阿里云DDoS高防 - 访问与攻击日志实时分析(三)
摘要: 本文介绍了DDoS日志分析功能的日志报表的使用方法。
概述
本文介绍DDoS日志分析功能的日志报表的使用方法。
前提配置
刚进入DDoS高防控制台的全量日志下,在界面引导下开通日志服务并授权操作后。就可以给特定的网站启用日志分析功能了。
报表界面介绍
在前一篇文章我们介绍了基于DDoS日志的分析与统计功能,可能会注意到报表工具栏有一个选项是添加到仪表盘,这个选项的作用是构建自定义的报表;但其实DDoS日志分析与报表功能,已经内置了报表中心给用户。
当选择某一个网站点击日志报表时,会展示基于这个网站的日志报表界面:
这个查询界面大致可以划分为如下几个功能区域:
1. 内置报表列表
当您在DDoS控制台为特定DDoS的防护网站打开了日志分析的功能时, DDoS会实时将相关网站的访问和防护日志导入到您拥有的日志服务的专属日志库中。默认打开日志分析的网站的日志都会集中放到这一个日志库中。专属的日志库名字是ddos-pro-logstore,存放于日志服务的项目ddos-pro-project-阿里云账户ID中。国内项目在杭州区域,国外项目在香港区域。
DDoS也会默认在这个项目中为这个日志库创建两个内置的报表:
| 报表 | 报表名 | 报表作用 |
|---|---|---|
| DDoS运营中心 | ddos-pro-logstore_ddos_operation_center | 展示被DDoS保护的网站目前的总体运营状况,包括有效请求状况、流量、趋势以及被CC攻击的流量、峰值、攻击者分布等。 |
| OS访问中心 | ddos-pro-logstore_ddos_access_center | 展示被DDoS保护的网站目前的总体被访问状况,包括PV/UV趋势与带宽峰值、访问者分布、流量线路分布、客户端类型分布、请求分布、被访问网站分布等。 |
可以自由点击报表列表进行切换。关于内置报表更多信息,参考后面的内容。
2. 报表与项目信息
这里展示当前报表的名称与所在项目的信息。当选择某个网站点击日志报表时,会自动在#4 全局时间选择器与过滤条件中自动添加上这个网站的过滤条件,以便展示这个网站的运营与访问状况:
matched_host: www.aliyun.com3. 报表工具栏
这里是报表的一些辅助工具。包括:
刷新:在当前页面停留一段时间后,可能有新的符合当前条件的数据导入,可以点击这个以便刷新这些数据反映在报表上。也可以点击自动刷新来在选择的间隔内自动刷新。
重置时间:将在#5 报表展示区域中各个图表的时间选择器重置为之前保存的时间范围。
4. 全局时间选择器与过滤条件
4.1 全局时间选择器
在#5. 报表展示区域内的每一个报表都会有一个自己的时间选择范围(例如有的展示过去1天的访问量,有的展示过去30天的访问趋势等)。但是这里提供了一种方式,让所有图表统一使用一个选择的时间段继续展示。
点击请选择会弹出和查询分析界面一样的时间选择器,选择要展示的时间范围的日志的报表信息,可以是相对时间,也可以使整点时间,或者特定时间:
注意:
- 修改后,所有图表的时间都会改成这个时间范围。
- 这样的选择只是临时的一种展示方式,并不会保存,下一次进入这个报表的时候,依然会恢复默认情况。
4.2 过滤条件
当选择某个网站点击日志报表时,会自动添加一个过滤条件,例如:
matched_host: www.aliyun.com会给所有#5. 报表展示区域中的每个图表添加这个过滤条件。
示例1:查看所有网站的总体报表
只需要将上面自动添加的过滤条件去掉,就相当于对当前日志库ddos-pro-logstore进行全局的报表展示了。
示例2:添加额外条件
也可以进一步添加更多条件,例如这里展示通过电信线路访问请求的总体情况:
注意:多个过滤条件之间是AND关系。这里使用了字段isp_line是DDoS日志的字段,表示连接入口的运营商网络,关于更详细的完整字段列表和信息,可以参考这里
5. 报表展示区域
报表展示区域按照预定义的布局展示多个报表,一般有如下几个类型:
单值:表示一些重要指标,如有效请求率、攻击峰值等。
线/面积图:表示一些重要指标特定时间单元内的趋势图,如流入带宽趋势、攻击拦截趋势等。
地图:表示一些访问者、攻击者的地理分布,如CC攻击者国家分布、访问热点分布等。
饼图:表示一些重要信息的分布,例如被攻击网站前10、客户端类型分布等。
表格:展示一些重要信息,一般分多个列。如攻击者列表等。
和地图表示一些重要的(地理)分布,有的是线图,表示时间轴上的趋势。
图表操作
一个典型的图标包括如下几个区域:
标题
对这个图标的一个简单介绍。
覆盖时间区域
展示了这个图标统计所对应的时间范围,当鼠标移动上去可以看到具体信息,例如:
也可以点击这个图标,弹出时间选择视图与前面全局类似,修改后,仅仅会影响当前图表。
注意:
- 修改后,这样的选择只是临时的一种展示方式,并不会保存,下一次进入这个报表的时候,依然会使用默认的时间范围。
内置报表:运营中心
图表概述
这个内置图表展示被DDoS保护的网站目前的总体运营状况,包括有效请求状况、流量、趋势以及被CC攻击的流量、峰值、攻击者分布等。
完整图表列表如下:
| 图表 | 类型 | 默认时间范围 | 描述 | 样例 |
|---|---|---|---|---|
| 有效请求包率 | 单值 | 1小时(相对) | 有效请求(非CC攻击或400错误的请求)个数在所有请求总数的占比 | 95% |
| 有效请求流量率 | 单值 | 1小时(相对) | 有效请求(非CC攻击或400错误的请求)流量在所有请求总流量的占比 | 95% |
| 接收流量 | 单值 | 1小时(相对) | 有效请求(非CC攻击)的流入流量总和,单位MB | 300 MB |
| 攻击流量 | 单值 | 1小时(相对) | CC攻击的流入流量总和,单位MB | 30 MB |
| 流出流量 | 单值 | 1小时(相对) | 有效请求(非CC攻击)流出流量总和,单位MB | 300 MB |
| 网络in带宽峰值 | 单值 | 1小时(相对) | 网站请求的流入流量速率的最高峰值,单位 Bytes/每秒 | 100 Bytes/s |
| 网络out带宽峰值 | 单值 | 1小时(相对) | 网站请求的流出流量速率的最高峰值,单位 Bytes/每秒 | 100 Bytes/s |
| 接收数据包 | 单值 | 1小时(相对) | 有效请求(非CC攻击)的流入请求个数,单位个 | 30000 个 |
| 攻击数据包 | 单值 | 1小时(相对) | CC攻击的请求个数总和,单位个 | 100 个 |
| 攻击峰值 | 单值 | 1小时(相对) | CC攻击的最高峰值,单位个/峰值 | 100 个/分钟 |
| 流入带宽与攻击趋势 | 双线图 | 1小时(整点) | 每分钟的有效请求和攻击请求的流量带宽的趋势图(单位KB/S) | - |
| 请求与拦截趋势 | 双线图 | 1小时(整点) | 每分钟的请求和拦截的CC攻击请求总数的趋势图(单位个/分钟) | - |
| 有效请求率趋势 | 双线图 | 1小时(整点) | 每分钟的有效请求(非CC攻击或400错误的请求)个数在所有请求总数的占比趋势图(单位%) | - |
| 访问状态分布趋势 | 流图 | 1小时(整点) | 每分钟的各种请求处理状态(400、304、20等)的趋势图(单位个/分钟) | - |
| CC攻击者分布 | 世界地图 | 1小时(相对) | CC攻击的次数总和在来源国家的分布 | - |
| CC攻击者分布 | 中国地图 | 1小时(相对) | CC攻击的次数总和在来源省份(中国)的分布 | - |
| 攻击者列表 | 表格 | 1小时(相对) | 前100个攻击最多的攻击者信息,包括IP、地域城市、网络、攻击次数和攻击总流量 | - |
| 攻击接入线路分布 | 饼图 | 1小时(相对) | CC攻击来源的接入DDoS高防线路分布,如电信、联通和BGP等 | - |
| 被攻击网站Top10 | 环图 | 1小时(相对) | 被攻击最多的10个网站 | - |
内置报表:访问中心
图表概述
这个内置图表展示被DDoS保护的网站目前的总体被访问状况,包括PV/UV趋势与带宽峰值、访问者分布、流量线路分布、客户端类型分布、请求分布、被访问网站分布等。
完整图表列表如下:
| 图表 | 类型 | 默认时间范围 | 描述 | 样例 |
|---|---|---|---|---|
| PV | 单值 | 1小时(相对) | 请求总数 | 100000 |
| UV | 单值 | 1小时(相对) | 独立的访问客户端总数 | 100000 |
| 流入流量 | 单值 | 1小时(相对) | 网站的流入流量总和,单位MB | 300 MB |
| 网络in带宽峰值 | 单值 | 1小时(相对) | 网站请求的流入流量速率的最高峰值,单位 Bytes/每秒 | 100 Bytes/s |
| 网络out带宽峰值 | 单值 | 1小时(相对) | 网站请求的流出流量速率的最高峰值,单位 Bytes/每秒 | 100 Bytes/s |
| 流量带宽趋势 | 双线图 | 1小时(整点) | 每分钟的网站流入流出流量的趋势图(单位KB/S) | - |
| 请求与拦截趋势 | 双线图 | 1小时(整点) | 每分钟的请求和拦截的CC攻击请求总数的趋势图(单位个/分钟) | - |
| PV/UV访问趋势 | 双线图 | 1小时(整点) | 每分钟的PV与UV的趋势图(单位个) | - |
| 访问者分布 | 世界地图 | 1小时(相对) | 访问者PV在来源国家的分布 | - |
| 访问者热力图 | 高德地图 | 1小时(相对) | 访问者在地理位置上的访问热力图 | - |
| 流入流量分布 | 世界地图 | 1小时(相对) | 流入流量总和在来源国家的分布(单位MB) | - |
| 流入流量分布 | 中国地图 | 1小时(相对) | 流入流量总和在来源省份的分布(单位MB) | - |
| 接入线路分布 | 环图 | 1小时(相对) | 访问者来源的接入DDoS高防线路分布,如电信、联通和BGP等 | - |
| 流入流量网络提供商分布 | 环图 | 1小时(相对) | 访问者通过网络运营商接入的流入流量分布(单位MB),如电信、联通、移动、教育网等 | - |
| 访问最多的客户端 | 表格 | 1小时(相对) | 前100个访问最多的客户端信息,包括IP、地域城市、网络、请求方法分布、流入流量、错误访问次数、拦截的CC攻击次数等 | - |
| 访问域名 | 环图 | 1小时(相对) | 前20个被访问最多的域名 | - |
| Referer | 表格 | 1小时(相对) | 前100个最多的跳转Referer URL、主机以及次数等 | - |
| 客户端类型分布 | 环图 | 1小时(相对) | 前20个被访问最多的客户端类型,如iPhone、Widnows IE、Chrome、iPad等 | - |
| 客户端类型分布 | 环图 | 1小时(相对) | 前20个被访问最多的客户端类型,如iPhone、Widnows IE、Chrome、iPad等 | - |
| 请求内容类型分布 | 环图 | 1小时(相对) | 前20个最多的请求内容类型,如HTML、Form、JSON、流数据等 | - |
进一步参考
我们会介绍更多关于如何使用DDoS高防访问日志对网站运营、访问和安全状况进行详细分析的内容,敬请期待。
- DDoS高防日志 - 实时分析(一):背景、配置与功能概述
- DDoS高防日志 - 实时分析(二):分析统计界面、功能介绍
- DDoS高防日志 - 实时分析(三):报表界面、功能介绍
- DDoS高防日志 - 实时分析(四):免费额度与额外费用说明
原文链接
本文为云栖社区原创内容,未经允许不得转载。
阿里云DDoS高防 - 访问与攻击日志实时分析(三)相关推荐
- 阿里云DDoS高防 - 访问与攻击日志实时分析(四)
摘要: 本文介绍了DDoS日志实时分析功能的费用计量细节与案例. 概述 本文介绍了DDoS日志的费用计量细节与案例. 费用概述 DDoS日志分析与报表功能依赖日志服务提供日志数据的实时查询与分析功能. ...
- 阿里云DDoS高防 - 访问与攻击日志实时分析(二)
摘要: 本文介绍了如何配置DDoS日志分析功能,结合实际场景详细介绍了如何使用日志对DDoS访问与攻击日志进行分析与图形化操作. 概述 本文介绍了如何配置DDoS日志分析功能,结合实际场景详细介绍了如 ...
- 阿里云DDoS 高防 IP、DDoS 防护包
阿里云DDoS 高防 IP.DDoS 防护包 DDoS 高防 IP 是什么 重要业务连续性的最好保证手段,有效的清洗恶意流量,保护对外 IP 地址不被黑洞, 可以抵抗最高 300G 流量 DDoS 防 ...
- 阿里云DDoS防护和DDoS高防有什么区别
很多客户在咨询防御产品时,相信很多小伙伴会遇到客户问阿里云的防护对比自家的防护产品有什么区别. 阿里云DDoS原生防护和DDoS高防有什么区别? 我们知道阿里云为每个公网IP提供不到5Gbps免费DD ...
- gfnormal 域名 是阿里云的高防IP
最近DGA检出了一堆阿里高防的域名,例如:u3mbyv2siyaw2tnm.gfnormal09aq.com,然后专门查找了下相关文档. 例如 8264.com 这个网站启用了aliyun的高防DDo ...
- 华为云“DDoS高防+CDN”联动
操作场景 如果您的业务(如视频.电商平台)有大量图片或视频等资源需要为用户展示,且希望这些资源可以被用户快速获取.您可以使用华为云"DDoS高防+CDN"联动方案,使这些资源快速被 ...
- 阿里云DDoS基础防护详解防护阈值黑洞时间详细说明
阿里云DDoS基础防护是免费赠送给用户的,每台实例都可以免费试用DDoS基础防护,护云盾分享DDoS基础防护的详细说明,包括防护阈值.防护流量.安全信誉及黑洞时间等: DDoS基础防护详解 阿里云免费 ...
- 阿里云服务器端口访问失败 问题解决
阿里云服务器端口访问失败 项目部署新的阿里云服务器上, 添加安全组端口后,还是无法访问的解决方案 打开本地cmd,telnet IP+端口 查看端口是否可以连通 如果不通,在服务器上防火墙添加对应端口 ...
- 找出阿里云服务器无法访问淘宝司拍页面原因
博主在本地写好的淘宝司拍代码,在本机可以正常运行 但是将代码部署到阿里云服务器后一直报错 页面刚获取相应页面就挂掉了,找了各种原因,刚开始以为是服务的环境配置问题,然后建了新的虚拟环境,然并卵,还是无 ...
最新文章
- IEEE“撑不住”了?声明解除对华为评审限制
- 捷报!又一名HIV感染者被治愈,干细胞移植再次立功
- ISME:多组学揭示低氧环境下的汞甲基化细菌
- Java基础学习_01 概述及环境配置
- java中的抛出异常throws与throw
- MYSQL复制的几种模式
- shell远程执行命令
- IO流——字节流的使用
- 入门篇:函数计算中角色和访问策略的讲解
- 【算法导论】【排序】—— 计数排序(counting sort)
- UITables With Downloaded Images - Easy Asynchronous Code UITable 异步加载图片
- 解决VMware/virtualbox虚拟机下ghost安装XP后无法从硬盘启动的问题
- LSI阵列卡的使用教程
- POI 处理word 文档中 文本框模板
- Java(springboot)连接MongoDB,终于成功啦T_T【呸】
- Echarts图表不显示
- Oracle的查询排序,增加总计列,或者增加总计行
- 倒计时秒杀html模板,显示抢购倒计时秒杀
- CPU相关概念:物理cpu数、核数、逻辑cpu数,12核20线程实例分析
- numbers打开.cvs表格中文显示为乱码!
热门文章
- c++ 图的连通分量是什么_【自考】数据结构第五章图,期末不挂科指南,第9篇
- wind 下装mysql,windows 下安装MySQL
- 【LeetCode笔记】213. 打家劫舍II(Java、动态规划)
- 【LeetCode笔记】20.有效的括号(Java、栈) 21. 合并两个有序链表(Java)
- 【学习笔记】传输层:TCP协议(报文段、连接管理{握手}、可靠传输、流量控制、拥塞控制)
- 安卓手机如何防盗_如何设置安卓手机各版本USB调试模式
- import pandas as pd什么意思_Pandas万花筒:让绘图变得更美观
- python面向对象编程从零开始_Python面向对象编程从零开始,从没对象到有对象
- linux下数据库时间格式,Java编程时间格式与数据库中时间格式转化
- 印度18岁天才少年,造出“全球最小卫星”,实力不容小觑!