You need to enable JavaScript to run this app.
导航
DDoS防护
  • 文档首页
    • /DDoS防护/DDoS 高防/用户指南/安全运营/查看和分析日志
查看和分析日志
最近更新时间:2024.11.14 09:55:45首次发布时间:2024.11.14 09:55:45
我的收藏

您可以采集 DDoS 高防防护网站的日志数据,并基于日志服务的检索分析、监控告警、数据可视化等功能,快速查看业务的状态和防护效果,以便及时处理异常。

注意事项

  • DDoS 高防根据所购日志服务规格分配日志容量,如设置的日志存储时长内对应的日志量超出已购日志容量,则仅在已购日志容量内采集日志数据。因日志容量超量或到期导致部分日志数据无法按预期时长存储时,可以按需升级或续费以保障日志数据按预期时长存储。
  • 开通 DDoS 高防日志服务时将自动创建 DDoS 服务关联角色,该角色拥有 DDoS 日志项目创建/回收及日志采集权限。在使用 DDoS 日志服务期间,请不要删除该授权,否则会影响到日志的采集及实例回收等操作。

前提条件

  • 您已购买 DDoS 日志服务。购买相关操作请参考购买日志服务
  • 您已成功购买 DDoS 高防实例并完成业务流量接入。支持通过手动添加方式和批量导入方式添加域名。

查看日志项目和日志主题

购买日志服务后,DDoS 会自动创建专属日志项目和日志主题。以下步骤介绍如何在 DDoS 高防控制台查看日志项目和主题信息。

  1. 登录 DDoS 高防控制台

  2. 在页面左侧,选择 DDoS 高防>安全运营>日志管理

  3. 鼠标悬浮于详情,可查看日志项目和日志主题信息。
    Image

    资源类型

    说明

    日志项目

    • DDoS 自动创建的日志项目是基础的资源管理单位,暂不支持删除。
    • DDoS 的专用日志项目命名方式为:adv_antiddos-project-<account_id>-<region>,例如adv_antiddos-project-2000******-cn-beijing。单击日志项目名称可以跳转到日志服务控制台查看项目信息。

    日志主题

    • DDoS 日志项目下默认创建专用日志主题,暂不支持删除。
    • 日志主题是进行日志管理的基本单位,例如日志采集、存储、和查询分析等等。
    • DDoS 专用日志项目命名固定为:adv_antiddos-log。单击日志主题名称可以跳转到日志服务控制台查看相关信息。

快速筛选日志

支持根据域名、路径、高防 IP、源 IP、高防状态码和源站状态码快速筛选日志。快速筛选条件将用于日志检索分析,可在查询结果中查看日志数量和趋势,在原始日志页面下查看日志详情。

  1. 登录 DDoS 高防控制台

  2. 在页面左侧,选择 DDoS 高防>安全运营>日志管理

  3. 在快捷筛选列表中输入信息。
    Image

    筛选参数

    说明

    域名

    需要检索分析的域名范围。默认为全部域名,支持切换为单个精确域名。

    路径

    需要检索分析的精确路径,不支持通配符。

    高防 IP

    需要检索分析的单个高防 IP 地址,不支持多个 IP 地址或 IP 段。

    源 IP

    需要检索分析的单个源站 IP 地址,不支持多个 IP 地址或 IP 段。

    高防状态码

    高防返回给客户端的状态码,支持单选或多选。

    • 0:未触发防护规则。
    • 200:放行。
    • 403:拦截。

    源站状态码

    源站返回给高防的状态码,支持单选或多选。

    • 0:未触发防护规则。
    • 200:放行。
    • 403:拦截。

  4. 单击查询
    快速筛选参数会在检索分析框中生成对应查询语句。在查询结果中可查看日志数量和趋势,在原始日志页面下可查看日志详情。
    例如下图为查询高防 IP 180.188.. 对应高防状态码为 403 的查询结果。
    Image

检索分析日志

输入日志检索或分析语句,查询指定条件下的日志数据。

  • 日志服务管理模块支持对采集到服务端的日志数据,进行实时检索。您可以通过检索语句匹配日志中的字段,快速筛选和检索目标信息。相关操作请参考检索日志
  • 日志分析是在日志检索基础上提供的实时数据分析能力,基于日志检索结果进行 SQL 分析与计算,并以分析图表的方式展示分析结果。在日志管理模块选择对应的日志主题并输入检索分析语句,指定查询时间后即可分析日志数据。相关操作请参考分析日志

  1. 登录 DDoS 高防控制台

  2. 在页面左侧,选择 DDoS 高防>安全运营>日志管理

  3. 在检索分析语句输入框内,输入对应语句。
    Image

    • 如何通过检索条件筛选出符合条件的日志,可参考火山引擎日志服务检索功能说明,详见检索语法
    • 如何通过 SQL 语句进行日志统计分析,可参考火山引擎日志服务分析功能说明,请参见分析概述
    • 关于 DDoS 高防日志字段的详细说明,请参见日志字段说明

    说明

    多个检索语句间用空格分隔时,表示“或”逻辑,即等同于OR。例如warning error等同于warning OR error,表示检索内容中包含关键词warningerror的日志。

  4. 单击检索。
    在查询结果中可查看日志数量和趋势,在原始日志页面下可查看日志详情。
    例如下图为查询高防 IP 180.188.. 对应高防状态码为 403 的查询结果。
    Image

  5. (可选)设置查询图表时间范围和自动刷新。

    • 时间范围:默认展示近 3 天内的查询结果,支持自定义相对时间和绝对时间。
    • 自动刷新:自动刷新默认关闭,开启后可设置自动刷新频率。

查询与分析结果说明

原始日志

您可在原始日志页签下,查看查询的日志结果,并根据需要调整视图效果。默认按原始视图展示查询到的所有日志信息。
Image

  • 原始日志页面相关的操作说明。

    编号

    功能

    说明

    显示所有字段

    • 开启后,显示所有字段。
    • 关闭后,不展示空字段和预置字段。

    搜索字段

    输入字段名称,可以检索对应字段。

    设置显示字段

    • 默认状态下,日志内容详情展示所有索引字段内容。
    • 在索引字段列表中选择目标字段,单击③所示图标,可将该字段添加至显示字段列表中,右侧日志内容视图将展示选中的字段内容。

    调整字段显示顺序

    鼠标按住⑥所示图标上下拖动字段,可调整字段显示顺序。

    切换日志视图

    • 原始:集中展示日志内容的字段,该视图下可设置内容按字段换行、平铺 JSON 类字段和紧凑型布局。
    • 表格:日志按表格样式,不同字段分列展示。

    调整原始日志视图

    原始视图支持调整显示效果。

    • 换行:开启后,日志内容的字段将分行显示。
    • 平铺 JSON 类字段:开启后,JSON 类型字段将以平铺样式展示,即其每个子字段都展开显示。
    • 紧凑布局:开启后,日志时间和内容将合并显示,不再分列。
    • 过滤字段:支持分别过滤预置字段和空字段。

    下载日志

    下载符合查询条件的日志信息至本地。相关操作请参见下载日志和查看导出历史

  • 字段名称左侧的标签为字段数据类型说明。

    • ddouble类型,指浮点型数据类型的字段。
    • llong类型,指整数类型的字段。
    • jjson类型,适用于格式为 JSON 对象的字段。
    • ttext类型,适用于字符串类型的字段。
      关于日志字段数据类型的详细说明,请参见索引数据类型

图表分析

您可在图表分析页签下,按选择合适的图表查看分析结果。支持按表格、折线图、柱状图、饼图和单值图样式展示。更多关于图表说明和配置的信息,请参见统计图表说明
Image