日志字段说明

本文介绍了DDoS原生防护日志中包含的所有字段的说明。

DDoS原生防护的所有日志字段按照功能划分为以下类型:

  • 事件类字段:表示与被防护资产上发生的清洗、黑洞、代播防护事件相关的字段,包含事件的时间、状态等信息。

  • 流量检测类字段:表示与被防护资产上产生的流量数据相关的字段,例如,入方向流量的宽带速率、不同类型数据包的包转发率等。

  • 流量清洗类字段:表示与流量清洗过程相关的字段,包含流量清洗过程中由不同防护策略丢弃、放行的流量数据。

事件类字段

名称

说明

取值示例

data_type

数据类型。取值:

  • Global_SC_Detection:表示从高防清洗中心流入的流量数据(代播模式中)。

  • Global_SC_Mitigation:表示通过高防清洗中心清洗的流量数据(代播模式中)。

  • Regional_SC_Detection:表示阿里云资产所在地域的入流量数据。

  • Regional_SC_Mitigation:表示阿里云资产所在地域的清洗流量数据。

  • event:表示攻击事件数据。

Regional_SC_Mitigation

event_time

事件发生时间。使用时间戳格式表示,单位:秒。

1624434027

event_type

事件类型。取值:

  • mitigation_begin:表示清洗事件开始。

  • mitigation_ended:表示清洗事件结束。

  • blackhole_begin:表示黑洞事件开始。

  • blackhole_ended:表示黑洞事件结束。

mitigation_begin

instance_id

DDoS原生防护实例的ID。

ddosbgp-cn-n6w203qg****

ip

被防护的资产IP。

39.XX.XX.23

kbps_in

入方向流量宽带速率,单位:kbps。

1000

new_con

新建连接数量。

1000

pps_in

入方向数据包包转发率,单位:pps。

1000

qps

每秒查询数,单位:qps。

1000

scrubbing_center

流量清洗中心所在地域。取值:

  • us_west:表示美国(弗吉尼亚)。

  • us_east:表示美国(硅谷)。

  • frankfurt:表示德国(法兰克福)。

  • hk:表示中国(香港)。

  • singapore:表示新加坡。

  • malaysia:表示马来西亚(吉隆坡)。

  • uk:表示英国(伦敦)。

  • japan:表示日本(东京)。

  • total_summary :表示全部地域。

  • assets_base_region:表示资产所在地域。

us_west

subnet

代播防护模式下,对应事件的网段。

1.XX.XX.1/24

user_id

阿里云账号ID。

170457416359****

流量检测类字段

名称

说明

取值示例

Ip

流量来源IP地址。

1.XX.XX.1

Time

流量检测日志的统计时间。使用时间戳格式表示,单位:秒。

1624434027

KbpsIn

在统计时间,入方向流量的宽带速率,单位:Kbps。

1000

KbpsOut

在统计时间,出方向流量的宽带速率,单位:Kbps。

1000

PpsIn

在统计时间,入方向全部数据包的包转发率,单位:pps。

1000

PpsOut

在统计时间,出方向全部数据包的包转发率,单位:pps。

1000

PpsInSyn

在统计时间,入方向SYN数据包的包转发率,单位:pps。

1000

PpsInSynack

在统计时间,入方向SYN-ACK数据包的包转发率,单位:pps。

1000

PpsInFin

在统计时间,入方向FIN、RST数据包的包转发率,单位:pps。

1000

PpsInHttpReq

在统计时间,同时满足以下特征的入方向TCP数据包的包转发率(单位:pps):

  • 不是SYN、SYN-ACK、FIN、RST数据包。

  • 源端口或目的端口为:80、3128、8080、8088。

  • 包含payload,且http_payload的前几个字节为:GET、PUT、HEAD、POST。

1000

PpsInHttpResp

在统计时间,同时满足以下特征的入方向TCP数据包的包转发率(单位:pps):

  • 不是SYN、SYN-ACK、FIN、RST数据包。

  • 源端口或目的端口为:80、3128、8080、8088。

  • 包含payload,且http_payload的前4个字节为:HTTP。

1000

PpsInHttpFlags

在统计时间,入方向的TCP ACK数据包(即不是SYN、SYN-ACK、FIN、RST数据包)的包转发率,单位:pps。

1000

PpsInIcmp

在统计时间,入方向ICMP数据包的包转发率,单位:pps。

1000

PpsInDns

在统计时间,入方向DNS数据包(使用UDP协议,且源或目的端口为53)的包转发率,单位:pps。

1000

PpsInUdprisk

在统计时间,命中高危UDP源端口的数据包的包转发率,单位:pps。

1000

PpsInUdpunknown

在统计时间,除PpsInDns外的入方向UDP数据包(使用UDP协议,且源或目的端口不是53)的包转发率,单位:pps。

1000

流量清洗类字段

名称

说明

取值示例

instance_id

DDoS原生防护实例的ID。

ddosbgp-cn-v641is26****

time

流量清洗记录的统计时间。使用时间戳格式表示,单位:秒。

1624434027

destination_ip

目的IP。

123.XX.XX.169

port

目的端口。取值:

  • all(默认):表示全部端口的数据。

  • 具体端口:表示针对某个具体端口(例如80)的数据。

80

total_traffic_in_bps

进入清洗过程的所有类型数据包的总字节数,单位:Bps(Byte per second)。

8000

total_traffic_drop_bps

经流量清洗过程丢弃的所有类型数据包的总字节数,单位:Bps(Byte per second)。

800

total_traffic_in_pps

入方向所有类型数据包的包转发率,单位:pps。

1000

total_traffic_drop_pps

被丢弃的所有类型数据包的包转发率,单位:pps。

1000

pps_types_in_tcp_pps

入方向TCP数据包的包转发率,单位:pps。

100

pps_types_in_udp_pps

入方向UDP数据包的包转发率,单位:pps。

1000

pps_types_in_icmp_pps

入方向ICMP数据包的包转发率,单位:pps。

1000

pps_types_in_syn_pps

入方向SYN数据包的包转发率,单位:pps。

1000

pps_types_in_ack_pps

入方向ACK数据包的包转发率,单位:pps。

1000

pps_types_in_synack_pps

入方向SYN-ACK数据包的包转发率,单位:pps。

1000

pps_types_in_finrst_pps

入方向FIN、RST数据包的包转发率,单位:pps。

1000

pps_types_in_dns_pps

入方向DNS数据包的包转发率,单位:pps。

1000

pps_types_drop_tcp_pps

被丢弃的TCP数据包的包转发率,单位:pps。

1000

pps_types_drop_udp_pps

被丢弃的UDP数据包的包转发率,单位:pps。

1000

pps_types_drop_icmp_pps

被丢弃的ICMP数据包的包转发率,单位:pps。

1100

pps_types_drop_syn_pps

被丢弃的SYN数据包的包转发率,单位:pps。

1000

pps_types_drop_ack_pps

被丢弃的ACK数据包的包转发率,单位:pps。

1000

pps_types_drop_synack_pps

被丢弃的SYN-ACK数据包的包转发率,单位:pps。

1000

pps_types_finrst

被丢弃的FIN-RST数据包的包转发率,单位:pps。

1000

pps_types_dns

被丢弃的DNS数据包的包转发率,单位:pps。

1000

policy_packet_checking_acct_pps

由包检查策略(默认)放行的数据包的包转发率,单位:pps。

1000

policy_packet_checking_drop_pps

由包检查策略(默认)丢弃的数据包的包转发率,单位:pps。

1000

policy_dns_retransmission_authentication_drop_pps

由域名首包丢弃策略(默认)丢弃的数据包的包转发率,单位:pps。

1000

policy_dns_retransmission_authentication_acct_pps

由域名首包丢弃策略(默认)放行的数据包的包转发率,单位:pps。

100

policy_source_ip_authentication_succeed_pps

由源IP认证策略(默认)检查成功的数据包的包转发率,单位:pps。

1000

policy_source_ip_authentication_checked_pps

由源IP认证策略(默认)正在检查的数据包的包转发率,单位:pps。

1000

policy_source_ip_authentication_acct_pps

由源IP认证策略(默认)放行的数据包的包转发率,单位:pps。

1000

policy_source_ip_authentication_drop_pps

由源IP认证策略(默认)丢弃的数据包的包转发率,单位:pps。

1000

policy_source_ip_rate_limitation_drop_syn_pps

由源IP限速策略(默认)丢弃的SYN数据包的包转发率,单位:pps。

1000

policy_source_ip_rate_limitation_drop_con_max_pps

超过源IP并发连接限速策略(默认)规定的最大连接数而被丢弃的数据包的包转发率,单位:pps。

1000

policy_source_ip_rate_limitation_drop_con_rate_pps

超过源IP并发连接限速策略(默认)规定的连接速率而被丢弃的数据包的包转发率,单位:pps。

1000

policy_source_ip_rate_limitation_drop_udp_rate_pps

由源IP UDP限速策略(默认)丢弃的数据包的包转发率,单位:pps。

1000

policy_source_ip_rate_limitation_drop_tcpack_rate_pps

由源IP ACK限速策略(默认)丢弃的数据包的包转发率,单位:pps。

1000

policy_source_ip_rate_limitation_drop_tcpsynack_rate_pps

由源IP SYN-ACK限速策略(默认)丢弃的数据包的包转发率,单位:pps。

1000

policy_destination_ip_rate_limitation_drop_syn_rate

由目的IP限速策略(默认)丢弃的SYN数据包的包转发率,单位:pps。

1000

policy_destination_ip_rate_limitation_drop_udp_rate

由目的IP限速策略(默认)丢弃的UDP数据包的宽带速率,单位:pps。

1000

policy_destination_ip_rate_limitation_drop_ack_rate

由目的IP限速策略(默认)丢弃的ACK数据包的宽带速率,单位:pps。

1000

policy_destination_ip_rate_limitation_drop_icmp_rate

由目的IP限速策略(默认)丢弃的ICMP数据包的宽带速率,单位:pps。

1000

policy_destination_ip_rate_limitation_drop_other_rate

由目的IP限速策略(默认)丢弃的其他类型(除UDP、ICMP、TCP-SYN、TCP-SYN-ACK、TCP-ACK外)数据包的包转发率,单位:pps。

1000

policy_destination_ip_rate_limitation_drop_synack_rate

由目的IP限速策略(默认)丢弃的SYN-ACK数据包的包转发率,单位:pps。

1000

policy_layer_4_filter_l4_filiter_drop_pps

由全部指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。

1000

policy_layer_4_filter_l4_filiter_acct_num

通过指纹过滤策略模块(在防护配置中自定义)放行的数据包的包转发率,单位:pps。

1000

policy_layer_4_filter_l4_filite_drop_rule_1_pps

由排序为1的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。

1000

policy_layer_4_filter_l4_filite_drop_rule_2_pps

由排序为2的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。

1000

policy_layer_4_filter_l4_filite_drop_rule_3_pps

由排序为3的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。

1000

policy_layer_4_filter_l4_filite_drop_rule_4_pps

由排序为4的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。

1000

policy_layer_4_filter_l4_filite_drop_rule_5_pps

由排序为5的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。

1000

policy_layer_4_filter_l4_filite_drop_rule_6_pps

由排序为6的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。

1000

policy_layer_4_filter_l4_filite_drop_rule_7_pps

由排序为7的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。

1000

policy_layer_4_filter_l4_filite_drop_rule_8_pps

由排序为8的指纹过滤策略(在防护配置中自定义)丢弃的数据包的包转发率,单位:pps。

1000

policy_dns_domain_authentication_succ_domain_pps

由域名认证策略(默认)检查成功的数据包的包转发率,单位:pps。

1000

policy_dns_domain_authentication_fail_domain_pps

由域名认证策略(默认)检查失败的数据包的包转发率,单位:pps。

1000

policy_dns_domain_authentication_drop_pps

由域名认证策略(默认)丢弃的全部数据包的包转发率,单位:pps。

1000

policy_dns_domain_authentication_acct_pps

由域名认证策略(默认)放行的全部数据包的包转发率,单位:pps。

1000

policy_syn_cookie_succ_check_pps

由SYN Cookie策略(默认)检查成功的数据包的包转发率,单位:pps。

1000

policy_syn_cookie_fail_check_pps

由SYN Cookie策略(默认)检查失败的数据包的包转发率,单位:pps。

1000

policy_syn_cookie_drop_pps

由SYN Cookie策略(默认)丢弃的数据包的包转发率,单位:pps。

1000

policy_syn_cookie_rebound_check_pps

由SYN Cookie策略(默认)进行反弹验证的数据包的包转发率,单位:pps。

1000

policy_syn_cookie_acct_pps

由SYN Cookie策略(默认)放行的数据包的包转发率,单位:pps。

1000

policy_udp_defense_drop_pps

由UDP防护策略(默认)丢弃的数据包的包转发率,单位:pps。

1000

policy_antiothertcp_drop_pps

由其他TCP防护策略(默认)丢弃的数据包的包转发率,单位:pps。

1000

policy_antiothertcp_acct_pps

由其他TCP防护策略(默认)放行的数据包的包转发率,单位:pps。

1000

policy_antitcp_drop_tcp_pps

由TCP防护策略(默认)丢弃的全部TCP数据包的包转发率,单位:pps。

1000

policy_antitcp_drop_ack_pps

由TCP防护策略(默认)丢弃的ACK数据包的包转发率,单位:pps。

1000

policy_retransmission_authentication_acct_pps

由首包丢弃策略(默认)放行的数据包的包转发率,单位:pps。

1000

policy_retransmission_authentication_drop_pps

由首包丢弃策略(默认)丢弃的数据包的包转发率,单位:pps。

1000