阿里云DDoS高防 - 访问与攻击日志实时分析(三)
摘要:?本文介紹了DDoS日志分析功能的日志報表的使用方法。
概述
本文介紹DDoS日志分析功能的日志報表的使用方法。
前提配置
剛進入DDoS高防控制臺的全量日志下,在界面引導(dǎo)下開通日志服務(wù)并授權(quán)操作后。就可以給特定的網(wǎng)站啟用日志分析功能了。
報表界面介紹
在前一篇文章我們介紹了基于DDoS日志的分析與統(tǒng)計功能,可能會注意到報表工具欄有一個選項是添加到儀表盤,這個選項的作用是構(gòu)建自定義的報表;但其實DDoS日志分析與報表功能,已經(jīng)內(nèi)置了報表中心給用戶。
當(dāng)選擇某一個網(wǎng)站點擊日志報表時,會展示基于這個網(wǎng)站的日志報表界面:
這個查詢界面大致可以劃分為如下幾個功能區(qū)域:
1. 內(nèi)置報表列表
當(dāng)您在DDoS控制臺為特定DDoS的防護網(wǎng)站打開了日志分析的功能時, DDoS會實時將相關(guān)網(wǎng)站的訪問和防護日志導(dǎo)入到您擁有的日志服務(wù)的專屬日志庫中。默認打開日志分析的網(wǎng)站的日志都會集中放到這一個日志庫中。專屬的日志庫名字是ddos-pro-logstore,存放于日志服務(wù)的項目ddos-pro-project-阿里云賬戶ID中。國內(nèi)項目在杭州區(qū)域,國外項目在香港區(qū)域。
DDoS也會默認在這個項目中為這個日志庫創(chuàng)建兩個內(nèi)置的報表:
| DDoS運營中心 | ddos-pro-logstore_ddos_operation_center | 展示被DDoS保護的網(wǎng)站目前的總體運營狀況,包括有效請求狀況、流量、趨勢以及被CC攻擊的流量、峰值、攻擊者分布等。 |
| OS訪問中心 | ddos-pro-logstore_ddos_access_center | 展示被DDoS保護的網(wǎng)站目前的總體被訪問狀況,包括PV/UV趨勢與帶寬峰值、訪問者分布、流量線路分布、客戶端類型分布、請求分布、被訪問網(wǎng)站分布等。 |
可以自由點擊報表列表進行切換。關(guān)于內(nèi)置報表更多信息,參考后面的內(nèi)容。
2. 報表與項目信息
這里展示當(dāng)前報表的名稱與所在項目的信息。當(dāng)選擇某個網(wǎng)站點擊日志報表時,會自動在#4 全局時間選擇器與過濾條件中自動添加上這個網(wǎng)站的過濾條件,以便展示這個網(wǎng)站的運營與訪問狀況:
matched_host: www.aliyun.com3. 報表工具欄
這里是報表的一些輔助工具。包括:
刷新:在當(dāng)前頁面停留一段時間后,可能有新的符合當(dāng)前條件的數(shù)據(jù)導(dǎo)入,可以點擊這個以便刷新這些數(shù)據(jù)反映在報表上。也可以點擊自動刷新來在選擇的間隔內(nèi)自動刷新。
重置時間:將在#5 報表展示區(qū)域中各個圖表的時間選擇器重置為之前保存的時間范圍。
4. 全局時間選擇器與過濾條件
4.1 全局時間選擇器
在#5. 報表展示區(qū)域內(nèi)的每一個報表都會有一個自己的時間選擇范圍(例如有的展示過去1天的訪問量,有的展示過去30天的訪問趨勢等)。但是這里提供了一種方式,讓所有圖表統(tǒng)一使用一個選擇的時間段繼續(xù)展示。
點擊請選擇會彈出和查詢分析界面一樣的時間選擇器,選擇要展示的時間范圍的日志的報表信息,可以是相對時間,也可以使整點時間,或者特定時間:
注意:
4.2 過濾條件
當(dāng)選擇某個網(wǎng)站點擊日志報表時,會自動添加一個過濾條件,例如:
matched_host: www.aliyun.com會給所有#5. 報表展示區(qū)域中的每個圖表添加這個過濾條件。
示例1:查看所有網(wǎng)站的總體報表
只需要將上面自動添加的過濾條件去掉,就相當(dāng)于對當(dāng)前日志庫ddos-pro-logstore進行全局的報表展示了。
示例2:添加額外條件
也可以進一步添加更多條件,例如這里展示通過電信線路訪問請求的總體情況:
注意:多個過濾條件之間是AND關(guān)系。這里使用了字段isp_line是DDoS日志的字段,表示連接入口的運營商網(wǎng)絡(luò),關(guān)于更詳細的完整字段列表和信息,可以參考這里
5. 報表展示區(qū)域
報表展示區(qū)域按照預(yù)定義的布局展示多個報表,一般有如下幾個類型:
單值:表示一些重要指標(biāo),如有效請求率、攻擊峰值等。
線/面積圖:表示一些重要指標(biāo)特定時間單元內(nèi)的趨勢圖,如流入帶寬趨勢、攻擊攔截趨勢等。
地圖:表示一些訪問者、攻擊者的地理分布,如CC攻擊者國家分布、訪問熱點分布等。
餅圖:表示一些重要信息的分布,例如被攻擊網(wǎng)站前10、客戶端類型分布等。
表格:展示一些重要信息,一般分多個列。如攻擊者列表等。
和地圖表示一些重要的(地理)分布,有的是線圖,表示時間軸上的趨勢。
圖表操作
一個典型的圖標(biāo)包括如下幾個區(qū)域:
標(biāo)題
對這個圖標(biāo)的一個簡單介紹。
覆蓋時間區(qū)域
展示了這個圖標(biāo)統(tǒng)計所對應(yīng)的時間范圍,當(dāng)鼠標(biāo)移動上去可以看到具體信息,例如:
也可以點擊這個圖標(biāo),彈出時間選擇視圖與前面全局類似,修改后,僅僅會影響當(dāng)前圖表。
注意:
內(nèi)置報表:運營中心
圖表概述
這個內(nèi)置圖表展示被DDoS保護的網(wǎng)站目前的總體運營狀況,包括有效請求狀況、流量、趨勢以及被CC攻擊的流量、峰值、攻擊者分布等。
完整圖表列表如下:
| 有效請求包率 | 單值 | 1小時(相對) | 有效請求(非CC攻擊或400錯誤的請求)個數(shù)在所有請求總數(shù)的占比 | 95% |
| 有效請求流量率 | 單值 | 1小時(相對) | 有效請求(非CC攻擊或400錯誤的請求)流量在所有請求總流量的占比 | 95% |
| 接收流量 | 單值 | 1小時(相對) | 有效請求(非CC攻擊)的流入流量總和,單位MB | 300 MB |
| 攻擊流量 | 單值 | 1小時(相對) | CC攻擊的流入流量總和,單位MB | 30 MB |
| 流出流量 | 單值 | 1小時(相對) | 有效請求(非CC攻擊)流出流量總和,單位MB | 300 MB |
| 網(wǎng)絡(luò)in帶寬峰值 | 單值 | 1小時(相對) | 網(wǎng)站請求的流入流量速率的最高峰值,單位 Bytes/每秒 | 100 Bytes/s |
| 網(wǎng)絡(luò)out帶寬峰值 | 單值 | 1小時(相對) | 網(wǎng)站請求的流出流量速率的最高峰值,單位 Bytes/每秒 | 100 Bytes/s |
| 接收數(shù)據(jù)包 | 單值 | 1小時(相對) | 有效請求(非CC攻擊)的流入請求個數(shù),單位個 | 30000 個 |
| 攻擊數(shù)據(jù)包 | 單值 | 1小時(相對) | CC攻擊的請求個數(shù)總和,單位個 | 100 個 |
| 攻擊峰值 | 單值 | 1小時(相對) | CC攻擊的最高峰值,單位個/峰值 | 100 個/分鐘 |
| 流入帶寬與攻擊趨勢 | 雙線圖 | 1小時(整點) | 每分鐘的有效請求和攻擊請求的流量帶寬的趨勢圖(單位KB/S) | - |
| 請求與攔截趨勢 | 雙線圖 | 1小時(整點) | 每分鐘的請求和攔截的CC攻擊請求總數(shù)的趨勢圖(單位個/分鐘) | - |
| 有效請求率趨勢 | 雙線圖 | 1小時(整點) | 每分鐘的有效請求(非CC攻擊或400錯誤的請求)個數(shù)在所有請求總數(shù)的占比趨勢圖(單位%) | - |
| 訪問狀態(tài)分布趨勢 | 流圖 | 1小時(整點) | 每分鐘的各種請求處理狀態(tài)(400、304、20等)的趨勢圖(單位個/分鐘) | - |
| CC攻擊者分布 | 世界地圖 | 1小時(相對) | CC攻擊的次數(shù)總和在來源國家的分布 | - |
| CC攻擊者分布 | 中國地圖 | 1小時(相對) | CC攻擊的次數(shù)總和在來源省份(中國)的分布 | - |
| 攻擊者列表 | 表格 | 1小時(相對) | 前100個攻擊最多的攻擊者信息,包括IP、地域城市、網(wǎng)絡(luò)、攻擊次數(shù)和攻擊總流量 | - |
| 攻擊接入線路分布 | 餅圖 | 1小時(相對) | CC攻擊來源的接入DDoS高防線路分布,如電信、聯(lián)通和BGP等 | - |
| 被攻擊網(wǎng)站Top10 | 環(huán)圖 | 1小時(相對) | 被攻擊最多的10個網(wǎng)站 | - |
內(nèi)置報表:訪問中心
圖表概述
這個內(nèi)置圖表展示被DDoS保護的網(wǎng)站目前的總體被訪問狀況,包括PV/UV趨勢與帶寬峰值、訪問者分布、流量線路分布、客戶端類型分布、請求分布、被訪問網(wǎng)站分布等。
完整圖表列表如下:
| PV | 單值 | 1小時(相對) | 請求總數(shù) | 100000 |
| UV | 單值 | 1小時(相對) | 獨立的訪問客戶端總數(shù) | 100000 |
| 流入流量 | 單值 | 1小時(相對) | 網(wǎng)站的流入流量總和,單位MB | 300 MB |
| 網(wǎng)絡(luò)in帶寬峰值 | 單值 | 1小時(相對) | 網(wǎng)站請求的流入流量速率的最高峰值,單位 Bytes/每秒 | 100 Bytes/s |
| 網(wǎng)絡(luò)out帶寬峰值 | 單值 | 1小時(相對) | 網(wǎng)站請求的流出流量速率的最高峰值,單位 Bytes/每秒 | 100 Bytes/s |
| 流量帶寬趨勢 | 雙線圖 | 1小時(整點) | 每分鐘的網(wǎng)站流入流出流量的趨勢圖(單位KB/S) | - |
| 請求與攔截趨勢 | 雙線圖 | 1小時(整點) | 每分鐘的請求和攔截的CC攻擊請求總數(shù)的趨勢圖(單位個/分鐘) | - |
| PV/UV訪問趨勢 | 雙線圖 | 1小時(整點) | 每分鐘的PV與UV的趨勢圖(單位個) | - |
| 訪問者分布 | 世界地圖 | 1小時(相對) | 訪問者PV在來源國家的分布 | - |
| 訪問者熱力圖 | 高德地圖 | 1小時(相對) | 訪問者在地理位置上的訪問熱力圖 | - |
| 流入流量分布 | 世界地圖 | 1小時(相對) | 流入流量總和在來源國家的分布(單位MB) | - |
| 流入流量分布 | 中國地圖 | 1小時(相對) | 流入流量總和在來源省份的分布(單位MB) | - |
| 接入線路分布 | 環(huán)圖 | 1小時(相對) | 訪問者來源的接入DDoS高防線路分布,如電信、聯(lián)通和BGP等 | - |
| 流入流量網(wǎng)絡(luò)提供商分布 | 環(huán)圖 | 1小時(相對) | 訪問者通過網(wǎng)絡(luò)運營商接入的流入流量分布(單位MB),如電信、聯(lián)通、移動、教育網(wǎng)等 | - |
| 訪問最多的客戶端 | 表格 | 1小時(相對) | 前100個訪問最多的客戶端信息,包括IP、地域城市、網(wǎng)絡(luò)、請求方法分布、流入流量、錯誤訪問次數(shù)、攔截的CC攻擊次數(shù)等 | - |
| 訪問域名 | 環(huán)圖 | 1小時(相對) | 前20個被訪問最多的域名 | - |
| Referer | 表格 | 1小時(相對) | 前100個最多的跳轉(zhuǎn)Referer URL、主機以及次數(shù)等 | - |
| 客戶端類型分布 | 環(huán)圖 | 1小時(相對) | 前20個被訪問最多的客戶端類型,如iPhone、Widnows IE、Chrome、iPad等 | - |
| 客戶端類型分布 | 環(huán)圖 | 1小時(相對) | 前20個被訪問最多的客戶端類型,如iPhone、Widnows IE、Chrome、iPad等 | - |
| 請求內(nèi)容類型分布 | 環(huán)圖 | 1小時(相對) | 前20個最多的請求內(nèi)容類型,如HTML、Form、JSON、流數(shù)據(jù)等 | - |
進一步參考
我們會介紹更多關(guān)于如何使用DDoS高防訪問日志對網(wǎng)站運營、訪問和安全狀況進行詳細分析的內(nèi)容,敬請期待。
- DDoS高防日志 - 實時分析(一):背景、配置與功能概述
- DDoS高防日志 - 實時分析(二):分析統(tǒng)計界面、功能介紹
- DDoS高防日志 - 實時分析(三):報表界面、功能介紹
- DDoS高防日志 - 實時分析(四):免費額度與額外費用說明
原文鏈接
本文為云棲社區(qū)原創(chuàng)內(nèi)容,未經(jīng)允許不得轉(zhuǎn)載。
總結(jié)
以上是生活随笔為你收集整理的阿里云DDoS高防 - 访问与攻击日志实时分析(三)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: FPGA设计中遇到的奇葩问题之“芯片也要
- 下一篇: 机器学习者都应该知道的五种损失函数!