 mitigation_ended：表示清洗事件结束。 blackhole_begin：表示黑洞事件开始。 blackhole_ended：表示黑洞事件结束。	mitigation_begin
instance_id	DDoS原生防护实例的ID。	ddosbgp-cn-n6w203qg****
ip	被防护的资产IP。	39.XX.XX.23
kbps_in	入方向流量宽带速率，单位：kbps。	1000
new_con	新建连接数量。	1000
pps_in	入方向数据包包转发率，单位：pps。	1000
qps	每秒查询数，单位：qps。	1000
scrubbing_center	流量清洗中心所在地域。取值： us_west：表示美国（弗吉尼亚）。 us_east：表示美国（硅谷）。 frankfurt：表示德国（法兰克福）。 hk：表示中国（香港）。 singapore：表示新加坡。 malaysia：表示马来西亚（吉隆坡）。 uk：表示英国（伦敦）。 japan：表示日本（东京）。 total_summary ：表示全部地域。 assets_base_region：表示资产所在地域。	us_west
subnet	代播防护模式下，对应事件的网段。	1.XX.XX.1/24
user_id	阿里云账号ID。	170457416359****

流量检测类字段

名称	说明	取值示例
Ip	流量来源IP地址。	1.XX.XX.1
Time	流量检测日志的统计时间。使用时间戳格式表示，单位：秒。	1624434027
KbpsIn	在统计时间，入方向流量的宽带速率，单位：Kbps。	1000
KbpsOut	在统计时间，出方向流量的宽带速率，单位：Kbps。	1000
PpsIn	在统计时间，入方向全部数据包的包转发率，单位：pps。	1000
PpsOut	在统计时间，出方向全部数据包的包转发率，单位：pps。	1000
PpsInSyn	在统计时间，入方向SYN数据包的包转发率，单位：pps。	1000
PpsInSynack	在统计时间，入方向SYN-ACK数据包的包转发率，单位：pps。	1000
PpsInFin	在统计时间，入方向FIN、RST数据包的包转发率，单位：pps。	1000
PpsInHttpReq	在统计时间，同时满足以下特征的入方向TCP数据包的包转发率（单位：pps）：不是SYN、SYN-ACK、FIN、RST数据包。源端口或目的端口为：80、3128、8080、8088。包含payload，且http_payload的前几个字节为：GET、PUT、HEAD、POST。	1000
PpsInHttpResp	在统计时间，同时满足以下特征的入方向TCP数据包的包转发率（单位：pps）：不是SYN、SYN-ACK、FIN、RST数据包。源端口或目的端口为：80、3128、8080、8088。包含payload，且http_payload的前4个字节为：HTTP。	1000
PpsInHttpFlags	在统计时间，入方向的TCP ACK数据包（即不是SYN、SYN-ACK、FIN、RST数据包）的包转发率，单位：pps。	1000
PpsInIcmp	在统计时间，入方向ICMP数据包的包转发率，单位：pps。	1000
PpsInDns	在统计时间，入方向DNS数据包（使用UDP协议，且源或目的端口为53）的包转发率，单位：pps。	1000
PpsInUdprisk	在统计时间，命中高危UDP源端口的数据包的包转发率，单位：pps。	1000
PpsInUdpunknown	在统计时间，除PpsInDns外的入方向UDP数据包（使用UDP协议，且源或目的端口不是53）的包转发率，单位：pps。	1000

流量清洗类字段

名称	说明	取值示例
instance_id	DDoS原生防护实例的ID。	ddosbgp-cn-v641is26****
time	流量清洗记录的统计时间。使用时间戳格式表示，单位：秒。	1624434027
destination_ip	目的IP。	123.XX.XX.169
port	目的端口。取值： all（默认）：表示全部端口的数据。具体端口：表示针对某个具体端口（例如80）的数据。	80
total_traffic_in_bps	进入清洗过程的所有类型数据包的总字节数，单位：Bps（Byte per second）。	8000
total_traffic_drop_bps	经流量清洗过程丢弃的所有类型数据包的总字节数，单位：Bps（Byte per second）。	800
total_traffic_in_pps	入方向所有类型数据包的包转发率，单位：pps。	1000
total_traffic_drop_pps	被丢弃的所有类型数据包的包转发率，单位：pps。	1000
pps_types_in_tcp_pps	入方向TCP数据包的包转发率，单位：pps。	100
pps_types_in_udp_pps	入方向UDP数据包的包转发率，单位：pps。	1000
pps_types_in_icmp_pps	入方向ICMP数据包的包转发率，单位：pps。	1000
pps_types_in_syn_pps	入方向SYN数据包的包转发率，单位：pps。	1000
pps_types_in_ack_pps	入方向ACK数据包的包转发率，单位：pps。	1000
pps_types_in_synack_pps	入方向SYN-ACK数据包的包转发率，单位：pps。	1000
pps_types_in_finrst_pps	入方向FIN、RST数据包的包转发率，单位：pps。	1000
pps_types_in_dns_pps	入方向DNS数据包的包转发率，单位：pps。	1000
pps_types_drop_tcp_pps	被丢弃的TCP数据包的包转发率，单位：pps。	1000
pps_types_drop_udp_pps	被丢弃的UDP数据包的包转发率，单位：pps。	1000
pps_types_drop_icmp_pps	被丢弃的ICMP数据包的包转发率，单位：pps。	1100
pps_types_drop_syn_pps	被丢弃的SYN数据包的包转发率，单位：pps。	1000
pps_types_drop_ack_pps	被丢弃的ACK数据包的包转发率，单位：pps。	1000
pps_types_drop_synack_pps	被丢弃的SYN-ACK数据包的包转发率，单位：pps。	1000
pps_types_finrst	被丢弃的FIN-RST数据包的包转发率，单位：pps。	1000
pps_types_dns	被丢弃的DNS数据包的包转发率，单位：pps。	1000
policy_packet_checking_acct_pps	由包检查策略（默认）放行的数据包的包转发率，单位：pps。	1000
policy_packet_checking_drop_pps	由包检查策略（默认）丢弃的数据包的包转发率，单位：pps。	1000
policy_dns_retransmission_authentication_drop_pps	由域名首包丢弃策略（默认）丢弃的数据包的包转发率，单位：pps。	1000
policy_dns_retransmission_authentication_acct_pps	由域名首包丢弃策略（默认）放行的数据包的包转发率，单位：pps。	100
policy_source_ip_authentication_succeed_pps	由源IP认证策略（默认）检查成功的数据包的包转发率，单位：pps。	1000
policy_source_ip_authentication_checked_pps	由源IP认证策略（默认）正在检查的数据包的包转发率，单位：pps。	1000
policy_source_ip_authentication_acct_pps	由源IP认证策略（默认）放行的数据包的包转发率，单位：pps。	1000
policy_source_ip_authentication_drop_pps	由源IP认证策略（默认）丢弃的数据包的包转发率，单位：pps。	1000
policy_source_ip_rate_limitation_drop_syn_pps	由源IP限速策略（默认）丢弃的SYN数据包的包转发率，单位：pps。	1000
policy_source_ip_rate_limitation_drop_con_max_pps	超过源IP并发连接限速策略（默认）规定的最大连接数而被丢弃的数据包的包转发率，单位：pps。	1000
policy_source_ip_rate_limitation_drop_con_rate_pps	超过源IP并发连接限速策略（默认）规定的连接速率而被丢弃的数据包的包转发率，单位：pps。	1000
policy_source_ip_rate_limitation_drop_udp_rate_pps	由源IP UDP限速策略（默认）丢弃的数据包的包转发率，单位：pps。	1000
policy_source_ip_rate_limitation_drop_tcpack_rate_pps	由源IP ACK限速策略（默认）丢弃的数据包的包转发率，单位：pps。	1000
policy_source_ip_rate_limitation_drop_tcpsynack_rate_pps	由源IP SYN-ACK限速策略（默认）丢弃的数据包的包转发率，单位：pps。	1000
policy_destination_ip_rate_limitation_drop_syn_rate	由目的IP限速策略（默认）丢弃的SYN数据包的包转发率，单位：pps。	1000
policy_destination_ip_rate_limitation_drop_udp_rate	由目的IP限速策略（默认）丢弃的UDP数据包的宽带速率，单位：pps。	1000
policy_destination_ip_rate_limitation_drop_ack_rate	由目的IP限速策略（默认）丢弃的ACK数据包的宽带速率，单位：pps。	1000
policy_destination_ip_rate_limitation_drop_icmp_rate	由目的IP限速策略（默认）丢弃的ICMP数据包的宽带速率，单位：pps。	1000
policy_destination_ip_rate_limitation_drop_other_rate	由目的IP限速策略（默认）丢弃的其他类型（除UDP、ICMP、TCP-SYN、TCP-SYN-ACK、TCP-ACK外）数据包的包转发率，单位：pps。	1000
policy_destination_ip_rate_limitation_drop_synack_rate	由目的IP限速策略（默认）丢弃的SYN-ACK数据包的包转发率，单位：pps。	1000
policy_layer_4_filter_l4_filiter_drop_pps	由全部指纹过滤策略（在防护配置中自定义）丢弃的数据包的包转发率，单位：pps。	1000
policy_layer_4_filter_l4_filiter_acct_num	通过指纹过滤策略模块（在防护配置中自定义）放行的数据包的包转发率，单位：pps。	1000
policy_layer_4_filter_l4_filite_drop_rule_1_pps	由排序为1的指纹过滤策略（在防护配置中自定义）丢弃的数据包的包转发率，单位：pps。	1000
policy_layer_4_filter_l4_filite_drop_rule_2_pps	由排序为2的指纹过滤策略（在防护配置中自定义）丢弃的数据包的包转发率，单位：pps。	1000
policy_layer_4_filter_l4_filite_drop_rule_3_pps	由排序为3的指纹过滤策略（在防护配置中自定义）丢弃的数据包的包转发率，单位：pps。	1000
policy_layer_4_filter_l4_filite_drop_rule_4_pps	由排序为4的指纹过滤策略（在防护配置中自定义）丢弃的数据包的包转发率，单位：pps。	1000
policy_layer_4_filter_l4_filite_drop_rule_5_pps	由排序为5的指纹过滤策略（在防护配置中自定义）丢弃的数据包的包转发率，单位：pps。	1000
policy_layer_4_filter_l4_filite_drop_rule_6_pps	由排序为6的指纹过滤策略（在防护配置中自定义）丢弃的数据包的包转发率，单位：pps。	1000
policy_layer_4_filter_l4_filite_drop_rule_7_pps	由排序为7的指纹过滤策略（在防护配置中自定义）丢弃的数据包的包转发率，单位：pps。	1000
policy_layer_4_filter_l4_filite_drop_rule_8_pps	由排序为8的指纹过滤策略（在防护配置中自定义）丢弃的数据包的包转发率，单位：pps。	1000
policy_dns_domain_authentication_succ_domain_pps	由域名认证策略（默认）检查成功的数据包的包转发率，单位：pps。	1000
policy_dns_domain_authentication_fail_domain_pps	由域名认证策略（默认）检查失败的数据包的包转发率，单位：pps。	1000
policy_dns_domain_authentication_drop_pps	由域名认证策略（默认）丢弃的全部数据包的包转发率，单位：pps。	1000
policy_dns_domain_authentication_acct_pps	由域名认证策略（默认）放行的全部数据包的包转发率，单位：pps。	1000
policy_syn_cookie_succ_check_pps	由SYN Cookie策略（默认）检查成功的数据包的包转发率，单位：pps。	1000
policy_syn_cookie_fail_check_pps	由SYN Cookie策略（默认）检查失败的数据包的包转发率，单位：pps。	1000
policy_syn_cookie_drop_pps	由SYN Cookie策略（默认）丢弃的数据包的包转发率，单位：pps。	1000
policy_syn_cookie_rebound_check_pps	由SYN Cookie策略（默认）进行反弹验证的数据包的包转发率，单位：pps。	1000
policy_syn_cookie_acct_pps	由SYN Cookie策略（默认）放行的数据包的包转发率，单位：pps。	1000
policy_udp_defense_drop_pps	由UDP防护策略（默认）丢弃的数据包的包转发率，单位：pps。	1000
policy_antiothertcp_drop_pps	由其他TCP防护策略（默认）丢弃的数据包的包转发率，单位：pps。	1000
policy_antiothertcp_acct_pps	由其他TCP防护策略（默认）放行的数据包的包转发率，单位：pps。	1000
policy_antitcp_drop_tcp_pps	由TCP防护策略（默认）丢弃的全部TCP数据包的包转发率，单位：pps。	1000
policy_antitcp_drop_ack_pps	由TCP防护策略（默认）丢弃的ACK数据包的包转发率，单位：pps。	1000
policy_retransmission_authentication_acct_pps	由首包丢弃策略（默认）放行的数据包的包转发率，单位：pps。	1000
policy_retransmission_authentication_drop_pps	由首包丢弃策略（默认）丢弃的数据包的包转发率，单位：pps。	1000