阿里云DDoS高防 - 访问与攻击日志实时分析(三)

266 阅读11分钟

摘要:
本文介绍了DDoS日志分析功能的日志报表的使用方法。

概述

本文介绍DDoS日志分析功能日志报表的使用方法。

前提配置

刚进入DDoS高防控制台的全量日志下,在界面引导下开通日志服务并授权操作后。就可以给特定的网站启用日志分析功能了。

报表界面介绍

在前一篇文章我们介绍了基于DDoS日志的分析与统计功能,可能会注意到报表工具栏有一个选项是添加到仪表盘,这个选项的作用是构建自定义的报表;但其实DDoS日志分析与报表功能,已经内置了报表中心给用户。

当选择某一个网站点击日志报表时,会展示基于这个网站的日志报表界面:

这个查询界面大致可以划分为如下几个功能区域:

1. 内置报表列表

当您在DDoS控制台为特定DDoS的防护网站打开了日志分析的功能时, DDoS会实时将相关网站的访问和防护日志导入到您拥有的日志服务的专属日志库中。默认打开日志分析的网站的日志都会集中放到这一个日志库中。专属的日志库名字是ddos-pro-logstore,存放于日志服务的项目ddos-pro-project-阿里云账户ID中。国内项目在杭州区域,国外项目在香港区域。
DDoS也会默认在这个项目中为这个日志库创建两个内置的报表:

报表报表名报表作用
DDoS运营中心ddos-pro-logstore_ddos_operation_center展示被DDoS保护的网站目前的总体运营状况,包括有效请求状况、流量、趋势以及被CC攻击的流量、峰值、攻击者分布等。
OS访问中心ddos-pro-logstore_ddos_access_center展示被DDoS保护的网站目前的总体被访问状况,包括PV/UV趋势与带宽峰值、访问者分布、流量线路分布、客户端类型分布、请求分布、被访问网站分布等。

可以自由点击报表列表进行切换。关于内置报表更多信息,参考后面的内容。

2. 报表与项目信息

这里展示当前报表的名称与所在项目的信息。当选择某个网站点击日志报表时,会自动在#4 全局时间选择器与过滤条件中自动添加上这个网站的过滤条件,以便展示这个网站的运营与访问状况:

matched_host: www.aliyun.com

3. 报表工具栏

这里是报表的一些辅助工具。包括:
刷新:在当前页面停留一段时间后,可能有新的符合当前条件的数据导入,可以点击这个以便刷新这些数据反映在报表上。也可以点击自动刷新来在选择的间隔内自动刷新。
重置时间:将在#5 报表展示区域中各个图表的时间选择器重置为之前保存的时间范围。

4. 全局时间选择器与过滤条件

4.1 全局时间选择器

#5. 报表展示区域内的每一个报表都会有一个自己的时间选择范围(例如有的展示过去1天的访问量,有的展示过去30天的访问趋势等)。但是这里提供了一种方式,让所有图表统一使用一个选择的时间段继续展示

点击请选择会弹出和查询分析界面一样的时间选择器,选择要展示的时间范围的日志的报表信息,可以是相对时间,也可以使整点时间,或者特定时间:

注意:

  1. 修改后,所有图表的时间都会改成这个时间范围。
  2. 这样的选择只是临时的一种展示方式,并不会保存,下一次进入这个报表的时候,依然会恢复默认情况。

4.2 过滤条件

当选择某个网站点击日志报表时,会自动添加一个过滤条件,例如:

matched_host: www.aliyun.com

会给所有#5. 报表展示区域中的每个图表添加这个过滤条件。

示例1:查看所有网站的总体报表

只需要将上面自动添加的过滤条件去掉,就相当于对当前日志库ddos-pro-logstore进行全局的报表展示了。

示例2:添加额外条件

也可以进一步添加更多条件,例如这里展示通过电信线路访问请求的总体情况:

注意:多个过滤条件之间是AND关系。这里使用了字段isp_line是DDoS日志的字段,表示连接入口的运营商网络,关于更详细的完整字段列表和信息,可以参考这里

5. 报表展示区域

报表展示区域按照预定义的布局展示多个报表,一般有如下几个类型:
单值:表示一些重要指标,如有效请求率、攻击峰值等。
线/面积图:表示一些重要指标特定时间单元内的趋势图,如流入带宽趋势、攻击拦截趋势等。
地图:表示一些访问者、攻击者的地理分布,如CC攻击者国家分布、访问热点分布等。
饼图:表示一些重要信息的分布,例如被攻击网站前10、客户端类型分布等。
表格:展示一些重要信息,一般分多个列。如攻击者列表等。
和地图表示一些重要的(地理)分布,有的是线图,表示时间轴上的趋势。

图表操作

一个典型的图标包括如下几个区域:

标题

对这个图标的一个简单介绍。

覆盖时间区域

展示了这个图标统计所对应的时间范围,当鼠标移动上去可以看到具体信息,例如:

也可以点击这个图标,弹出时间选择视图与前面全局类似,修改后,仅仅会影响当前图表。

注意:

  1. 修改后,这样的选择只是临时的一种展示方式,并不会保存,下一次进入这个报表的时候,依然会使用默认的时间范围。

内置报表:运营中心

图表概述

这个内置图表展示被DDoS保护的网站目前的总体运营状况,包括有效请求状况、流量、趋势以及被CC攻击的流量、峰值、攻击者分布等。

完整图表列表如下:

图表类型默认时间范围描述样例
有效请求包率单值1小时(相对)有效请求(非CC攻击或400错误的请求)个数在所有请求总数的占比95%
有效请求流量率单值1小时(相对)有效请求(非CC攻击或400错误的请求)流量在所有请求总流量的占比95%
接收流量单值1小时(相对)有效请求(非CC攻击)的流入流量总和,单位MB300 MB
攻击流量单值1小时(相对)CC攻击的流入流量总和,单位MB30 MB
流出流量单值1小时(相对)有效请求(非CC攻击)流出流量总和,单位MB300 MB
网络in带宽峰值单值1小时(相对)网站请求的流入流量速率的最高峰值,单位 Bytes/每秒100 Bytes/s
网络out带宽峰值单值1小时(相对)网站请求的流出流量速率的最高峰值,单位 Bytes/每秒100 Bytes/s
接收数据包单值1小时(相对)有效请求(非CC攻击)的流入请求个数,单位个30000 个
攻击数据包单值1小时(相对)CC攻击的请求个数总和,单位个100 个
攻击峰值单值1小时(相对)CC攻击的最高峰值,单位个/峰值100 个/分钟
流入带宽与攻击趋势双线图1小时(整点)每分钟的有效请求和攻击请求的流量带宽的趋势图(单位KB/S)-
请求与拦截趋势双线图1小时(整点)每分钟的请求和拦截的CC攻击请求总数的趋势图(单位个/分钟)-
有效请求率趋势双线图1小时(整点)每分钟的有效请求(非CC攻击或400错误的请求)个数在所有请求总数的占比趋势图(单位%)-
访问状态分布趋势流图1小时(整点)每分钟的各种请求处理状态(400、304、20等)的趋势图(单位个/分钟)-
CC攻击者分布世界地图1小时(相对)CC攻击的次数总和在来源国家的分布-
CC攻击者分布中国地图1小时(相对)CC攻击的次数总和在来源省份(中国)的分布-
攻击者列表表格1小时(相对)前100个攻击最多的攻击者信息,包括IP、地域城市、网络、攻击次数和攻击总流量-
攻击接入线路分布饼图1小时(相对)CC攻击来源的接入DDoS高防线路分布,如电信、联通和BGP等-
被攻击网站Top10环图1小时(相对)被攻击最多的10个网站-

内置报表:访问中心

图表概述

这个内置图表展示被DDoS保护的网站目前的总体被访问状况,包括PV/UV趋势与带宽峰值、访问者分布、流量线路分布、客户端类型分布、请求分布、被访问网站分布等。

完整图表列表如下:

图表类型默认时间范围描述样例
PV单值1小时(相对)请求总数100000
UV单值1小时(相对)独立的访问客户端总数100000
流入流量单值1小时(相对)网站的流入流量总和,单位MB300 MB
网络in带宽峰值单值1小时(相对)网站请求的流入流量速率的最高峰值,单位 Bytes/每秒100 Bytes/s
网络out带宽峰值单值1小时(相对)网站请求的流出流量速率的最高峰值,单位 Bytes/每秒100 Bytes/s
流量带宽趋势双线图1小时(整点)每分钟的网站流入流出流量的趋势图(单位KB/S)-
请求与拦截趋势双线图1小时(整点)每分钟的请求和拦截的CC攻击请求总数的趋势图(单位个/分钟)-
PV/UV访问趋势双线图1小时(整点)每分钟的PV与UV的趋势图(单位个)-
访问者分布世界地图1小时(相对)访问者PV在来源国家的分布-
访问者热力图高德地图1小时(相对)访问者在地理位置上的访问热力图-
流入流量分布世界地图1小时(相对)流入流量总和在来源国家的分布(单位MB)-
流入流量分布中国地图1小时(相对)流入流量总和在来源省份的分布(单位MB)-
接入线路分布环图1小时(相对)访问者来源的接入DDoS高防线路分布,如电信、联通和BGP等-
流入流量网络提供商分布环图1小时(相对)访问者通过网络运营商接入的流入流量分布(单位MB),如电信、联通、移动、教育网等-
访问最多的客户端表格1小时(相对)前100个访问最多的客户端信息,包括IP、地域城市、网络、请求方法分布、流入流量、错误访问次数、拦截的CC攻击次数等-
访问域名环图1小时(相对)前20个被访问最多的域名-
Referer表格1小时(相对)前100个最多的跳转Referer URL、主机以及次数等-
客户端类型分布环图1小时(相对)前20个被访问最多的客户端类型,如iPhone、Widnows IE、Chrome、iPad等-
客户端类型分布环图1小时(相对)前20个被访问最多的客户端类型,如iPhone、Widnows IE、Chrome、iPad等-
请求内容类型分布环图1小时(相对)前20个最多的请求内容类型,如HTML、Form、JSON、流数据等-

进一步参考

我们会介绍更多关于如何使用DDoS高防访问日志对网站运营、访问和安全状况进行详细分析的内容,敬请期待。

原文链接