摘要:本文介紹了如何配置DDoS日志分析功能羡铲,結(jié)合實際場景詳細介紹了如何使用日志對DDoS訪問與攻擊日志進行分析與圖形化操作给猾。
概述
本文介紹了如何配置DDoS日志分析功能仗谆,結(jié)合實際場景詳細介紹了如何使用日志對DDoS訪問與攻擊日志進行分析與圖形化操作城须。
前提配置
剛進入DDoS高防控制臺的全量日志下风瘦,在界面引導下開通日志服務并授權(quán)操作后律姨。就可以給特定的網(wǎng)站啟用日志分析功能了振峻。
分析界面介紹
當選擇某一個網(wǎng)站點擊日志分析時,會展示基于這個網(wǎng)站的日志分析界面:
這個查詢界面大致可以劃分為如下幾個功能區(qū)域:
1. 日志庫與項目信息
當為特定DDoS的防護網(wǎng)站打開了日志分析的功能時, DDoS會實時將相關(guān)網(wǎng)站的訪問和防護日志導入到您擁有的日志服務的專屬日志庫中择份。默認打開日志分析的網(wǎng)站的日志都會集中放到這一個日志庫中扣孟。
專屬的日志庫名字是ddos-pro-logstore,存放于日志服務的項目ddos-pro-project-阿里云賬戶ID中缓淹。國內(nèi)項目在杭州區(qū)域哈打,國外項目在香港區(qū)域。
當選擇特定網(wǎng)站時讯壶,區(qū)域#4查詢框會自動填入特定的查詢語句料仗,如:
matched_host: aliyun.com
來展示屬于這個網(wǎng)站的日志。關(guān)于查詢語句框的具體信息可以參考后面內(nèi)容伏蚊。
2. 日志時間范圍選擇器
點擊這里可以選擇要分析的日志的時間范圍立轧,可以是相對時間,也可以使整點時間躏吊,或者特定時間:
注意:可以查詢的最久日志由日志庫的周期決定氛改,日志庫默認的周期是3天(3天前的日志會自動刪除),默認情況下只能查詢到過去3*24小時的日志比伏。如果需要查詢更長時間的日志胜卤,可以參考這里。
對于選擇器的每個選項的更詳細的介紹赁项,可以參考這里
3. 輔助配置工具欄
這里是查詢操作后的一些輔助工具葛躏。包括:
另存為快速查詢:將當前區(qū)域#4查詢框的內(nèi)容保存并賦予名字,以便復用(如何如何需要在日志服務的高級管理界面中操作)悠菜。也可以用于配置告警時使用舰攒。
另存為告警:這里是配置告警的控制界面,基于某一個已經(jīng)保存的快速查詢進行報警配置悔醋,具體請參考這里摩窃。
4. 查詢語句輸入框
這里基于已經(jīng)配置的時間范圍內(nèi),對日志進行搜索芬骄。如果保留空白或者輸入*表示不做任何過濾猾愿,查詢選擇時間范圍內(nèi)的所有日志鹦聪。
默認選擇一個網(wǎng)站的分析日志時,會自動輸入當前選擇的網(wǎng)站(例如aliyun.com)的查詢條件:
matched_host: aliyun.com
這里可以按照語法自由輸入蒂秘,進行全文搜索或者基于字段的搜索椎麦,查詢框支持換行(Ctrl + Enter)、語法高亮和提示功能等材彪。
4.1 全文搜索
全文搜索观挎,不需要指定特定的字段,直接輸入關(guān)鍵字(可以用雙引號括起來)段化,多個關(guān)鍵字以空格(或and)分隔即可嘁捷,
示例1:多關(guān)鍵字查詢
這里搜索包含所有www.aliyun.com和error的日志。例如:
www.aliyun.com error
也可以是:
www.aliyun.com and error
示例2:多關(guān)鍵字或條件查詢
這里搜索所有包含www.aliyun.com并且包含error或者404的日志显熏。例如:
www.aliyun.com and (error or 404)
示例3:前綴查詢
這里搜索所有包含www.aliyun.com并且包含failed_開頭關(guān)鍵字雄嚣。例如:
www.aliyun.com and failed_*
注意:查詢只支持后綴加*,不支持前綴*喘蟆,如:*_error缓升。
4.2 字段搜索
基于特定字段的更精準的搜索,并且支持數(shù)值類型字段的比較蕴轨,主要形式是字段:值或者字段 >= 值這種形式港谊,之間用and、or等進行組合橙弱。也可以和全文搜索組合使用(也是通過and歧寺、or等連接)。
示例1:多字段查詢
這里搜索所有www.aliyun.com被CC攻擊的日志:
matched_host: www.aliyun.com and cc_blocks: 1
如果要搜索某個客戶端1.2.3.4對網(wǎng)站www.aliyun.com的所有錯誤404的訪問日志棘脐,可以這樣:
real_client_ip: 1.2.3.4 and matched_host: www.aliyun.com and status: 404
注意:這里使用的字段matched_host斜筐、cc_blocks、real_client_ip和status等都是DDoS訪問與攻擊日志的字段蛀缝,詳細的字段列表和信息顷链,可以參考這里
示例2:數(shù)值字段查詢
這里搜索所有慢請求日志(響應時間超過5秒):
request_time_msec > 5000
也支持區(qū)間查詢,查詢響應時間大于5秒且小于等于10秒(左開右閉)的日志:
request_time_msec in (5000 10000]
等價于:
request_time_msec > 5000 and request_time_msec <= 10000
示例3:字段存在與否查詢
針對特定字段的存在與否進行查詢:
查詢存在ua_browser字段的日志:ua_browser: *
查詢不能存在ua_browser字段的日志:not ua_browser: *
4.3 完整字段
DDoS網(wǎng)站訪問日志和攻擊日志具體有哪些字段可以進行查詢屈梁,它們的含義嗤练、類型、格式以及可能的值有哪些俘闯,可以參考這里
4.4 詳細的查詢語法
關(guān)于完整的查詢語法潭苞,例如操作符關(guān)鍵字忽冻、優(yōu)先級真朗、如何查詢包含引號的字符等,可以參考這里
5. 符合條件的日志分布
這里一目了然的展示了符合查詢時間和查詢語句的日志的時間分布僧诚。以時間為橫軸遮婶,數(shù)量縱軸的柱狀圖形式展示蝗碎。下方展示了查詢的日志總數(shù)。
注意:可以在柱狀圖上滑動以選擇更小范圍的時間區(qū)域旗扑,時間選擇器會自動更新為選擇的時間范圍蹦骑,并刷新結(jié)果。
6. 分頁的日志詳細信息
這里以分頁的形式展示了每一條日志的詳細內(nèi)容臀防,包括時間眠菇、內(nèi)容以及其中的各個字段「ぶ裕可以對列進行排序捎废、對當前頁進行下載,也可以點擊#6.1 下載與展示列調(diào)整中齒輪按鈕致燥,選擇特定的字段進行展示等登疗。
注意:可以在頁面中點擊相應字段的值(或者分詞),那么會自動在#4 查詢語句輸入框中自動加入相應的搜索條件嫌蚤。
例如鼠標點擊request_method: GET中的值GET辐益,會自動給搜索框加入如下語句:
原來的搜索語句 and request_method: ?GET
7. 字段列表
字段列表展示了日志庫的所有字段,它們的含義脱吱、類型智政、格式以及可能的值有哪些,可以參考這里箱蝠。
點擊每一個字段旁的眼睛按鈕女仰,可以展開對這個字段的各個值的分布。例如點擊content_type將會展示來自當前查詢下請求內(nèi)容類型的分布:
可以點擊鏈接approx_distinct抡锈,展示這個字段有多少個唯一的值疾忍。也可以點擊上圖的小圖標,展示具體的分布信息床三。
如果選擇的是數(shù)值型的字段一罩,如status,則提供最大最小等值的快捷統(tǒng)計方式:
注意:以上操作會切換查詢界面為統(tǒng)計界面并展示結(jié)果撇簿,我們會在后面內(nèi)容介紹聂渊。
?
