DDoS原生防護日誌欄位有哪些和是什麼 - Simple Log Service

本文介紹了DDoS原生防護日誌中包含的所有欄位的說明。

DDoS原生防護的所有日誌欄位按照功能劃分為以下類型：

事件類別欄位：表示與被防護資產上發生的清洗、黑洞、代播防護事件相關的欄位，包含事件的時間、狀態等資訊。
流量檢測類欄位：表示與被防護資產上產生的流量資料相關的欄位，例如，入方向流量的寬頻速率、不同類型資料包的包轉寄率等。
流量清洗類欄位：表示與流量清洗過程相關的欄位，包含流量清洗過程中由不同防護策略丟棄、允許存取的流量資料。

事件類別欄位

名稱	說明	取值樣本
data_type	資料類型。取值： Global_SC_Detection：表示從高防清洗中心流入的流量資料（代播模式中）。 Global_SC_Mitigation：表示通過高防清洗中心清洗的流量資料（代播模式中）。 Regional_SC_Detection：表示阿里雲資產所在地區的入流量資料。 Regional_SC_Mitigation：表示阿里雲資產所在地區的清洗流量資料。 event：表示攻擊事件數目據。	Regional_SC_Mitigation
event_time	事件發生時間。使用時間戳格式表示，單位：秒。	1624434027
event_type	事件類型。取值： mitigation_begin：表示清洗事件開始。 mitigation_ended：表示清洗事件結束。 blackhole_begin：表示黑洞事件開始。 blackhole_ended：表示黑洞事件結束。	mitigation_begin
instance_id	DDoS原生防護執行個體的ID。	ddosbgp-cn-n6w203qg****
ip	被防護的資產IP。	39.XX.XX.23
kbps_in	入方向流量寬頻速率，單位：kbps。	1000
new_con	建立串連數量。	1000
pps_in	入方向資料包包轉寄率，單位：pps。	1000
qps	每秒查詢數，單位：qps。	1000
scrubbing_center	流量清洗中心所在地區。取值： us_west：表示美國（維吉尼亞）。 us_east：表示美國（矽谷）。 frankfurt：表示德國（法蘭克福）。 hk：表示中國（香港）。 singapore：表示新加坡。 malaysia：表示馬來西亞（吉隆坡）。 uk：表示英國（倫敦）。 japan：表示日本（東京）。 total_summary ：表示全部地區。 assets_base_region：表示資產所在地區。	us_west
subnet	代播防護模式下，對應事件的網段。	1.XX.XX.1/24
user_id	阿里雲帳號ID。	170457416359****

流量檢測類欄位

名稱	說明	取值樣本
Ip	流量來源IP地址。	1.XX.XX.1
Time	流量檢測日誌的統計時間。使用時間戳格式表示，單位：秒。	1624434027
KbpsIn	在統計時間，入方向流量的寬頻速率，單位：Kbps。	1000
KbpsOut	在統計時間，出方向流量的寬頻速率，單位：Kbps。	1000
PpsIn	在統計時間，入方向全部資料包的包轉寄率，單位：pps。	1000
PpsOut	在統計時間，出方向全部資料包的包轉寄率，單位：pps。	1000
PpsInSyn	在統計時間，入方向SYN資料包的包轉寄率，單位：pps。	1000
PpsInSynack	在統計時間，入方向SYN-ACK資料包的包轉寄率，單位：pps。	1000
PpsInFin	在統計時間，入方向FIN、RST資料包的包轉寄率，單位：pps。	1000
PpsInHttpReq	在統計時間，同時滿足以下特徵的入方向TCP資料包的包轉寄率（單位：pps）：不是SYN、SYN-ACK、FIN、RST資料包。源連接埠或目的連接埠為：80、3128、8080、8088。包含payload，且http_payload的前幾個位元組為：GET、PUT、HEAD、POST。	1000
PpsInHttpResp	在統計時間，同時滿足以下特徵的入方向TCP資料包的包轉寄率（單位：pps）：不是SYN、SYN-ACK、FIN、RST資料包。源連接埠或目的連接埠為：80、3128、8080、8088。包含payload，且http_payload的前4個位元組為：HTTP。	1000
PpsInHttpFlags	在統計時間，入方向的TCP ACK資料包（即不是SYN、SYN-ACK、FIN、RST資料包）的包轉寄率，單位：pps。	1000
PpsInIcmp	在統計時間，入方向ICMP資料包的包轉寄率，單位：pps。	1000
PpsInDns	在統計時間，入方向DNS資料包（使用UDP協議，且源或目的連接埠為53）的包轉寄率，單位：pps。	1000
PpsInUdprisk	在統計時間，命中高危UDP源連接埠的資料包的包轉寄率，單位：pps。	1000
PpsInUdpunknown	在統計時間，除PpsInDns外的入方向UDP資料包（使用UDP協議，且源或目的連接埠不是53）的包轉寄率，單位：pps。	1000

流量清洗類欄位

名稱	說明	取值樣本
instance_id	DDoS原生防護執行個體的ID。	ddosbgp-cn-v641is26****
time	流量清洗記錄的統計時間。使用時間戳格式表示，單位：秒。	1624434027
destination_ip	目的IP。	123.XX.XX.169
port	目的連接埠。取值： all（預設）：表示全部連接埠的資料。具體連接埠：表示針對某個具體連接埠（例如80）的資料。	80
total_traffic_in_bps	進入清洗過程的所有類型資料包的總位元組數，單位：Bps（Byte per second）。	8000
total_traffic_drop_bps	經流量清洗過程丟棄的所有類型資料包的總位元組數，單位：Bps（Byte per second）。	800
total_traffic_in_pps	入方向所有類型資料包的包轉寄率，單位：pps。	1000
total_traffic_drop_pps	被丟棄的所有類型資料包的包轉寄率，單位：pps。	1000
pps_types_in_tcp_pps	入方向TCP資料包的包轉寄率，單位：pps。	100
pps_types_in_udp_pps	入方向UDP資料包的包轉寄率，單位：pps。	1000
pps_types_in_icmp_pps	入方向ICMP資料包的包轉寄率，單位：pps。	1000
pps_types_in_syn_pps	入方向SYN資料包的包轉寄率，單位：pps。	1000
pps_types_in_ack_pps	入方向ACK資料包的包轉寄率，單位：pps。	1000
pps_types_in_synack_pps	入方向SYN-ACK資料包的包轉寄率，單位：pps。	1000
pps_types_in_finrst_pps	入方向FIN、RST資料包的包轉寄率，單位：pps。	1000
pps_types_in_dns_pps	入方向DNS資料包的包轉寄率，單位：pps。	1000
pps_types_drop_tcp_pps	被丟棄的TCP資料包的包轉寄率，單位：pps。	1000
pps_types_drop_udp_pps	被丟棄的UDP資料包的包轉寄率，單位：pps。	1000
pps_types_drop_icmp_pps	被丟棄的ICMP資料包的包轉寄率，單位：pps。	1100
pps_types_drop_syn_pps	被丟棄的SYN資料包的包轉寄率，單位：pps。	1000
pps_types_drop_ack_pps	被丟棄的ACK資料包的包轉寄率，單位：pps。	1000
pps_types_drop_synack_pps	被丟棄的SYN-ACK資料包的包轉寄率，單位：pps。	1000
pps_types_finrst	被丟棄的FIN-RST資料包的包轉寄率，單位：pps。	1000
pps_types_dns	被丟棄的DNS資料包的包轉寄率，單位：pps。	1000
policy_packet_checking_acct_pps	由包檢查策略（預設）允許存取的資料包的包轉寄率，單位：pps。	1000
policy_packet_checking_drop_pps	由包檢查策略（預設）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_dns_retransmission_authentication_drop_pps	由網域名稱首包丟棄策略（預設）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_dns_retransmission_authentication_acct_pps	由網域名稱首包丟棄策略（預設）允許存取的資料包的包轉寄率，單位：pps。	100
policy_source_ip_authentication_succeed_pps	由源IP認證策略（預設）檢查成功的資料包的包轉寄率，單位：pps。	1000
policy_source_ip_authentication_checked_pps	由源IP認證策略（預設）正在檢查的資料包的包轉寄率，單位：pps。	1000
policy_source_ip_authentication_acct_pps	由源IP認證策略（預設）允許存取的資料包的包轉寄率，單位：pps。	1000
policy_source_ip_authentication_drop_pps	由源IP認證策略（預設）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_source_ip_rate_limitation_drop_syn_pps	由源IP限速策略（預設）丟棄的SYN資料包的包轉寄率，單位：pps。	1000
policy_source_ip_rate_limitation_drop_con_max_pps	超過源IP並發串連限速策略（預設）規定的最大串連數而被丟棄的資料包的包轉寄率，單位：pps。	1000
policy_source_ip_rate_limitation_drop_con_rate_pps	超過源IP並發串連限速策略（預設）規定的串連速率而被丟棄的資料包的包轉寄率，單位：pps。	1000
policy_source_ip_rate_limitation_drop_udp_rate_pps	由源IP UDP限速策略（預設）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_source_ip_rate_limitation_drop_tcpack_rate_pps	由源IP ACK限速策略（預設）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_source_ip_rate_limitation_drop_tcpsynack_rate_pps	由源IP SYN-ACK限速策略（預設）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_destination_ip_rate_limitation_drop_syn_rate	由目的IP限速策略（預設）丟棄的SYN資料包的包轉寄率，單位：pps。	1000
policy_destination_ip_rate_limitation_drop_udp_rate	由目的IP限速策略（預設）丟棄的UDP資料包的寬頻速率，單位：pps。	1000
policy_destination_ip_rate_limitation_drop_ack_rate	由目的IP限速策略（預設）丟棄的ACK資料包的寬頻速率，單位：pps。	1000
policy_destination_ip_rate_limitation_drop_icmp_rate	由目的IP限速策略（預設）丟棄的ICMP資料包的寬頻速率，單位：pps。	1000
policy_destination_ip_rate_limitation_drop_other_rate	由目的IP限速策略（預設）丟棄的其他類型（除UDP、ICMP、TCP-SYN、TCP-SYN-ACK、TCP-ACK外）資料包的包轉寄率，單位：pps。	1000
policy_destination_ip_rate_limitation_drop_synack_rate	由目的IP限速策略（預設）丟棄的SYN-ACK資料包的包轉寄率，單位：pps。	1000
policy_layer_4_filter_l4_filiter_drop_pps	由全部指紋過濾策略（在防護配置中自訂）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_layer_4_filter_l4_filiter_acct_num	通過指紋過濾原則模組（在防護配置中自訂）允許存取的資料包的包轉寄率，單位：pps。	1000
policy_layer_4_filter_l4_filite_drop_rule_1_pps	由排序為1的指紋過濾策略（在防護配置中自訂）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_layer_4_filter_l4_filite_drop_rule_2_pps	由排序為2的指紋過濾策略（在防護配置中自訂）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_layer_4_filter_l4_filite_drop_rule_3_pps	由排序為3的指紋過濾策略（在防護配置中自訂）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_layer_4_filter_l4_filite_drop_rule_4_pps	由排序為4的指紋過濾策略（在防護配置中自訂）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_layer_4_filter_l4_filite_drop_rule_5_pps	由排序為5的指紋過濾策略（在防護配置中自訂）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_layer_4_filter_l4_filite_drop_rule_6_pps	由排序為6的指紋過濾策略（在防護配置中自訂）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_layer_4_filter_l4_filite_drop_rule_7_pps	由排序為7的指紋過濾策略（在防護配置中自訂）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_layer_4_filter_l4_filite_drop_rule_8_pps	由排序為8的指紋過濾策略（在防護配置中自訂）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_dns_domain_authentication_succ_domain_pps	由網域名稱認證策略（預設）檢查成功的資料包的包轉寄率，單位：pps。	1000
policy_dns_domain_authentication_fail_domain_pps	由網域名稱認證策略（預設）檢查失敗的資料包的包轉寄率，單位：pps。	1000
policy_dns_domain_authentication_drop_pps	由網域名稱認證策略（預設）丟棄的全部資料包的包轉寄率，單位：pps。	1000
policy_dns_domain_authentication_acct_pps	由網域名稱認證策略（預設）允許存取的全部資料包的包轉寄率，單位：pps。	1000
policy_syn_cookie_succ_check_pps	由SYN Cookie策略（預設）檢查成功的資料包的包轉寄率，單位：pps。	1000
policy_syn_cookie_fail_check_pps	由SYN Cookie策略（預設）檢查失敗的資料包的包轉寄率，單位：pps。	1000
policy_syn_cookie_drop_pps	由SYN Cookie策略（預設）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_syn_cookie_rebound_check_pps	由SYN Cookie策略（預設）進行反彈驗證的資料包的包轉寄率，單位：pps。	1000
policy_syn_cookie_acct_pps	由SYN Cookie策略（預設）允許存取的資料包的包轉寄率，單位：pps。	1000
policy_udp_defense_drop_pps	由UDP防護策略（預設）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_antiothertcp_drop_pps	由其他TCP防護策略（預設）丟棄的資料包的包轉寄率，單位：pps。	1000
policy_antiothertcp_acct_pps	由其他TCP防護策略（預設）允許存取的資料包的包轉寄率，單位：pps。	1000
policy_antitcp_drop_tcp_pps	由TCP防護策略（預設）丟棄的全部TCP資料包的包轉寄率，單位：pps。	1000
policy_antitcp_drop_ack_pps	由TCP防護策略（預設）丟棄的ACK資料包的包轉寄率，單位：pps。	1000
policy_retransmission_authentication_acct_pps	由首包丟棄策略（預設）允許存取的資料包的包轉寄率，單位：pps。	1000
policy_retransmission_authentication_drop_pps	由首包丟棄策略（預設）丟棄的資料包的包轉寄率，單位：pps。	1000