摘要：本文介紹了DDoS日志分析功能的日志報(bào)表的使用方法。

概述

本文介紹DDoS日志分析功能的日志報(bào)表的使用方法。

前提配置

剛進(jìn)入DDoS高防控制臺(tái)的全量日志下，在界面引導(dǎo)下開(kāi)通日志服務(wù)并授權(quán)操作后。就可以給特定的網(wǎng)站啟用日志分析功能了。

報(bào)表界面介紹

在前一篇文章我們介紹了基于DDoS日志的分析與統(tǒng)計(jì)功能，可能會(huì)注意到報(bào)表工具欄有一個(gè)選項(xiàng)是添加到儀表盤，這個(gè)選項(xiàng)的作用是構(gòu)建自定義的報(bào)表；但其實(shí)DDoS日志分析與報(bào)表功能，已經(jīng)內(nèi)置了報(bào)表中心給用戶。

當(dāng)選擇某一個(gè)網(wǎng)站點(diǎn)擊日志報(bào)表時(shí)，會(huì)展示基于這個(gè)網(wǎng)站的日志報(bào)表界面：

1. 內(nèi)置報(bào)表列表

當(dāng)您在DDoS控制臺(tái)為特定DDoS的防護(hù)網(wǎng)站打開(kāi)了日志分析的功能時(shí), DDoS會(huì)實(shí)時(shí)將相關(guān)網(wǎng)站的訪問(wèn)和防護(hù)日志導(dǎo)入到您擁有的日志服務(wù)的專屬日志庫(kù)中。默認(rèn)打開(kāi)日志分析的網(wǎng)站的日志都會(huì)集中放到這一個(gè)日志庫(kù)中。專屬的日志庫(kù)名字是ddos-pro-logstore，存放于日志服務(wù)的項(xiàng)目ddos-pro-project-阿里云賬戶ID中。國(guó)內(nèi)項(xiàng)目在杭州區(qū)域，國(guó)外項(xiàng)目在香港區(qū)域。

DDoS也會(huì)默認(rèn)在這個(gè)項(xiàng)目中為這個(gè)日志庫(kù)創(chuàng)建兩個(gè)內(nèi)置的報(bào)表：

報(bào)表報(bào)表名報(bào)表作用

DDoS運(yùn)營(yíng)中心ddos-pro-logstore_ddos_operation_center展示被DDoS保護(hù)的網(wǎng)站目前的總體運(yùn)營(yíng)狀況，包括有效請(qǐng)求狀況、流量、趨勢(shì)以及被CC攻擊的流量、峰值、攻擊者分布等。

OS訪問(wèn)中心ddos-pro-logstore_ddos_access_center展示被DDoS保護(hù)的網(wǎng)站目前的總體被訪問(wèn)狀況，包括PV/UV趨勢(shì)與帶寬峰值、訪問(wèn)者分布、流量線路分布、客戶端類型分布、請(qǐng)求分布、被訪問(wèn)網(wǎng)站分布等。

可以自由點(diǎn)擊報(bào)表列表進(jìn)行切換。關(guān)于內(nèi)置報(bào)表更多信息，參考后面的內(nèi)容。

2. 報(bào)表與項(xiàng)目信息

這里展示當(dāng)前報(bào)表的名稱與所在項(xiàng)目的信息。當(dāng)選擇某個(gè)網(wǎng)站點(diǎn)擊日志報(bào)表時(shí)，會(huì)自動(dòng)在#4 全局時(shí)間選擇器與過(guò)濾條件中自動(dòng)添加上這個(gè)網(wǎng)站的過(guò)濾條件，以便展示這個(gè)網(wǎng)站的運(yùn)營(yíng)與訪問(wèn)狀況：

matched_host:www.aliyun.com

3. 報(bào)表工具欄

這里是報(bào)表的一些輔助工具。包括：

刷新：在當(dāng)前頁(yè)面停留一段時(shí)間后，可能有新的符合當(dāng)前條件的數(shù)據(jù)導(dǎo)入，可以點(diǎn)擊這個(gè)以便刷新這些數(shù)據(jù)反映在報(bào)表上。也可以點(diǎn)擊自動(dòng)刷新來(lái)在選擇的間隔內(nèi)自動(dòng)刷新。

重置時(shí)間：將在#5 報(bào)表展示區(qū)域中各個(gè)圖表的時(shí)間選擇器重置為之前保存的時(shí)間范圍。

4. 全局時(shí)間選擇器與過(guò)濾條件

4.1 全局時(shí)間選擇器

在#5. 報(bào)表展示區(qū)域內(nèi)的每一個(gè)報(bào)表都會(huì)有一個(gè)自己的時(shí)間選擇范圍（例如有的展示過(guò)去1天的訪問(wèn)量，有的展示過(guò)去30天的訪問(wèn)趨勢(shì)等）。但是這里提供了一種方式，讓所有圖表統(tǒng)一使用一個(gè)選擇的時(shí)間段繼續(xù)展示。

點(diǎn)擊請(qǐng)選擇會(huì)彈出和查詢分析界面一樣的時(shí)間選擇器，選擇要展示的時(shí)間范圍的日志的報(bào)表信息，可以是相對(duì)時(shí)間，也可以使整點(diǎn)時(shí)間，或者特定時(shí)間：

注意：

修改后，所有圖表的時(shí)間都會(huì)改成這個(gè)時(shí)間范圍。

這樣的選擇只是臨時(shí)的一種展示方式，并不會(huì)保存，下一次進(jìn)入這個(gè)報(bào)表的時(shí)候，依然會(huì)恢復(fù)默認(rèn)情況。

4.2 過(guò)濾條件

當(dāng)選擇某個(gè)網(wǎng)站點(diǎn)擊日志報(bào)表時(shí)，會(huì)自動(dòng)添加一個(gè)過(guò)濾條件，例如：

matched_host:www.aliyun.com

會(huì)給所有#5. 報(bào)表展示區(qū)域中的每個(gè)圖表添加這個(gè)過(guò)濾條件。

示例1：查看所有網(wǎng)站的總體報(bào)表

只需要將上面自動(dòng)添加的過(guò)濾條件去掉，就相當(dāng)于對(duì)當(dāng)前日志庫(kù)ddos-pro-logstore進(jìn)行全局的報(bào)表展示了。

示例2：添加額外條件

也可以進(jìn)一步添加更多條件，例如這里展示通過(guò)電信線路訪問(wèn)請(qǐng)求的總體情況：

注意：多個(gè)過(guò)濾條件之間是AND關(guān)系。這里使用了字段isp_line是DDoS日志的字段，表示連接入口的運(yùn)營(yíng)商網(wǎng)絡(luò)，關(guān)于更詳細(xì)的完整字段列表和信息，可以參考這里

5. 報(bào)表展示區(qū)域

報(bào)表展示區(qū)域按照預(yù)定義的布局展示多個(gè)報(bào)表，一般有如下幾個(gè)類型：

單值：表示一些重要指標(biāo)，如有效請(qǐng)求率、攻擊峰值等。

線/面積圖：表示一些重要指標(biāo)特定時(shí)間單元內(nèi)的趨勢(shì)圖，如流入帶寬趨勢(shì)、攻擊攔截趨勢(shì)等。

地圖：表示一些訪問(wèn)者、攻擊者的地理分布，如CC攻擊者國(guó)家分布、訪問(wèn)熱點(diǎn)分布等。

餅圖：表示一些重要信息的分布，例如被攻擊網(wǎng)站前10、客戶端類型分布等。

表格：展示一些重要信息，一般分多個(gè)列。如攻擊者列表等。

和地圖表示一些重要的（地理）分布，有的是線圖，表示時(shí)間軸上的趨勢(shì)。

圖表操作

一個(gè)典型的圖標(biāo)包括如下幾個(gè)區(qū)域：

標(biāo)題

對(duì)這個(gè)圖標(biāo)的一個(gè)簡(jiǎn)單介紹。

覆蓋時(shí)間區(qū)域

展示了這個(gè)圖標(biāo)統(tǒng)計(jì)所對(duì)應(yīng)的時(shí)間范圍，當(dāng)鼠標(biāo)移動(dòng)上去可以看到具體信息，例如：

也可以點(diǎn)擊這個(gè)圖標(biāo)，彈出時(shí)間選擇視圖與前面全局類似，修改后，僅僅會(huì)影響當(dāng)前圖表。

注意：

修改后，這樣的選擇只是臨時(shí)的一種展示方式，并不會(huì)保存，下一次進(jìn)入這個(gè)報(bào)表的時(shí)候，依然會(huì)使用默認(rèn)的時(shí)間范圍。

原文鏈接