Anti-DDoS:ログ分析機能の使用

使用上の注意

ログ分析機能を使用する前に、この機能に関する基本情報、必要なログストレージ容量の計算方法、およびログサンプリングの説明を理解しておく必要があります。詳細については、「概要」をご参照ください。

ステップ 1: ログ分析機能を有効にする

1. Anti-DDoS Proxy コンソールにログインします。

2. 上部のナビゲーションバーで、インスタンスのリージョンを選択します。

   • Anti-DDoS Proxy (中国本土): 中国本土 リージョンを選択します。

   • Anti-DDoS Proxy (中国本土以外): 中国本土以外 リージョンを選択します。

3. 左側のナビゲーションウィンドウで、調査 > Log Analysis を選択します。

4. Log Analysis ページで、今すぐ購入 をクリックします。

5. [Log Service] ページで、パラメーターを設定し、[今すぐ購入] をクリックして、支払いを完了します。

   パラメーター	説明
   該当製品	Anti-DDoS Proxy のインスタンスタイプを選択します。
   ログストレージ	ログを保存する容量を選択します。単位: TB。 ログストレージが十分な大きさで、有効期間内である場合、ログは機能が使用された初日から保存されます。その後 180 日間連続で生成されたログが保存されます。181 日目のログは 1 日目のログを上書きします。これは、過去 180 日間に生成されたログのみが保存されることを示します。 重要 ログストレージを使い切ると、新しいログは保存できなくなります。
   期間	機能の有効期間を選択します。 重要 ログ分析機能の有効期限が切れると、新しいログは保存できなくなります。

ステップ 2: Anti-DDoS Proxy が Simple Log Service にログを保存することを承認する

1. Log Analysis ページに戻り、プロンプトに従って権限付与を完了します。

   システムは、サービスリンクロール AliyunDDoSCOOLogArchiveRole を自動的に作成します。Anti-DDoS Proxy はこのロールを使用して Simple Log Service にアクセスし、Anti-DDoS Proxy 専用の Logstore にログを保存します。

2. Anti-DDoS Proxy (中国本土以外) インスタンスの専用 Logstore のリージョンを選択します。インスタンスのログは、選択したリージョンに保存されます。

   次のリージョンから 1 つ選択できます: シンガポール、インドネシア (ジャカルタ)、米国 (バージニア)、中国 (香港)、英国 (ロンドン)、ドイツ (フランクフルト)、日本 (東京)、マレーシア (クアラルンプール)。

   重要

   • リージョンを選択した後は、直接リージョンを変更することはできません。リージョンを変更するには、ログ分析機能を無効にしてから再度有効にするしかありません。ただし、機能を無効にすると、Logstore とすべてのログデータが削除されます。注意して進めてください。

   • Anti-DDoS Proxy (中国本土) インスタンスの専用 Logstore のリージョンを選択する必要はありません。デフォルトでは、インスタンスのログは中国 (杭州) リージョンに保存されます。

   • ログ分析機能を有効にすると、Anti-DDoS Proxy は Simple Log Service の指定されたリージョンにインスタンス用の Logstore を作成します。その後、Anti-DDoS Proxy はインスタンスのログデータを収集し、Logstore に配信します。

ステップ 3: ログ収集機能を有効にする

Log Analysis ページで、Web サイトのドメイン名のログ収集機能を有効にします。

• ドメイン名のログ収集機能を有効にする: ドメインの選択 ドロップダウンリストからドメイン名を選択し、ステータス をオンにします。

• 一度に複数のドメイン名のログ収集機能を有効にする: ページの右上隅にある 一括設定 をクリックします。一括設定 パネルで、複数のドメイン名を選択し、一括有効化 をクリックします。

ログ収集機能を有効にすると、Simple Log Service は Anti-DDoS Proxy 用の専用 プロジェクト を自動的に作成します。この専用プロジェクトは、Anti-DDoS Proxy のログを管理するために使用されます。

Simple Log Service コンソール のホームページで専用プロジェクトを表示できます。Anti-DDoS Pro および Anti-DDoS Premium (中国本土) の専用プロジェクトの名前は ddoscoo-project で始まります。Anti-DDoS Pro および Anti-DDoS Premium (中国本土以外) の専用プロジェクトの名前は ddosdip-project で始まります。専用プロジェクトには、デフォルトで次のリソースが含まれています:

• Anti-DDoS Pro および Anti-DDoS Premium のログを保存するための専用 Logstore。専用 Logstore の名前は、Anti-DDoS Pro および Anti-DDoS Premium (中国本土) の場合は ddoscoo-logstore、Anti-DDoS Pro および Anti-DDoS Premium (中国本土以外) の場合は ddosdip-logstore です。

• ログ分析の結果をチャートで表示するために使用される 2 つのプリセットログ ダッシュボード。ダッシュボードは DDoS アクセスセンターと DDoS オペレーションセンターです。ダッシュボードの情報は、Anti-DDoS Proxy (中国本土) と Anti-DDoS Proxy (中国本土以外) の両方で同じです。

ステップ 4: (オプション) ログのクエリと分析

1. Log Analysis ページで、ドメインの選択 ドロップダウンリストからドメイン名を選択します。

2. Log Analysis タブで、クエリの時間範囲を指定します。

   説明

   • Anti-DDoS Proxy のログは 180 日間保持されます。デフォルトでは、過去 180 日間のログのみをクエリできます。

   • クエリ結果には、指定した時間範囲より 1 分早くまたは遅く生成されたログが含まれる場合があります。

3. 検索ボックスにクエリ文を入力し、[検索 & 分析] をクリックします。

   検索および分析文は、検索文と分析文で構成され、縦棒 (|) で区切られます。フォーマット: 検索文|分析文。

   ステートメント	オプション	説明
   クエリ文。	オプション	検索文は、キーワード、数値、数値範囲、アスタリスク (*)、または検索条件の組み合わせなどの検索条件を指定します。 検索文としてスペースまたはアスタリスク (*) を指定した場合、検索に条件は使用されず、すべてのログが返されます。詳細については、「検索構文」をご参照ください。 説明 ログフィールドの詳細については、「完全なログに含まれるフィールド」をご参照ください。
   分析文	オプション	分析文は、検索結果またはすべてのログのデータを集計および計算するために使用されます。 分析文を空のままにすると、検索結果は返されますが、分析は実行されません。詳細については、「ログ分析の概要」をご参照ください。 説明 分析文では、標準の SQL 構文から from <table_name> 句を省略できます。これは from log です。 デフォルトでは、最初の 100 件のログエントリが返されます。この数を調整したい場合は、LIMIT 文を実行できます。詳細については、「LIMIT 句」をご参照ください。

   クエリ文が実行されると、分析結果が自動的にテーブルに表示されます。分析結果は、折れ線グラフ、縦棒グラフ、円グラフなど、さまざまなチャートで表示することもできます。必要に応じて表示方法を選択できます。詳細については、「チャートの概要」をご参照ください。

   また、ダッシュボードのチャートに基づいてアラートルールを設定し、サービスのステータスをリアルタイムでモニターすることもできます。詳細については、「概要」をご参照ください。

   一般的なクエリ文

   • ドメイン名への訪問数をクエリします。

     * | SELECT COUNT(*) as times, host GROUP by host ORDER by times desc limit 100

   • ブロックされた攻撃のタイプをクエリします。

     * | select cc_action,cc_phase,count(*) as t group by cc_action,cc_phase order by t desc limit 10

   • クエリ/秒 (QPS) をクエリします。

     * | select time_series(__time__,'15m','%H:%i','0') as time,count(*)/900 as QPS group by time order by time

   • 攻撃されたドメイン名をクエリします。

     * and cc_blocks:1 | select cc_action,cc_phase,count(*) as t group by cc_action,cc_phase order by t desc limit 10

   • 攻撃された URL をクエリします。

     * and cc_blocks:1 | select count(*) as times,host,request_path group by host,request_path order by times

   • リクエストの詳細をクエリします。

     * | select date_format(date_trunc('second',__time__),'%H:%i:%s') as time,host,request_uri,request_method,status,upstream_status,querystring limit 10

   • 5XX 状態コードの詳細をクエリします。

     * and status>499 | select host,status,upstream_status,count(*)as t group by host,status,upstream_status order by t desc

   • リクエストレイテンシーの分布をクエリします。

     * | SELECT count_if(upstream_response_time<20) as "<20",
     count_if(upstream_response_time<50 and upstream_response_time>20) as "<50",
     count_if(upstream_response_time<100 and upstream_response_time>50) as "<100",
     count_if(upstream_response_time<500 and upstream_response_time>100) as "<500",
     count_if(upstream_response_time<1000 and upstream_response_time>500) as "<1000",
     count_if(upstream_response_time>1000) as ">1000"

ステップ 5: (オプション) ログレポートのクエリ

Simple Log Service は、リアルタイムでデータを分析するためのダッシュボードを提供します。クエリおよび分析文を使用してログをクエリおよび分析した後、分析結果のチャートをダッシュボードに保存できます。Simple Log Analysis は、DDoS アクセスセンター と DDoS オペレーションセンター の 2 つのプリセットダッシュボードを提供します。

1. Log Analysis ページで、ドメインの選択 ドロップダウンリストからドメイン名を選択します。

2. ログレポート タブで、[時間範囲の選択] をクリックして時間範囲を指定します。

   説明

   ダッシュボード上の各チャートは、特定の時間範囲内の統計に基づいて生成されます。たとえば、Web サイトアクセスチャートのデフォルトの時間範囲は 1 時間、アクセストレンドチャートのデフォルトの時間範囲は 1 週間です。時間範囲を指定すると、現在のページのすべてのチャートが指定された時間範囲に基づいて表示されます。

3. プリセットダッシュボードを表示します。

   ログレポートはさまざまな種類のチャートで表示されます。チャートの種類の詳細については、「チャートの概要」をご参照ください。

   • DDoS アクセスセンター: PV、UV、インバウンドトラフィック、ピーク帯域幅などの基本的な Web サイトメトリック、アクセストレンド、リクエストソースの分布、およびアクセスドメイン名やクライアントタイプなどのその他の統計情報を表示します。

     DDoS アクセスセンター

     チャート名	タイプ	デフォルトの時間範囲	説明	例
     PV	単一値	1 時間 (相対)	リクエストの総数。	100000
     UV	単一値	1 時間 (相対)	UV の総数。	100000
     インバウンドトラフィック	単一値	1 時間 (相対)	Web サイトのインバウンドトラフィックの総量。単位: MB。	300 MB
     ピークネットワークインバウンドトラフィック	単一値	今日 (時間枠)	Web サイトの最大インバウンドデータ転送レート。単位: byte/s。	100 Bytes/s
     ピークネットワークアウトバウンドトラフィック	単一値	今日 (時間枠)	Web サイトの最大アウトバウンドデータ転送レート。単位: byte/s。	100 Bytes/s
     トラフィックネットワークトレンド	二重線グラフ	1 週間 (相対)	インバウンドおよびアウトバウンドトラフィックのトレンド。単位: KB/s。	なし
     PV/UV トレンド	二重線グラフ	1 週間 (相対)	PV と UV のトレンド。	なし
     アクセスステータス分布	円グラフ	1 週間 (相対)	400、304、200 などの異なる状態コードを持つリクエストの分布。単位: count/minute。	なし
     アクセスソース	世界地図	1 時間 (相対)	さまざまな国からの PV の分布。	なし
     インバウンドトラフィックソース (世界)	世界地図	1 時間 (相対)	さまざまな国からのインバウンドトラフィックの分布。単位: MB。	なし
     インバウンドトラフィックソース (中国)	中国地図	1 時間 (相対)	中国のさまざまな省からのインバウンドトラフィックの分布。単位: MB。	なし
     アクセスヒートマップ	AMAP	1 時間 (相対)	訪問者の地理的な場所を示すヒートマップ。	なし
     ソースネットワークプロバイダー	ドーナツチャート	1 時間 (相対)	China Telecom、China Unicom、China Mobile、CERNET などのさまざまなインターネットサービスプロバイダー (ISP) からのインバウンドトラフィックの分布。単位: MB。	なし
     リファラー	テーブルチャート	1 時間 (相対)	最も使用されているリファラー URL、ホスト、およびリダイレクト数の上位 100。	なし
     アクセス回線分布	ドーナツチャート	1 時間 (相対)	Anti-DDoS Proxy 回線の分布。	なし
     PC クライアント分布	ドーナツチャート	1 時間 (相対)	iPhone、iPad、Internet Explorer、Google Chrome など、最も使用されているユーザーエージェントの上位 20。	なし
     リクエストコンテンツタイプ分布	ドーナツチャート	1 時間 (相対)	HTML、フォーム、JSON、ストリーミングデータなど、最もリクエストされたコンテンツタイプの上位 20。	なし
     アクセスされたサイト	ドーナツチャート	1 時間 (相対)	Web サイトで最も訪問されたドメイン名の上位 20。	なし
     トップクライアント	テーブルチャート	1 時間 (相対)	最も多くのリクエストを開始した上位 100 のクライアントに関する情報。情報には、IP アドレス、PV、インバウンドトラフィック、無効なリクエストの数、および攻撃の数が含まれます。	なし
     最も応答が遅い URL	テーブルチャート	1 時間 (相対)	応答時間が最も長い上位 100 の URL に関する情報。情報には、Web サイト、URL、応答時間、およびアクセス数が含まれます。	なし

   • DDoS オペレーションセンター: インバウンドおよびアウトバウンドトラフィックのトレンド、リクエストとインターセプトのトレンド、攻撃者、訪問された Web サイトなど、Web サイトの全体的な運用状況を表示します。

   また、[ログレポート] タブの右上隅にある [サブスクライブ] をクリックしてダッシュボードをサブスクライブし、メールまたは DingTalk メッセージを使用して特定の受信者にダッシュボードデータを送信することもできます。詳細については、「サブスクリプションの追加」をご参照ください。

関連ドキュメント

Alibaba Cloud サービスのログに関する一般的な操作