本文介紹了DDoS原生防護日志中包含的所有字段的說明。
DDoS原生防護的所有日志字段按照功能劃分為以下類型:
事件類字段
| 名稱 | 說明 | 取值示例 |
| data_type | 數據類型。取值:
| Regional_SC_Mitigation |
| event_time | 事件發生時間。使用時間戳格式表示,單位:秒。 | 1624434027 |
| event_type | 事件類型。取值:
| mitigation_begin |
| instance_id | DDoS原生防護實例的ID。 | ddosbgp-cn-n6w203qg**** |
| ip | 被防護的資產IP。 | 39.XX.XX.23 |
| kbps_in | 入方向流量寬帶速率,單位:kbps。 | 1000 |
| new_con | 新建連接數量。 | 1000 |
| pps_in | 入方向數據包包轉發率,單位:pps。 | 1000 |
| qps | 每秒查詢數,單位:qps。 | 1000 |
| scrubbing_center | 流量清洗中心所在地域。取值:
| us_west |
| subnet | 代播防護模式下,對應事件的網段。 | 1.XX.XX.1/24 |
| user_id | 阿里云賬號ID。 | 170457416359**** |
流量檢測類字段
| 名稱 | 說明 | 取值示例 |
| Ip | 流量來源IP地址。 | 1.XX.XX.1 |
| Time | 流量檢測日志的統計時間。使用時間戳格式表示,單位:秒。 | 1624434027 |
| KbpsIn | 在統計時間,入方向流量的寬帶速率,單位:Kbps。 | 1000 |
| KbpsOut | 在統計時間,出方向流量的寬帶速率,單位:Kbps。 | 1000 |
| PpsIn | 在統計時間,入方向全部數據包的包轉發率,單位:pps。 | 1000 |
| PpsOut | 在統計時間,出方向全部數據包的包轉發率,單位:pps。 | 1000 |
| PpsInSyn | 在統計時間,入方向SYN數據包的包轉發率,單位:pps。 | 1000 |
| PpsInSynack | 在統計時間,入方向SYN-ACK數據包的包轉發率,單位:pps。 | 1000 |
| PpsInFin | 在統計時間,入方向FIN、RST數據包的包轉發率,單位:pps。 | 1000 |
| PpsInHttpReq | 在統計時間,同時滿足以下特征的入方向TCP數據包的包轉發率(單位:pps):
| 1000 |
| PpsInHttpResp | 在統計時間,同時滿足以下特征的入方向TCP數據包的包轉發率(單位:pps):
| 1000 |
| PpsInHttpFlags | 在統計時間,入方向的TCP ACK數據包(即不是SYN、SYN-ACK、FIN、RST數據包)的包轉發率,單位:pps。 | 1000 |
| PpsInIcmp | 在統計時間,入方向ICMP數據包的包轉發率,單位:pps。 | 1000 |
| PpsInDns | 在統計時間,入方向DNS數據包(使用UDP協議,且源或目的端口為53)的包轉發率,單位:pps。 | 1000 |
| PpsInUdprisk | 在統計時間,命中高危UDP源端口的數據包的包轉發率,單位:pps。 | 1000 |
| PpsInUdpunknown | 在統計時間,除PpsInDns外的入方向UDP數據包(使用UDP協議,且源或目的端口不是53)的包轉發率,單位:pps。 | 1000 |
流量清洗類字段
| 名稱 | 說明 | 取值示例 |
| instance_id | DDoS原生防護實例的ID。 | ddosbgp-cn-v641is26**** |
| time | 流量清洗記錄的統計時間。使用時間戳格式表示,單位:秒。 | 1624434027 |
| destination_ip | 目的IP。 | 123.XX.XX.169 |
| port | 目的端口。取值:
| 80 |
| total_traffic_in_bps | 進入清洗過程的所有類型數據包的總字節數,單位:Bps(Byte per second)。 | 8000 |
| total_traffic_drop_bps | 經流量清洗過程丟棄的所有類型數據包的總字節數,單位:Bps(Byte per second)。 | 800 |
| total_traffic_in_pps | 入方向所有類型數據包的包轉發率,單位:pps。 | 1000 |
| total_traffic_drop_pps | 被丟棄的所有類型數據包的包轉發率,單位:pps。 | 1000 |
| pps_types_in_tcp_pps | 入方向TCP數據包的包轉發率,單位:pps。 | 100 |
| pps_types_in_udp_pps | 入方向UDP數據包的包轉發率,單位:pps。 | 1000 |
| pps_types_in_icmp_pps | 入方向ICMP數據包的包轉發率,單位:pps。 | 1000 |
| pps_types_in_syn_pps | 入方向SYN數據包的包轉發率,單位:pps。 | 1000 |
| pps_types_in_ack_pps | 入方向ACK數據包的包轉發率,單位:pps。 | 1000 |
| pps_types_in_synack_pps | 入方向SYN-ACK數據包的包轉發率,單位:pps。 | 1000 |
| pps_types_in_finrst_pps | 入方向FIN、RST數據包的包轉發率,單位:pps。 | 1000 |
| pps_types_in_dns_pps | 入方向DNS數據包的包轉發率,單位:pps。 | 1000 |
| pps_types_drop_tcp_pps | 被丟棄的TCP數據包的包轉發率,單位:pps。 | 1000 |
| pps_types_drop_udp_pps | 被丟棄的UDP數據包的包轉發率,單位:pps。 | 1000 |
| pps_types_drop_icmp_pps | 被丟棄的ICMP數據包的包轉發率,單位:pps。 | 1100 |
| pps_types_drop_syn_pps | 被丟棄的SYN數據包的包轉發率,單位:pps。 | 1000 |
| pps_types_drop_ack_pps | 被丟棄的ACK數據包的包轉發率,單位:pps。 | 1000 |
| pps_types_drop_synack_pps | 被丟棄的SYN-ACK數據包的包轉發率,單位:pps。 | 1000 |
| pps_types_finrst | 被丟棄的FIN-RST數據包的包轉發率,單位:pps。 | 1000 |
| pps_types_dns | 被丟棄的DNS數據包的包轉發率,單位:pps。 | 1000 |
| policy_packet_checking_acct_pps | 由包檢查策略(默認)放行的數據包的包轉發率,單位:pps。 | 1000 |
| policy_packet_checking_drop_pps | 由包檢查策略(默認)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_dns_retransmission_authentication_drop_pps | 由域名首包丟棄策略(默認)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_dns_retransmission_authentication_acct_pps | 由域名首包丟棄策略(默認)放行的數據包的包轉發率,單位:pps。 | 100 |
| policy_source_ip_authentication_succeed_pps | 由源IP認證策略(默認)檢查成功的數據包的包轉發率,單位:pps。 | 1000 |
| policy_source_ip_authentication_checked_pps | 由源IP認證策略(默認)正在檢查的數據包的包轉發率,單位:pps。 | 1000 |
| policy_source_ip_authentication_acct_pps | 由源IP認證策略(默認)放行的數據包的包轉發率,單位:pps。 | 1000 |
| policy_source_ip_authentication_drop_pps | 由源IP認證策略(默認)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_source_ip_rate_limitation_drop_syn_pps | 由源IP限速策略(默認)丟棄的SYN數據包的包轉發率,單位:pps。 | 1000 |
| policy_source_ip_rate_limitation_drop_con_max_pps | 超過源IP并發連接限速策略(默認)規定的最大連接數而被丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_source_ip_rate_limitation_drop_con_rate_pps | 超過源IP并發連接限速策略(默認)規定的連接速率而被丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_source_ip_rate_limitation_drop_udp_rate_pps | 由源IP UDP限速策略(默認)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_source_ip_rate_limitation_drop_tcpack_rate_pps | 由源IP ACK限速策略(默認)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_source_ip_rate_limitation_drop_tcpsynack_rate_pps | 由源IP SYN-ACK限速策略(默認)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_destination_ip_rate_limitation_drop_syn_rate | 由目的IP限速策略(默認)丟棄的SYN數據包的包轉發率,單位:pps。 | 1000 |
| policy_destination_ip_rate_limitation_drop_udp_rate | 由目的IP限速策略(默認)丟棄的UDP數據包的寬帶速率,單位:pps。 | 1000 |
| policy_destination_ip_rate_limitation_drop_ack_rate | 由目的IP限速策略(默認)丟棄的ACK數據包的寬帶速率,單位:pps。 | 1000 |
| policy_destination_ip_rate_limitation_drop_icmp_rate | 由目的IP限速策略(默認)丟棄的ICMP數據包的寬帶速率,單位:pps。 | 1000 |
| policy_destination_ip_rate_limitation_drop_other_rate | 由目的IP限速策略(默認)丟棄的其他類型(除UDP、ICMP、TCP-SYN、TCP-SYN-ACK、TCP-ACK外)數據包的包轉發率,單位:pps。 | 1000 |
| policy_destination_ip_rate_limitation_drop_synack_rate | 由目的IP限速策略(默認)丟棄的SYN-ACK數據包的包轉發率,單位:pps。 | 1000 |
| policy_layer_4_filter_l4_filiter_drop_pps | 由全部指紋過濾策略(在防護配置中自定義)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_layer_4_filter_l4_filiter_acct_num | 通過指紋過濾策略模塊(在防護配置中自定義)放行的數據包的包轉發率,單位:pps。 | 1000 |
| policy_layer_4_filter_l4_filite_drop_rule_1_pps | 由排序為1的指紋過濾策略(在防護配置中自定義)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_layer_4_filter_l4_filite_drop_rule_2_pps | 由排序為2的指紋過濾策略(在防護配置中自定義)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_layer_4_filter_l4_filite_drop_rule_3_pps | 由排序為3的指紋過濾策略(在防護配置中自定義)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_layer_4_filter_l4_filite_drop_rule_4_pps | 由排序為4的指紋過濾策略(在防護配置中自定義)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_layer_4_filter_l4_filite_drop_rule_5_pps | 由排序為5的指紋過濾策略(在防護配置中自定義)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_layer_4_filter_l4_filite_drop_rule_6_pps | 由排序為6的指紋過濾策略(在防護配置中自定義)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_layer_4_filter_l4_filite_drop_rule_7_pps | 由排序為7的指紋過濾策略(在防護配置中自定義)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_layer_4_filter_l4_filite_drop_rule_8_pps | 由排序為8的指紋過濾策略(在防護配置中自定義)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_dns_domain_authentication_succ_domain_pps | 由域名認證策略(默認)檢查成功的數據包的包轉發率,單位:pps。 | 1000 |
| policy_dns_domain_authentication_fail_domain_pps | 由域名認證策略(默認)檢查失敗的數據包的包轉發率,單位:pps。 | 1000 |
| policy_dns_domain_authentication_drop_pps | 由域名認證策略(默認)丟棄的全部數據包的包轉發率,單位:pps。 | 1000 |
| policy_dns_domain_authentication_acct_pps | 由域名認證策略(默認)放行的全部數據包的包轉發率,單位:pps。 | 1000 |
| policy_syn_cookie_succ_check_pps | 由SYN Cookie策略(默認)檢查成功的數據包的包轉發率,單位:pps。 | 1000 |
| policy_syn_cookie_fail_check_pps | 由SYN Cookie策略(默認)檢查失敗的數據包的包轉發率,單位:pps。 | 1000 |
| policy_syn_cookie_drop_pps | 由SYN Cookie策略(默認)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_syn_cookie_rebound_check_pps | 由SYN Cookie策略(默認)進行反彈驗證的數據包的包轉發率,單位:pps。 | 1000 |
| policy_syn_cookie_acct_pps | 由SYN Cookie策略(默認)放行的數據包的包轉發率,單位:pps。 | 1000 |
| policy_udp_defense_drop_pps | 由UDP防護策略(默認)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_antiothertcp_drop_pps | 由其他TCP防護策略(默認)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
| policy_antiothertcp_acct_pps | 由其他TCP防護策略(默認)放行的數據包的包轉發率,單位:pps。 | 1000 |
| policy_antitcp_drop_tcp_pps | 由TCP防護策略(默認)丟棄的全部TCP數據包的包轉發率,單位:pps。 | 1000 |
| policy_antitcp_drop_ack_pps | 由TCP防護策略(默認)丟棄的ACK數據包的包轉發率,單位:pps。 | 1000 |
| policy_retransmission_authentication_acct_pps | 由首包丟棄策略(默認)放行的數據包的包轉發率,單位:pps。 | 1000 |
| policy_retransmission_authentication_drop_pps | 由首包丟棄策略(默認)丟棄的數據包的包轉發率,單位:pps。 | 1000 |
文檔內容是否對您有幫助?