超过80%的DDoS攻击都会混合HTTP攻击,而其中混合的CC攻击尤其隐蔽,因此通过日志对访问和攻击行为进行即时分析研究、附加防护策略就显得尤其重要。

目前,阿里云DDoS高防IP服务的网站访问日志(包含CC攻击日志)已经与日志服务联动,为您提供实时分析与报表中心功能。

日志服务实时采集接入高防IP防护的网站业务的访问日志、CC攻击日志,并对采集到的日志数据进行实时检索与分析,以仪表盘形式展示查询结果。

启用全量日志功能

参考以下操作步骤,为您需要开启全量日志功能的网站域名启用该功能:
注意 启用高防IP服务的全量日志功能将按照日志服务的收费项进行计费,未产生日志数据不会产生任何费用。日志服务采用按量计费模式,同时高防IP的全量日志功能拥有一定量的专属免费额度。

高防IP的全量日志服务费用主要根据所导入的日志量以及日志存储的时间两个主要因素进行计算。当前,高防IP的全量日志服务提供100 GB/天的日志一次性导入量和三天的免费日志存储时间。同时,基于日志的查询分析、统计报表和报警等功能均不会产生任何额外费用。

例如,您开启全量日志功能的网站业务每天有6千万条日志、日志的存储周期为三天,总日志量约为96 GB/天(平均每条日志约1600字节左右),在专属免费额度范围内,将不产生任何额外费用。如果您的网站业务的访问日志超过该量级则可能产生后付费。

  1. 登录云盾DDoS防护管理控制台
  2. 在左侧导航栏,选择日志 > 全量日志
  3. 选择您需要开启高防IP全量日志采集功能的网站域名,单击状态开关,启用全量日志功能。

启用全量日志功能后,您可以在全量日志页面对采集到的日志数据进行实时查询与分析、查看或编辑仪表盘、设置监控告警等。

全量日志功能应用场景

通过启用DDoS高防IP服务的全量日志功能,可以满足您在以下访问日志分析场景中的需求:
  • 排查网站访问异常

    配置日志服务采集DDoS高防日志后,您可以对采集到的日志进行实时查询与分析。使用SQL语句分析网站访问日志,对网站的访问异常进行快速排查和问题分析,并查看读写延时、运营商分布等信息。

    您可以通过以下语句查看网站访问日志:

    __topic__: DDoS_access_log

  • 追踪CC攻击者来源

    • 您可以通过以下语句分析DDoS访问日志中记录的CC攻击者国家分布:

      __topic__: DDoS_access_log and cc_blocks > 0| SELECT ip_to_country(if(real_client_ip='-', remote_addr, real_client_ip)) as country, count(1) as "攻击次数" group by country

    • 您可以通过以下语句查看访问PV:

      __topic__: DDoS_access_log | select count(1) as PV

  • 网站运营分析

    网站访问日志中实时记录网站访问数据,您可以对采集到的访问日志数据进行SQL查询分析,得到实时的访问情况,例如判断网站热门程度、访问来源及渠道、客户端分布等,并以此辅助网站运营分析。

    您可以通过以下语句查看来自各个网络服务提供商的访问者流量分布:

    __topic__: DDoS_access_log | select ip_to_provider(if(real_client_ip='-', remote_addr, real_client_ip)) as provider, round(sum(request_length)/1024.0/1024.0, 3) as mb_in group by provider having ip_to_provider(if(real_client_ip='-', remote_addr, real_client_ip)) <> '' order by mb_in desc limit 10