`
猫耳呀
  • 浏览: 167074 次
社区版块
存档分类
最新评论

阿里云DDoS高防 - 访问与攻击日志实时分析(二)

 
阅读更多

摘要: 本文介绍了如何配置DDoS日志分析功能,结合实际场景详细介绍了如何使用日志对DDoS访问与攻击日志进行分析与图形化操作。

 

概述

本文介绍了如何配置DDoS日志分析功能,结合实际场景详细介绍了如何使用日志对DDoS访问与攻击日志进行分析与图形化操作。

 

前提配置

刚进入DDoS高防控制台的全量日志下,在界面引导下开通日志服务并授权操作后。就可以给特定的网站启用日志分析功能了。

 

分析界面介绍

当选择某一个网站点击日志分析时,会展示基于这个网站的日志分析界面:

这个查询界面大致可以划分为如下几个功能区域:

 

1. 日志库与项目信息

当为特定DDoS的防护网站打开了日志分析的功能时, DDoS会实时将相关网站的访问和防护日志导入到您拥有的日志服务的专属日志库中。默认打开日志分析的网站的日志都会集中放到这一个日志库中。
专属的日志库名字是ddos-pro-logstore,存放于日志服务的项目ddos-pro-project-阿里云账户ID中。国内项目在杭州区域,国外项目在香港区域。

当选择特定网站时,区域#4查询框会自动填入特定的查询语句,如:

matched_host: aliyun.com

来展示属于这个网站的日志。关于查询语句框的具体信息可以参考后面内容。

 

2. 日志时间范围选择器

点击这里可以选择要分析的日志的时间范围,可以是相对时间,也可以使整点时间,或者特定时间:

注意:可以查询的最久日志由日志库的周期决定,日志库默认的周期是3天(3天前的日志会自动删除),默认情况下只能查询到过去3*24小时的日志。如果需要查询更长时间的日志,可以参考这里

对于选择器的每个选项的更详细的介绍,可以参考这里

 

3. 辅助配置工具栏

这里是查询操作后的一些辅助工具。包括:
另存为快速查询:将当前区域#4查询框的内容保存并赋予名字,以便复用(如何如何需要在日志服务的高级管理界面中操作)。也可以用于配置告警时使用。
另存为告警:这里是配置告警的控制界面,基于某一个已经保存的快速查询进行报警配置,具体请参考这里

 

4. 查询语句输入框

这里基于已经配置的时间范围内,对日志进行搜索。如果保留空白或者输入*表示不做任何过滤,查询选择时间范围内的所有日志。

默认选择一个网站的分析日志时,会自动输入当前选择的网站(例如aliyun.com)的查询条件:

matched_host: aliyun.com

这里可以按照语法自由输入,进行全文搜索或者基于字段的搜索,查询框支持换行(Ctrl + Enter)、语法高亮和提示功能等。

 

4.1 全文搜索

全文搜索,不需要指定特定的字段,直接输入关键字(可以用双引号括起来),多个关键字以空格(或and)分隔即可,

 

示例1:多关键字查询

这里搜索包含所有www.aliyun.comerror的日志。例如:

www.aliyun.com error

也可以是:

www.aliyun.com and error

 

示例2:多关键字条件查询

这里搜索所有包含www.aliyun.com并且包含error或者404的日志。例如:

www.aliyun.com and (error or 404)

 

示例3:前缀查询

这里搜索所有包含www.aliyun.com并且包含failed_开头关键字。例如:

www.aliyun.com and failed_*

注意:查询只支持后缀加*,不支持前缀*,如:*_error

 

4.2 字段搜索

基于特定字段的更精准的搜索,并且支持数值类型字段的比较,主要形式是字段:值或者字段 >= 值这种形式,之间用andor等进行组合。也可以和全文搜索组合使用(也是通过andor等连接)。

 

示例1:多字段查询

这里搜索所有www.aliyun.com被CC攻击的日志:

matched_host: www.aliyun.com and cc_blocks: 1

如果要搜索某个客户端1.2.3.4对网站www.aliyun.com的所有错误404的访问日志,可以这样:

real_client_ip: 1.2.3.4 and matched_host: www.aliyun.com and status: 404

注意:这里使用的字段matched_hostcc_blocksreal_client_ipstatus等都是DDoS访问与攻击日志的字段,详细的字段列表和信息,可以参考这里

 

示例2:数值字段查询

这里搜索所有慢请求日志(响应时间超过5秒):

request_time_msec > 5000

也支持区间查询,查询响应时间大于5秒且小于等于10秒(左开右闭)的日志:

request_time_msec in (5000 10000]

等价于:

request_time_msec > 5000 and request_time_msec <= 10000

 

示例3:字段存在与否查询

针对特定字段的存在与否进行查询:

  • 查询存在ua_browser字段的日志:ua_browser: *

  • 查询不能存在ua_browser字段的日志:not ua_browser: *

 

4.3 完整字段

DDoS网站访问日志和攻击日志具体有哪些字段可以进行查询,它们的含义、类型、格式以及可能的值有哪些,可以参考这里

 

4.4 详细的查询语法

关于完整的查询语法,例如操作符关键字、优先级、如何查询包含引号的字符等,可以参考这里

 

5. 符合条件的日志分布

这里一目了然的展示了符合查询时间和查询语句的日志的时间分布。以时间为横轴,数量纵轴的柱状图形式展示。下方展示了查询的日志总数。

注意:可以在柱状图上滑动以选择更小范围的时间区域,时间选择器会自动更新为选择的时间范围,并刷新结果。

 

6. 分页的日志详细信息

这里以分页的形式展示了每一条日志的详细内容,包括时间、内容以及其中的各个字段。可以对列进行排序、对当前页进行下载,也可以点击#6.1 下载与展示列调整中齿轮按钮,选择特定的字段进行展示等。

注意:可以在页面中点击相应字段的值(或者分词),那么会自动在#4 查询语句输入框中自动加入相应的搜索条件。

例如鼠标点击request_method: GET中的值GET,会自动给搜索框加入如下语句:

原来的搜索语句 and request_method:  GET

 

7. 字段列表

字段列表展示了日志库的所有字段,它们的含义、类型、格式以及可能的值有哪些,可以参考这里

点击每一个字段旁的眼睛按钮,可以展开对这个字段的各个值的分布。例如点击content_type将会展示来自当前查询下请求内容类型的分布:

可以点击链接approx_distinct,展示这个字段有多少个唯一的值。也可以点击上图的小图标,展示具体的分布信息。

如果选择的是数值型的字段,如status,则提供最大最小等值的快捷统计方式:

注意:以上操作会切换查询界面为统计界面并展示结果,我们会在后面内容介绍。

原文链接

分享到:
评论

相关推荐

    阿里云DDoS高防IP服务-最佳实践.pdf

    本文档介绍了阿里云DDoS高防IP服务的最佳实践,通过两个典型的用户案例,展示了DDoS高防IP服务在防护DDoS攻击和CC攻击方面的实效性。下面是从文件中提取的相关知识点: 一、DDoS攻击防护 * DDoS攻击是指分布式拒绝...

    阿里云DDoS高防IP服务-最佳实践-D.docx

    在用户如恒易融遭遇持续的DDoS和CC攻击时,阿里云的高防IP能够迅速启动防护机制,清洗流量,并对异常行为进行溯源分析,提供专业的攻击报告,帮助用户了解攻击来源和方式。此外,高防IP还能在大促前提供群护航服务,...

    阿里云DDoS高防IP服务-快速入门-D.docx

    阿里云DDoS高防IP服务-快速入门-D.docx

    阿里云DDoS高防IP服务-快速入门.pdf

    阿里云DDoS高防IP服务-快速入门.pdf

    DDOS高防系列产品介绍

    7. 攻击日志和报表:高防产品能够记录攻击日志,并提供攻击峰值、攻击源IP、攻击类型等详细报表信息,供用户分析和审计。 8. 健康检查与会话保持:高防产品对用户的服务器进行健康检查,并支持会话保持,以保持用户...

    阿里云DDoS基础防护-最佳实践.pdf

    阿里云DDoS基础防护是针对分布式拒绝服务(DDoS)攻击的一种有效防御方案,尤其适合初创企业或小型在线业务,这些企业在面临DDoS攻击时往往难以承受高昂的防护成本。DDoS攻击通常通过大量无效流量淹没目标服务器,使...

    阿里云DDoS基础防护-最佳实践-D.docx

    - 阿里云的防护系统具备智能分析和清洗功能,能够自动识别异常流量,过滤掉DDoS攻击流量,保护正常业务不受影响。 4. **用户操作指导**: - DDoS高防IP服务提供了详细的操作手册,指导用户如何配置和使用防护策略...

    阿里云迁移技术方案.pptx

    * 后期业务架构:在该阶段,企业将其业务进一步优化,使用阿里云提供的云上架构区域服务,例如DDOS高防、DRDS、DataV等。同时,企业还可以使用阿里云提供的安全服务,例如WAF、CA证书等。 阿里云迁移技术方案的优势...

    一纸禅云盾DDoS高防.pdf

    一纸禅云盾DDoS高防产品是面向互联网服务提供商和企业客户的云安全解决方案,主要针对DDoS(分布式拒绝服务)攻击和应用层CC(Challenge Collapsar)攻击进行防护。DDoS攻击是指利用大量控制的计算机对目标进行同时...

    阿里云证书服务-产品简介-D.docx

    云盾证书服务是阿里云与多家国际及国内知名的证书颁发机构(CA)合作推出的,让用户能在阿里云平台上直接购买或免费获取所需的数字证书。这项服务允许用户一键将服务从不加密的HTTP转换为安全的HTTPS,降低安全转换...

    高防-出码系统源码 pdd通道出码-支付详细教程.rar

     1、支付强悍的实时监控系统,PC端监控,平稳不掉单。管理后台支持多账号轮询。不需要提供太多繁琐的拼多多平台账户信息,几乎全部都是系统自动获取,收货发货签收全自动,成功率杠杠的。  2、完善的对外API接口...

    阿里云证书服务-产品简介.pdf

    阿里云证书服务是阿里云与众多国内外知名CA(证书授权中心)合作,为用户提供的一站式数字证书解决方案。该服务旨在简化用户购买、管理和部署数字证书的过程,确保云上服务的安全性和可靠性。以下是对该产品及其相关...

    阿里云证书服务-快速入门.pdf

    阿里云证书服务旨在为企业和个人提供安全的网络通信环境,通过数字证书确保数据传输的加密性和网站的真实性。快速入门文档详细介绍了购买和管理数字证书的流程,适用于需要了解如何购买、审核和应用数字证书的读者。...

    秒开云无敌硬高防DDOS嵌入式流媒体服务器的设计与实现.pdf

    秒开云无敌硬高防DDOS嵌入式流媒体服务器的设计

    阿里云产品实践&企业上云案例

    在安全方面,阿里云提供了DDoS高防IP服务,保护Java应用免受网络攻击。此外,VPC(Virtual Private Cloud)虚拟私有云服务可以让企业构建隔离的网络环境,保证数据安全。 总的来说,阿里云的产品实践与企业上云案例...

    阿里云产品手册

    安全方面,阿里云提供全面的安全防护,包括安全管家、DDoS高防IP、云盾等服务,致力于为企业提供全方位的安全解决方案,保护企业数据和应用安全。 应用服务方面,阿里云提供邮件推送、日志服务、性能测试等服务,...

    阿里云企业电子书合集.zip

    5. **安全与合规**:电子书可能会讨论阿里云的安全防护措施,如WAF(Web应用防火墙)、DDoS高防等,以及如何确保数据隐私和遵循相关法规。 6. **物联网与边缘计算**:随着IoT的发展,阿里云IoT平台和边缘计算服务...

    阿里云 专有云企业版 V3.6.2 云盾 开发指南 - 20190404.pdf

    - 云盾可能包含多种服务,如Web应用防火墙(WAF)保护网站免受攻击,DDoS高防IP抵御大流量攻击。 - 安全中心可能整合了日志审计、异常检测和应急响应等功能,提供全方位的云安全解决方案。 - 数据加密服务可能...

    阿里云-Web应用防火墙产品简介.pdf

    此外,阿里云不断升级和扩展其防护能力,如云盾Web应用防火墙V2.0,支持高防+WAF或CDN+WAF的网站架构,提供对真实访问源IP的防护和安全日志展示,以及自动封禁频繁发起Web攻击的IP功能。安全日志最长可存储一个月,...

    阿里云数字营销加速解决方案.pptx

    在PAAS层面,阿里云提供了丰富的数字营销相关云服务,如移动分析、算法及机器学习(PAI)、安全服务(如DDoS高防、WAF、业务安全)、数据处理工具(如Elasticsearch、Hadoop、Spark)以及各种数据库服务(如RDS、...

Global site tag (gtag.js) - Google Analytics