功能简介
日志分析模块主要是介绍和指导客户如何分析域名访问日志和Web攻击日志。为您提供两个月内的访问日志和Web攻击日志。
创建日志任务
- 登录边缘安全加速平台控制台。
- 在左侧导航栏中选择【数据分析】,进入【日志分析】菜单。
- 单击页面左上角【新建日志任务】按钮。
- 配置完成后,单击【确定】,保存日志任务。
配置项说明
| 配置项 | 说明 |
|---|---|
| 任务名称 | 配置任务的名称,支持中英文、数字、最长30个字符。 |
| 日志类型 | 配置需要创建的日志类型,支持配置业务访问日志和Web应用攻击日志。一个任务只能配置一种日志类型。 |
| 关联域名 | 配置日志任务的域名,默认为全部域名。 |
实时分析日志
- 登录边缘安全加速平台控制台。
- 在左侧导航栏中选择【运营管理】—【数据分析】,进入【日志分析】菜单。
- 单击【日志任务列表】—【操作】中的【实时分析日志】按钮,进入实时分析日志页面。
业务访问日志字段说明
| 配置项 | 说明 | 示例 |
|---|---|---|
| request_time | 节点处理请求的总时间 | 0.028 |
| status | 节点HTTP响应状态码 | 200 |
| time_local | 日志打印时间 | 2024-01-08 09:33:25 |
| remote_addr | 客户端ip | 36.111.88.33 |
| remote_port | 客户端端口 | 44714 |
| request_method | 请求方法 | GET |
| url | 请求URL | http://www.ctyun.cn/live/test.flv |
| server_protocol | HTTP协议 | HTTP/1.1 |
| body_bytes_sent | 节点响应客户端大小 | 352 |
| http_referer | 请求头Referer的值 | - |
| http_user_agent | 请求头User-Agent的值 | VLC/2.0.6 LibVLC/2.0.6 |
| request_length | 请求长度,含请求头和请求body长度,单位byte | 171 |
| request_id | 请求id | c422b1e1f94a06170b4a241bde8aa257 |
| http_x_forwarded_for | 请求头部x-forwarded-for | 36.111.88.34 |
| attack_type | 攻击类型 | WAF_NONE |
| source_code | 回源状态码 | 200 |
| server_name | 请求域名 | www.ctyun.cn |
| uri | 请求uri | / |
Web应用攻击日志字段说明
| 配置项 | 说明 | 示例 |
|---|---|---|
| request_id | 请求id | idc422b1e1f94a06170b4a241bde8aa257 |
| rule_id | 攻击请求命中的防护规则ID | 4102 |
| content | 攻击请求的内容 | {"ip":"127.0.0.1","expire":1704425796.736,"zone":"KEY","sub_id":"7793","reason_id":1000,"reason":"attack challenge over threshold","name":"ip","attack_time":1704425793.736,"value":"127.0.0.1"} |
| uri | 攻击请求的uri | /login.php |
| user_agent | 攻击请求的UA | VLC/2.0.6 LibVLC/2.0.6 |
| referer | 攻击请求的referer | - |
| client_id | 攻击请求的客户端id | 56696 |
| score | 智能评分 | 100 |
| status_code | 节点响应的状态码 | 403 |
| source_code | 源站响应的状态码 | 200 |
| request_method | 攻击请求的请求方法 | GET |
| scheme | 攻击请求的scheme | http |
| attack_ip | 攻击IP | 127.0.0.1 |
| client_port | 客户端端口 | 44714 |
| sub_id | 规则子ID,访问控制、频率控制策略会有规则子ID | 7793 |
如何使用交互说明
支持使用交互模式查询日志,单击【+查询条件】按钮,在浮窗中选择查询对应的字段。支持多个查询条件联查
- 支持包含、不包含和模糊查询三种方式。
- 支持输入查询的value值(支持输入多个值,值与值的关系为或)。
- 支持多个查询条件联查。多个查询条件框之间为且的关系。
如何使用快速查询
- 登录边缘安全加速平台控制台。
- 在左侧导航栏中选择【运营管理】—【数据分析】,进入【日志分析】菜单。
- 单击【日志任务列表】—【操作】中的【实时分析日志】按钮,进入实时分析日志页面。
- 在【原始日志】页面,单击需要分析的字段值。
- 新建查询:按照选中的值查询。
- 从本次查询中删除:在查询条件中排除改字段的值。
- 复制:复制对应字段的值。
如何使用快速分析
- 登录边缘安全加速平台控制台。
- 在左侧导航栏中选择【运营管理】—【数据分析】,进入【日志分析】菜单。
- 单击【日志任务列表】—【操作】中的【实时分析日志】按钮,进入实时分析日志页面。
- 在【原始日志】页面,单击需要分析的字段值,会弹窗出现该字段统计分析TOP5的排行。
注意
注意当日志量大于10万时,展示的是抽样统计的结果,如果需要全量统计,需要通过调整查询条件,将日志量调整为10万以内。
