文档

日志字段说明

更新时间:
一键部署

本文介绍了DDoS原生防护日志中包含的所有字段的说明。

DDoS原生防护的所有日志字段按照功能划分为以下类型:
  • 事件类字段:表示与被防护资产上发生的清洗、黑洞、代播防护事件相关的字段,包含事件的时间、状态等信息。
  • 流量检测类字段:表示与被防护资产上产生的流量数据相关的字段,例如,入方向流量的宽带速率、不同类型数据包的包转发率等。
  • 流量清洗类字段:表示与流量清洗过程相关的字段,包含流量清洗过程中由不同防护策略丢弃、放行的流量数据。

事件类字段

名称说明取值示例
data_type数据类型。取值:
  • Global_SC_Detection:表示从高防清洗中心流入的流量数据(代播模式中)。
  • Global_SC_Mitigation:表示通过高防清洗中心清洗的流量数据(代播模式中)。
  • Regional_SC_Detection:表示阿里云资产所在地域的入流量数据。
  • Regional_SC_Mitigation:表示阿里云资产所在地域的清洗流量数据。
  • event:表示攻击事件数据。
Regional_SC_Mitigation
event_time事件发生时间。使用时间戳格式表示,单位:秒。1624434027
event_type事件类型。取值:
  • mitigation_begin:表示清洗事件开始。
  • mitigation_ended:表示清洗事件结束。
  • blackhole_begin:表示黑洞事件开始。
  • blackhole_ended:表示黑洞事件结束。
mitigation_begin
instance_idDDoS原生防护实例的ID。ddosbgp-cn-n6w203qg****
ip被防护的资产IP。39.XX.XX.23
kbps_in入方向流量宽带速率,单位:kbps。1000
new_con新建连接数量。1000
pps_in入方向数据包包转发率,单位:pps。1000
qps每秒查询数,单位:qps。1000
scrubbing_center流量清洗中心所在地域。取值:
  • us_west:表示美国(弗吉尼亚)。
  • us_east:表示美国(硅谷)。
  • frankfurt:表示德国(法兰克福)。
  • hk:表示中国(香港)。
  • singapore:表示新加坡。
  • malaysia:表示马来西亚(吉隆坡)。
  • uk:表示英国(伦敦)。
  • japan:表示日本(东京)。
  • total_summary :表示全部地域。
  • assets_base_region:表示资产所在地域。
us_west
subnet代播防护模式下,对应事件的网段。1.XX.XX.1/24
user_id阿里云账号ID。170457416359****

流量检测类字段

名称说明取值示例
Ip流量来源IP地址。1.XX.XX.1
Time流量检测日志的统计时间。使用时间戳格式表示,单位:秒。1624434027
KbpsIn在统计时间,入方向流量的宽带速率,单位:Kbps。1000
KbpsOut在统计时间,出方向流量的宽带速率,单位:Kbps。1000
PpsIn在统计时间,入方向全部数据包的包转发率,单位:pps。1000
PpsOut在统计时间,出方向全部数据包的包转发率,单位:pps。1000
PpsInSyn在统计时间,入方向SYN数据包的包转发率,单位:pps。1000
PpsInSynack在统计时间,入方向SYN-ACK数据包的包转发率,单位:pps。1000
PpsInFin在统计时间,入方向FIN、RST数据包的包转发率,单位:pps。1000
PpsInHttpReq在统计时间,同时满足以下特征的入方向TCP数据包的包转发率(单位:pps):
  • 不是SYN、SYN-ACK、FIN、RST数据包。
  • 目的端口为:80、3128、8080、8088。
  • 包含payload,且http_payload的前几个字节为:GET、PUT、HEAD、POST。
1000
PpsInHttpResp在统计时间,同时满足以下特征的入方向TCP数据包的包转发率(单位:pps):
  • 不是SYN、SYN-ACK、FIN、RST数据包。
  • 目的端口为:80、3128、8080、8088。
  • 包含payload,且http_payload的前4个字节为:HTTP。
1000
PpsInHttpFlags在统计时间,入方向的TCP ACK数据包(即不是SYN、SYN-ACK、FIN、RST数据包)的包转发率,单位:pps。1000
PpsInIcmp在统计时间,入方向ICMP数据包的包转发率,单位:pps。1000
PpsInDns在统计时间,入方向DNS数据包(使用UDP协议,且源或目的端口为53)的包转发率,单位:pps。1000
PpsInUdprisk在统计时间,命中高危UDP源端口的数据包的包转发率,单位:pps。 1000
PpsInUdpunknown在统计时间,除PpsInDns外的入方向UDP数据包(使用UDP协议,且源或目的端口不是53)的包转发率,单位:pps。1000

流量清洗类字段

名称说明取值示例
instance_idDDoS原生防护实例的ID。ddosbgp-cn-v641is26****
time流量清洗记录的统计时间。使用时间戳格式表示,单位:秒。1624434027
destination_ip目的IP。123.XX.XX.169
port目的端口。取值:
  • all(默认):表示全部端口的数据。
  • 具体端口:表示针对某个具体端口(例如80)的数据。
80
total_traffic_in_bps进入清洗过程的所有类型数据包的总字节数,单位:Bps(Byte per second)。8000
total_traffic_drop_bps经流量清洗过程丢弃的所有类型数据包的总字节数,单位:Bps(Byte per second)。800
total_traffic_in_pps入方向所有类型数据包的包转发率,单位:pps。1000
total_traffic_drop_pps被丢弃的所有类型数据包的包转发率,单位:pps。1000
pps_types_in_tcp_pps入方向TCP数据包的包转发率,单位:pps。100
pps_types_in_udp_pps入方向UDP数据包的包转发率,单位:pps。1000
pps_types_in_icmp_pps入方向ICMP数据包的包转发率,单位:pps。1000
pps_types_in_syn_pps入方向SYN数据包的包转发率,单位:pps。1000
pps_types_in_ack_pps入方向ACK数据包的包转发率,单位:pps。1000
pps_types_in_synack_pps入方向SYN-ACK数据包的包转发率,单位:pps。1000
pps_types_in_finrst_pps入方向FIN、RST数据包的包转发率,单位:pps。1000
pps_types_in_dns_pps入方向DNS数据包的包转发率,单位:pps。1000
pps_types_drop_tcp_pps被丢弃的TCP数据包的包转发率,单位:pps。1000
pps_types_drop_udp_pps被丢弃的UDP数据包的包转发率,单位:pps。1000
pps_types_drop_icmp_pps被丢弃的ICMP数据包的包转发率,单位:pps。1100
pps_types_drop_syn_pps被丢弃的SYN数据包的包转发率,单位:pps。1000
pps_types_drop_ack_pps被丢弃的ACK数据包的包转发率,单位:pps。1000
pps_types_drop_synack_pps被丢弃的SYN-ACK数据包的包转发率,单位:pps。1000
pps_types_finrst被丢弃的FIN-RST数据包的包转发率,单位:pps。1000
pps_types_dns被丢弃的DNS数据包的包转发率,单位:pps。1000
policy_packet_checking_acct_pps由包检查策略(默认)放行的数据包的包转发率,单位:pps。1000
policy_packet_checking_drop_pps由包检查策略(默认)丢弃的数据包的包转发率,单位:pps。 1000
policy_dns_retransmission_authentication_drop_pps由域名首包丢弃策略(默认)丢弃的数据包的包转发率,单位:pps。1000
policy_dns_retransmission_authentication_acct_pps由域名首包丢弃策略(默认)放行的数据包的包转发率,单位:pps。100
policy_source_ip_authentication_succeed_pps由源IP认证策略(默认)检查成功的数据包的包转发率,单位:pps。1000
policy_source_ip_authentication_checked_pps由源IP认证策略(默认)正在检查的数据包的包转发率,单位:pps。1000
policy_source_ip_authentication_acct_pps由源IP认证策略(默认)放行的数据包的包转发率,单位:pps。1000
policy_source_ip_authentication_drop_pps由源IP认证策略(默认)丢弃的数据包的包转发率,单位:pps。1000
policy_source_ip_rate_limitation_drop_syn_pps由源IP限速策略(默认)丢弃的SYN数据包的包转发率,单位:pps。1000
policy_source_ip_rate_limitation_drop_con_max_pps超过源IP并发连接限速策略(默认)规定的最大连接数而被丢弃的数据包的包转发率,单位:pps。1000
policy_source_ip_rate_limitation_drop_con_rate_pps超过源IP并发连接限速策略(默认)规定的连接速率而被丢弃的数据包的包转发率,单位:pps。1000
policy_source_ip_rate_limitation_drop_udp_rate_pps由源IP UDP限速策略(默认)丢弃的数据包的包转发率,单位:pps。1000
policy_source_ip_rate_limitation_drop_tcpack_rate_pps由源IP ACK限速策略(默认)丢弃的数据包的包转发率,单位:pps。1000
policy_source_ip_rate_limitation_drop_tcpsynack_rate_pps由源IP SYN-ACK限速策略(默认)丢弃的数据包的包转发率,单位:pps。1000
policy_destination_ip_rate_limitation_drop_syn_rate由目的IP限速策略(默认)丢弃的SYN数据包的包转发率,单位:pps。1000
policy_destination_ip_rate_limitation_drop_udp_rate由目的IP限速策略(默认)丢弃的UDP数据包的宽带速率,单位:pps。1000
policy_destination_ip_rate_limitation_drop_ack_rate由目的IP限速策略(默认)丢弃的ACK数据包的宽带速率,单位:pps。1000
policy_destination_ip_rate_limitation_drop_icmp_rate由目的IP限速策略(默认)丢弃的ICMP数据包的宽带速率,单位:pps。1000
policy_destination_ip_rate_limitation_drop_other_rate由目的IP限速策略(默认)丢弃的其他类型(除UDP、ICMP、TCP-SYN、TCP-SYN-ACK、TCP-ACK外)数据包的包转发率,单位:pps。1000
policy_destination_ip_rate_limitation_drop_synack_rate由目的IP限速策略(默认)丢弃的SYN-ACK数据包的包转发率,单位:pps。1000
policy_layer_4_filter_l4_filiter_drop_pps由全部指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。1000
policy_layer_4_filter_l4_filiter_acct_num通过指纹过滤策略模块(在防护配置中自定义)放行的数据包的包转发率,单位:pps。1000
policy_layer_4_filter_l4_filite_drop_rule_1_pps由排序为1的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。1000
policy_layer_4_filter_l4_filite_drop_rule_2_pps由排序为2的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。1000
policy_layer_4_filter_l4_filite_drop_rule_3_pps由排序为3的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。1000
policy_layer_4_filter_l4_filite_drop_rule_4_pps由排序为4的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。1000
policy_layer_4_filter_l4_filite_drop_rule_5_pps由排序为5的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。1000
policy_layer_4_filter_l4_filite_drop_rule_6_pps由排序为6的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。1000
policy_layer_4_filter_l4_filite_drop_rule_7_pps由排序为7的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。1000
policy_layer_4_filter_l4_filite_drop_rule_8_pps由排序为8的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。1000
policy_dns_domain_authentication_succ_domain_pps由域名认证策略(默认)检查成功的数据包的包转发率,单位:pps。1000
policy_dns_domain_authentication_fail_domain_pps由域名认证策略(默认)检查失败的数据包的包转发率,单位:pps。1000
policy_dns_domain_authentication_drop_pps由域名认证策略(默认)丢弃的全部数据包的包转发率,单位:pps。1000
policy_dns_domain_authentication_acct_pps由域名认证策略(默认)放行的全部数据包的包转发率,单位:pps。1000
policy_syn_cookie_succ_check_pps由SYN Cookie策略(默认)检查成功的数据包的包转发率,单位:pps。1000
policy_syn_cookie_fail_check_pps由SYN Cookie策略(默认)检查失败的数据包的包转发率,单位:pps。1000
policy_syn_cookie_drop_pps由SYN Cookie策略(默认)丢弃的数据包的包转发率,单位:pps。1000
policy_syn_cookie_rebound_check_pps由SYN Cookie策略(默认)进行反弹验证的数据包的包转发率,单位:pps。1000
policy_syn_cookie_acct_pps由SYN Cookie策略(默认)放行的数据包的包转发率,单位:pps。1000
policy_udp_defense_drop_pps由UDP防护策略(默认)丢弃的数据包的包转发率,单位:pps。1000
policy_antiothertcp_drop_pps由其他TCP防护策略(默认)丢弃的数据包的包转发率,单位:pps。1000
policy_antiothertcp_acct_pps由其他TCP防护策略(默认)放行的数据包的包转发率,单位:pps。1000
policy_antitcp_drop_tcp_pps由TCP防护策略(默认)丢弃的全部TCP数据包的包转发率,单位:pps。1000
policy_antitcp_drop_ack_pps由TCP防护策略(默认)丢弃的ACK数据包的包转发率,单位:pps。1000
policy_retransmission_authentication_acct_pps由首包丢弃策略(默认)放行的数据包的包转发率,单位:pps。1000
policy_retransmission_authentication_drop_pps由首包丢弃策略(默认)丢弃的数据包的包转发率,单位:pps。1000
  • 本页导读 (1)
文档反馈