本文介绍DDoS防护访问日志的字段详情。
DDoS高防(新BGP)
日志字段 | 说明 |
---|---|
__topic__ | 日志主题,固定为ddoscoo_access_log。 |
owner_id | 阿里云账号ID |
body_bytes_sent | 请求Body的大小,单位:字节。 |
cc_action | CC防护策略行为,例如none、challenge、pass、close、captcha、wait、login等。 |
cc_phase | CC防护策略,包括seccookie、server_ip_blacklist、static_whitelist、server_header_blacklist、server_cookie_blacklist、server_args_blacklist、qps_overmax等。 |
cc_blocks | 是否被CC防护策略阻断。包括:
|
content_type | 内容类型 |
host | 源网站 |
http_cookie | 请求Cookie |
http_referer | 请求Referer。如果HTTP Header中没有Referer,则显示为短划线(-)。 |
http_user_agent | 请求User Agent |
http_x_forwarded_for | 通过代理跳转的上游用户的IP地址。 |
https | 该请求是否为HTTPS请求。取值如下:
|
isp_line | 线路信息,例如BGP、电信、联通等。 |
matched_host | 匹配到的源站,可能是泛域名。如果未匹配,则显示为短划线(-)。 |
real_client_ip | 客户端的真实IP地址。如果获取不到,则显示为短划线(-)。 |
threat_real_client_ip | 客户端的真实IP地址的威胁情报。更多信息,请参见威胁情报字段。 |
remote_addr | 请求连接的客户端IP地址 |
remote_port | 请求连接的客户端端口号 |
request_length | 请求长度,单位:字节。 |
request_method | 请求的HTTP方法 |
request_time_msec | 请求时间,单位:毫秒。 |
request_uri | 请求路径 |
server_name | 匹配到的host名。如果未匹配,则显示为default。 |
status | HTTP状态 |
time | 时间 |
ua_browser | 浏览器 |
ua_browser_family | 浏览器系列 |
ua_browser_type | 浏览器类型 |
ua_device_type | 客户端设备类型 |
ua_os | 客户端操作系统 |
ua_os_family | 客户端操作系统系列 |
upstream_addr | 回源地址列表,格式为IP:Port。 多个地址之间以英文逗号(,)分隔。 |
upstream_ip | 实际回源地址IP地址 |
upstream_response_time | 回源响应时间,单位:秒。 |
upstream_status | 回源请求HTTP状态 |
DDoS高防(国际)
日志字段 | 说明 |
---|---|
__topic__ | 日志主题,固定为ddosdip_access_log。 |
owner_id | 阿里云账号ID |
body_bytes_sent | 请求Body的大小,单位:字节。 |
cc_action | CC防护策略行为,例如none、challenge、pass、close、captcha、wait、login等。 |
cc_phase | CC防护策略,包括seccookie、server_ip_blacklist、static_whitelist、server_header_blacklist、server_cookie_blacklist、server_args_blacklist、qps_overmax等。 |
cc_blocks | 是否被CC防护策略阻断。包括:
|
content_type | 内容类型 |
host | 源网站 |
http_cookie | 请求Cookie |
http_referer | 请求Referer。如果HTTP Header中没有Referer,则显示为短划线(-)。 |
http_user_agent | 请求User Agent |
http_x_forwarded_for | 通过代理跳转的上游用户的IP地址。 |
https | 该请求是否为HTTPS请求。取值如下:
|
isp_line | 线路信息,例如BGP、电信、联通等。 |
matched_host | 匹配到的源站,可能是泛域名。如果未匹配,则显示为短划线(-)。 |
real_client_ip | 客户端的真实IP地址。如果获取不到,则显示为短划线(-)。 |
threat_real_client_ip | 客户端的真实IP地址的威胁情报。更多信息,请参见威胁情报字段。 |
remote_addr | 请求连接的客户端IP地址 |
remote_port | 请求连接的客户端端口号 |
request_length | 请求长度,单位:字节。 |
request_method | 请求的HTTP方法 |
request_time_msec | 请求时间,单位:毫秒。 |
request_uri | 请求路径 |
server_name | 匹配到的Host名。如果未匹配,则显示为default。 |
status | HTTP状态 |
time | 时间 |
ua_browser | 浏览器 |
ua_browser_family | 浏览器系列 |
ua_browser_type | 浏览器类型 |
ua_device_type | 客户端设备类型 |
ua_os | 客户端操作系统 |
ua_os_family | 客户端操作系统系列 |
upstream_addr | 回源地址列表,格式为IP:Port。 多个地址之间以英文逗号(,)分隔。 |
upstream_ip | 实际回源地址IP地址 |
upstream_response_time | 回源响应时间,单位:秒。 |
upstream_status | 回源请求HTTP状态 |
DDoS原生
字段 | 说明 |
---|---|
__topic__ | 日志主题,固定为ddosbqp_access_log。 |
data_type | 日志类型 |
event_type | 事件类型 |
ip | 事件发生的IP地址 |
subnet | 代播的网段 |
event_time | 事件发生时的时间,例如2020-01-01。 |
qps | 事件发生时的每秒查询率 |
pps_in | 事件发生时的入流量,单位:pps。 |
new_con | 事件发生时的新连接 |
kbps_in | 事件发生时的入流量,单位:bps。 |
instance_id | 实例ID |
time | 日志时间,例如2020-07-17 10:00:30。 |
destination_ip | 目的IP地址 |
port | 目的端口 |
total_traffic_in_bps | 总入流量,单位:bps。 |
total_traffic_drop_bps | 总入流量的丢弃量,单位:bps。 |
total_traffic_in_pps | 总入流量,单位:pps。 |
total_traffic_drop_pps | 总入流量的丢弃量,单位:pps。 |
pps_types_in_tcp_pps | 按协议统计的tcp类型入流量,单位:pps。 |
pps_types_in_udp_pps | 按协议统计的udp类型入流量,单位:pps。 |
pps_types_in_icmp_pps | 按协议统计的icmp类型入流量,单位:pps。 |
pps_types_in_syn_pps | 按协议统计的syn类型入流量,单位:pps。 |
pps_types_in_ack_pps | 按协议统计的ack类型入流量,单位:pps。 |
user_id | 阿里云账号ID |