本文介绍了DDoS原生防护日志中包含的所有字段的说明。
DDoS原生防护的所有日志字段按照功能划分为以下类型:
事件类字段
名称 | 说明 | 取值示例 |
data_type | 数据类型。取值:
| Regional_SC_Mitigation |
event_time | 事件发生时间。使用时间戳格式表示,单位:秒。 | 1624434027 |
event_type | 事件类型。取值:
| mitigation_begin |
instance_id | DDoS原生防护实例的ID。 | ddosbgp-cn-n6w203qg**** |
ip | 被防护的资产IP。 | 39.XX.XX.23 |
kbps_in | 入方向流量宽带速率,单位:kbps。 | 1000 |
new_con | 新建连接数量。 | 1000 |
pps_in | 入方向数据包包转发率,单位:pps。 | 1000 |
qps | 每秒查询数,单位:qps。 | 1000 |
scrubbing_center | 流量清洗中心所在地域。取值:
| us_west |
subnet | 代播防护模式下,对应事件的网段。 | 1.XX.XX.1/24 |
user_id | 阿里云账号ID。 | 170457416359**** |
流量检测类字段
名称 | 说明 | 取值示例 |
Ip | 流量来源IP地址。 | 1.XX.XX.1 |
Time | 流量检测日志的统计时间。使用时间戳格式表示,单位:秒。 | 1624434027 |
KbpsIn | 在统计时间,入方向流量的宽带速率,单位:Kbps。 | 1000 |
KbpsOut | 在统计时间,出方向流量的宽带速率,单位:Kbps。 | 1000 |
PpsIn | 在统计时间,入方向全部数据包的包转发率,单位:pps。 | 1000 |
PpsOut | 在统计时间,出方向全部数据包的包转发率,单位:pps。 | 1000 |
PpsInSyn | 在统计时间,入方向SYN数据包的包转发率,单位:pps。 | 1000 |
PpsInSynack | 在统计时间,入方向SYN-ACK数据包的包转发率,单位:pps。 | 1000 |
PpsInFin | 在统计时间,入方向FIN、RST数据包的包转发率,单位:pps。 | 1000 |
PpsInHttpReq | 在统计时间,同时满足以下特征的入方向TCP数据包的包转发率(单位:pps):
| 1000 |
PpsInHttpResp | 在统计时间,同时满足以下特征的入方向TCP数据包的包转发率(单位:pps):
| 1000 |
PpsInHttpFlags | 在统计时间,入方向的TCP ACK数据包(即不是SYN、SYN-ACK、FIN、RST数据包)的包转发率,单位:pps。 | 1000 |
PpsInIcmp | 在统计时间,入方向ICMP数据包的包转发率,单位:pps。 | 1000 |
PpsInDns | 在统计时间,入方向DNS数据包(使用UDP协议,且源或目的端口为53)的包转发率,单位:pps。 | 1000 |
PpsInUdprisk | 在统计时间,命中高危UDP源端口的数据包的包转发率,单位:pps。 | 1000 |
PpsInUdpunknown | 在统计时间,除PpsInDns外的入方向UDP数据包(使用UDP协议,且源或目的端口不是53)的包转发率,单位:pps。 | 1000 |
流量清洗类字段
名称 | 说明 | 取值示例 |
instance_id | DDoS原生防护实例的ID。 | ddosbgp-cn-v641is26**** |
time | 流量清洗记录的统计时间。使用时间戳格式表示,单位:秒。 | 1624434027 |
destination_ip | 目的IP。 | 123.XX.XX.169 |
port | 目的端口。取值:
| 80 |
total_traffic_in_bps | 进入清洗过程的所有类型数据包的总字节数,单位:Bps(Byte per second)。 | 8000 |
total_traffic_drop_bps | 经流量清洗过程丢弃的所有类型数据包的总字节数,单位:Bps(Byte per second)。 | 800 |
total_traffic_in_pps | 入方向所有类型数据包的包转发率,单位:pps。 | 1000 |
total_traffic_drop_pps | 被丢弃的所有类型数据包的包转发率,单位:pps。 | 1000 |
pps_types_in_tcp_pps | 入方向TCP数据包的包转发率,单位:pps。 | 100 |
pps_types_in_udp_pps | 入方向UDP数据包的包转发率,单位:pps。 | 1000 |
pps_types_in_icmp_pps | 入方向ICMP数据包的包转发率,单位:pps。 | 1000 |
pps_types_in_syn_pps | 入方向SYN数据包的包转发率,单位:pps。 | 1000 |
pps_types_in_ack_pps | 入方向ACK数据包的包转发率,单位:pps。 | 1000 |
pps_types_in_synack_pps | 入方向SYN-ACK数据包的包转发率,单位:pps。 | 1000 |
pps_types_in_finrst_pps | 入方向FIN、RST数据包的包转发率,单位:pps。 | 1000 |
pps_types_in_dns_pps | 入方向DNS数据包的包转发率,单位:pps。 | 1000 |
pps_types_drop_tcp_pps | 被丢弃的TCP数据包的包转发率,单位:pps。 | 1000 |
pps_types_drop_udp_pps | 被丢弃的UDP数据包的包转发率,单位:pps。 | 1000 |
pps_types_drop_icmp_pps | 被丢弃的ICMP数据包的包转发率,单位:pps。 | 1100 |
pps_types_drop_syn_pps | 被丢弃的SYN数据包的包转发率,单位:pps。 | 1000 |
pps_types_drop_ack_pps | 被丢弃的ACK数据包的包转发率,单位:pps。 | 1000 |
pps_types_drop_synack_pps | 被丢弃的SYN-ACK数据包的包转发率,单位:pps。 | 1000 |
pps_types_finrst | 被丢弃的FIN-RST数据包的包转发率,单位:pps。 | 1000 |
pps_types_dns | 被丢弃的DNS数据包的包转发率,单位:pps。 | 1000 |
policy_packet_checking_acct_pps | 由包检查策略(默认)放行的数据包的包转发率,单位:pps。 | 1000 |
policy_packet_checking_drop_pps | 由包检查策略(默认)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_dns_retransmission_authentication_drop_pps | 由域名首包丢弃策略(默认)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_dns_retransmission_authentication_acct_pps | 由域名首包丢弃策略(默认)放行的数据包的包转发率,单位:pps。 | 100 |
policy_source_ip_authentication_succeed_pps | 由源IP认证策略(默认)检查成功的数据包的包转发率,单位:pps。 | 1000 |
policy_source_ip_authentication_checked_pps | 由源IP认证策略(默认)正在检查的数据包的包转发率,单位:pps。 | 1000 |
policy_source_ip_authentication_acct_pps | 由源IP认证策略(默认)放行的数据包的包转发率,单位:pps。 | 1000 |
policy_source_ip_authentication_drop_pps | 由源IP认证策略(默认)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_source_ip_rate_limitation_drop_syn_pps | 由源IP限速策略(默认)丢弃的SYN数据包的包转发率,单位:pps。 | 1000 |
policy_source_ip_rate_limitation_drop_con_max_pps | 超过源IP并发连接限速策略(默认)规定的最大连接数而被丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_source_ip_rate_limitation_drop_con_rate_pps | 超过源IP并发连接限速策略(默认)规定的连接速率而被丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_source_ip_rate_limitation_drop_udp_rate_pps | 由源IP UDP限速策略(默认)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_source_ip_rate_limitation_drop_tcpack_rate_pps | 由源IP ACK限速策略(默认)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_source_ip_rate_limitation_drop_tcpsynack_rate_pps | 由源IP SYN-ACK限速策略(默认)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_destination_ip_rate_limitation_drop_syn_rate | 由目的IP限速策略(默认)丢弃的SYN数据包的包转发率,单位:pps。 | 1000 |
policy_destination_ip_rate_limitation_drop_udp_rate | 由目的IP限速策略(默认)丢弃的UDP数据包的宽带速率,单位:pps。 | 1000 |
policy_destination_ip_rate_limitation_drop_ack_rate | 由目的IP限速策略(默认)丢弃的ACK数据包的宽带速率,单位:pps。 | 1000 |
policy_destination_ip_rate_limitation_drop_icmp_rate | 由目的IP限速策略(默认)丢弃的ICMP数据包的宽带速率,单位:pps。 | 1000 |
policy_destination_ip_rate_limitation_drop_other_rate | 由目的IP限速策略(默认)丢弃的其他类型(除UDP、ICMP、TCP-SYN、TCP-SYN-ACK、TCP-ACK外)数据包的包转发率,单位:pps。 | 1000 |
policy_destination_ip_rate_limitation_drop_synack_rate | 由目的IP限速策略(默认)丢弃的SYN-ACK数据包的包转发率,单位:pps。 | 1000 |
policy_layer_4_filter_l4_filiter_drop_pps | 由全部指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_layer_4_filter_l4_filiter_acct_num | 通过指纹过滤策略模块(在防护配置中自定义)放行的数据包的包转发率,单位:pps。 | 1000 |
policy_layer_4_filter_l4_filite_drop_rule_1_pps | 由排序为1的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_layer_4_filter_l4_filite_drop_rule_2_pps | 由排序为2的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_layer_4_filter_l4_filite_drop_rule_3_pps | 由排序为3的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_layer_4_filter_l4_filite_drop_rule_4_pps | 由排序为4的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_layer_4_filter_l4_filite_drop_rule_5_pps | 由排序为5的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_layer_4_filter_l4_filite_drop_rule_6_pps | 由排序为6的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_layer_4_filter_l4_filite_drop_rule_7_pps | 由排序为7的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_layer_4_filter_l4_filite_drop_rule_8_pps | 由排序为8的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_dns_domain_authentication_succ_domain_pps | 由域名认证策略(默认)检查成功的数据包的包转发率,单位:pps。 | 1000 |
policy_dns_domain_authentication_fail_domain_pps | 由域名认证策略(默认)检查失败的数据包的包转发率,单位:pps。 | 1000 |
policy_dns_domain_authentication_drop_pps | 由域名认证策略(默认)丢弃的全部数据包的包转发率,单位:pps。 | 1000 |
policy_dns_domain_authentication_acct_pps | 由域名认证策略(默认)放行的全部数据包的包转发率,单位:pps。 | 1000 |
policy_syn_cookie_succ_check_pps | 由SYN Cookie策略(默认)检查成功的数据包的包转发率,单位:pps。 | 1000 |
policy_syn_cookie_fail_check_pps | 由SYN Cookie策略(默认)检查失败的数据包的包转发率,单位:pps。 | 1000 |
policy_syn_cookie_drop_pps | 由SYN Cookie策略(默认)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_syn_cookie_rebound_check_pps | 由SYN Cookie策略(默认)进行反弹验证的数据包的包转发率,单位:pps。 | 1000 |
policy_syn_cookie_acct_pps | 由SYN Cookie策略(默认)放行的数据包的包转发率,单位:pps。 | 1000 |
policy_udp_defense_drop_pps | 由UDP防护策略(默认)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_antiothertcp_drop_pps | 由其他TCP防护策略(默认)丢弃的数据包的包转发率,单位:pps。 | 1000 |
policy_antiothertcp_acct_pps | 由其他TCP防护策略(默认)放行的数据包的包转发率,单位:pps。 | 1000 |
policy_antitcp_drop_tcp_pps | 由TCP防护策略(默认)丢弃的全部TCP数据包的包转发率,单位:pps。 | 1000 |
policy_antitcp_drop_ack_pps | 由TCP防护策略(默认)丢弃的ACK数据包的包转发率,单位:pps。 | 1000 |
policy_retransmission_authentication_acct_pps | 由首包丢弃策略(默认)放行的数据包的包转发率,单位:pps。 | 1000 |
policy_retransmission_authentication_drop_pps | 由首包丢弃策略(默认)丢弃的数据包的包转发率,单位:pps。 | 1000 |