Anti-DDoS:ログ分析機能の使用

使用上の注意

ログ分析機能を使用する前に、機能に関する基本情報、必要なログストレージ容量の計算方法、およびログサンプリングの説明を知っておく必要があります。 詳細については、「概要」をご参照ください。

ステップ1: ログ分析機能の有効化

1. Anti-DDoS Proxyコンソールにログインします。

2. 上部のナビゲーションバーで、インスタンスのリージョンを選択します。

   • Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。

   • Anti-DDoSプロキシ (中国本土以外): インスタンスがAnti-DDoSプロキシ (中国本土以外) の場合は、[中国本土以外] を選択します。

3. 左側のナビゲーションウィンドウで、調査 > Log Analysis を選択します。

4. Log Analysis ページで、今すぐ購入 をクリックします。

5. Log Serviceページでパラメーターを設定し、[今すぐ購入] をクリックして支払いを完了します。

   パラメーター	説明
   エディション	Anti-DDoS Proxyのインスタンスタイプを選択します。
   ログストレージ	ログを保存する容量を選択します。 単位: TB。 ログストレージが十分に大きく、有効期間内の場合、ログは機能が使用された最初の日から保存されます。 次の180日以内に生成されたログは保存されます。 1日目のログ181は1日目のログを上書きします。これは、過去180日以内に生成されたログのみが保存されることを示します。 重要 ログストレージが使い果たされた後、新しいログは保存できません。
   期間	機能の有効期間を選択します。 重要 ログ分析機能の有効期限が切れると、新しいログを保存できません。

手順2: Anti-DDoSプロキシを認証してSimple Log Serviceにログを保存

1. Log Analysis ページに戻り、プロンプトに従って承認を完了します。

   サービスにリンクされたロールAliyunDDoSCOOLogArchiveRoleが自動的に作成されます。 Anti-DDoS Proxyはこのロールを使用してSimple Log Serviceにアクセスし、Anti-DDoS Proxy専用のLogstoreにログを保存します。

2. Anti-DDoS Proxy (Outside Chinese Mainland) インスタンスの専用ログストアのリージョンを選択します。 インスタンスのログは、選択したリージョンに保存されます。

   シンガポールまたはインドネシア (ジャカルタ) リージョンを選択できます。

   重要

   • リージョンを選択した後、リージョンを直接変更することはできません。 リージョンを変更するには、ログ分析機能を無効にし、再度有効にするだけです。 ただし、この機能を無効にすると、Logstoreとすべてのログデータが削除されます。 作業は慎重に行ってください。

   • Anti-DDoS Proxy (中国本土) インスタンスの専用ログストアのリージョンを選択する必要はありません。 デフォルトでは、インスタンスのログは中国 (杭州) リージョンに保存されます。

   • ログ分析機能を有効にすると、Anti-DDoS Proxyは、Simple log Serviceの指定されたリージョンにインスタンスのログストアを作成します。 次に、Anti-DDoS Proxyはインスタンスのログデータを収集してLogstoreに配信します。

手順3: ログ収集機能の有効化

Log Analysis ページで、Webサイトのドメイン名のログ収集機能を有効にします。

• ドメイン名のログ収集機能を有効にする: ドメインの選択 ドロップダウンリストからドメイン名を選択し、ステータス をオンにします。

• 一度に複数のドメイン名のログ収集機能を有効にする: ページの右上隅にある 一括設定 をクリックします。 一括設定パネルで、複数のドメイン名を選択し、一括有効化をクリックします。

ログ収集機能を有効にすると、Simple log ServiceはAnti-DDoS Proxy専用のプロジェクトを自動的に作成します。 この専用プロジェクトは、Anti-DDoS Proxyのログを管理するために使用されます。

専用プロジェクトは、Simple Log Serviceコンソールのホームページで確認できます。 Anti-DDoS Proxy (中国本土) 専用プロジェクトの名前は、ddoscoo-projectで始まります。 Anti-DDoS Proxy (Outside Chinese Mainland) 専用プロジェクトの名前は、ddosdip-projectで始まります。 Anti-DDoS Proxyの専用プロジェクトには、次のリソースが含まれます。

• Anti-DDoSプロキシのログを保存するために使用される専用のLogstore。 Anti-DDoS Proxy (中国本土) 専用のログストアの名前は、ddoscoo-Logstoreで始まります。 Anti-DDoS Proxy (Outside Chinese Mainland) 専用のログストアの名前は、ddosdip-Logstoreで始まります。

• ログ分析の結果をグラフに表示するために使用される2つの事前設定されたログダッシュボード。 ダッシュボードはDDoS Access CenterとDDoS Operation Centerです。 ダッシュボードの情報は、Anti-DDoS Proxy (中国本土) とAnti-DDoS Proxy (中国本土以外) の両方で同じです。

ステップ4: (オプション) ログの照会と分析

1. Log Analysis ページで、ドメインの選択 ドロップダウンリストからドメイン名を選択します。

2. Log Analysis タブで、クエリの時間範囲を指定します。

   説明

   • Anti-DDoS Proxyログは180日間保持されます。 デフォルトでは、過去180日間のログのみを照会できます。

   • クエリ結果には、指定された時間範囲より1分前または後に生成されたログが含まれる場合があります。

3. 検索ボックスにクエリステートメントを入力し、[検索と分析] をクリックします。

   各クエリステートメントは、検索ステートメントと分析ステートメントで構成されます。 検索文と分析文は縦棒 (|) で区切られています。 形式: Search statement | Analytics statement

   ステートメント	オプション	説明
   クエリ 文。	可	検索文は、キーワード、数値、数値範囲、アスタリスク (*) 、または検索条件の組み合わせなどの検索条件を指定する。 検索文としてスペースまたはアスタリスク (*) を指定した場合、検索に条件は使用されず、すべてのログが返されます。 詳細については、「検索構文」をご参照ください。 説明 ログフィールドの詳細については、「完全ログに含まれるフィールド」をご参照ください。
   Analyticsステートメント	可	分析ステートメントは、検索結果またはすべてのログのデータを集計および計算するために使用されます。 分析文を空のままにすると、検索結果は返されますが、分析は実行されません。 詳細については、「ログ分析の概要」をご参照ください。 説明 分析ステートメントでは、from log部分は標準SQLステートメントのfrom <table name> 部分と似ており、省略できます。 デフォルトでは、最初の100ログエントリが返されます。 この数値を調整する場合は、LIMITステートメントを実行できます。 詳細は、「LIMIT句」をご参照ください。

   クエリ文が実行されると、分析結果は自動的にテーブルに表示されます。 分析結果は、折れ線グラフ、縦棒グラフ、円グラフなど、さまざまなグラフで表示することもできます。 ビジネス要件に基づいて表示方法を選択できます。 詳細については、「グラフの概要」をご参照ください。

   ダッシュボードのグラフに基づいてアラートルールを設定し、サービスのステータスをリアルタイムで監視することもできます。 詳細については、「概要」をご参照ください。

   一般的なクエリ文

   • ドメイン名への訪問数を照会します。

     * | SELECT COUNT(*) as times, host GROUP by host ORDER by times desc limit 100

   • ブロックされている攻撃の種類を照会します。

     * | select cc_action,cc_phase,count(*) as t group by cc_action,cc_phase order by t desc limit 10

   • 1秒あたりのクエリ (QPS) を照会します。

     * | select time_series(__time__,'15m','%H:%i','0') as time,count(*)/900 as QPS group by time order by time

   • 攻撃されたドメイン名を照会します。

     * and cc_blocks:1 | select cc_action,cc_phase,count(*) as t group by cc_action,cc_phase order by t desc limit 10

   • 攻撃されたURLを照会します。

     * and cc_blocks:1 | select count(*) as times,host,request_path group by host,request_path order by times

   • リクエストの詳細を照会します。

     * | select date_format(date_trunc('second',__time__),'%H:%i:%s') as time,host,request_uri,request_method,status,upstream_status,querystring limit 10

   • 5XXステータスコードの詳細を照会します。

     * and status>499 | select host,status,upstream_status,count(*)as t group by host,status,upstream_status order by t desc

   • リクエストのレイテンシーの分布を照会します。

     * | SELECT count_if(upstream_response_time<20) as "<20",
     count_if(upstream_response_time<50 and upstream_response_time>20) as "<50",
     count_if(upstream_response_time<100 and upstream_response_time>50) as "<100",
     count_if(upstream_response_time<500 and upstream_response_time>100) as "<500",
     count_if(upstream_response_time<1000 and upstream_response_time>500) as "<1000",
     count_if(upstream_response_time>1000) as ">1000"

手順5: (オプション) ログレポートの照会

Simple Log Serviceは、データをリアルタイムで分析するためのダッシュボードを提供します。 クエリステートメントと分析ステートメントを使用してログをクエリおよび分析した後、分析結果のチャートをダッシュボードに保存できます。 Simple Log Analysisには、DDoS Access CenterとDDoS Operation Centerの2つの事前設定ダッシュボードがあります。

1. Log Analysis ページで、ドメインの選択 ドロップダウンリストからドメイン名を選択します。

2. ログレポート タブで、[時間範囲の選択] をクリックして時間範囲を指定します。

   説明

   ダッシュボード上の各チャートは、特定の時間範囲内の統計に基づいて生成されます。 たとえば、デフォルトの時間範囲は、Webサイトアクセスチャートの場合は1時間、アクセス傾向チャートの場合は1週間です。 時間範囲を指定すると、指定した時間範囲に基づいて現在のページのすべてのグラフが表示されます。

3. プリセットのダッシュボードを表示します。

   ログレポートは、さまざまな種類のグラフで表示されます。 グラフの種類の詳細については、「グラフの概要」をご参照ください。

   • DDoS Access Center: 基本的なWebサイトの指標、アクセス傾向、リクエストソースの分布、およびアクセスドメイン名やクライアントタイプなどのその他の統計情報を表示します。 Webサイトのメトリックには、PV、UV、インバウンドトラフィック、ピーク帯域幅が含まれます。

     DDoSアクセスセンター

     チャート名	セクション	デフォルトの時間範囲	説明	例
     PV	単一値	1 時間 (相対)	PVの総数。	100000
     UV	単一値	1 時間 (相対)	UVの総数。	100000
     トラフィックイン	単一値	1 時間 (相対)	Webサイトのインバウンドトラフィックの合計量。 単位：MB。	300 MB
     ピークネットワークのトラフィック	単一値	今日 (概算時間)	Webサイトの最大受信データ伝送速度。 単位: byte/s。	100 バイト/秒
     ピークネットワークアウトトラフィック	単一値	今日 (概算時間)	Webサイトの最大送信データ伝送速度。 単位: byte/s。	100 バイト/秒
     交通ネットワークのトレンド	二重線グラフ	1週間 (相対)	インバウンドトラフィックとアウトバウンドトラフィックの傾向。 単位: KB/s。	サポートされていません。
     PV/UVトレンド	二重線グラフ	1週間 (相対)	PVとUVのトレンド。	サポートされていません。
     アクセスステータスの配布	円グラフ	1週間 (相対)	400、304、200など、さまざまなステータスコードを持つリクエストの配信。 単位: カウント /分。	サポートされていません。
     アクセスソース	世界地図	1 時間 (相対)	さまざまな国からのPVの分布。	サポートされていません。
     トラフィックin source (world)	世界地図	1 時間 (相対)	さまざまな国からのインバウンドトラフィックの分布。 単位：MB。	サポートされていません。
     トラフィックin source (中国)	中国地図	1 時間 (相対)	中国のさまざまな省からのインバウンドトラフィックの分布。 単位：MB。	サポートされていません。
     アクセスheatmap	AMAP	1 時間 (相対)	訪問者の地理的位置を示すヒートマップ。	サポートされていません。
     ネットワークIpソーストップ10	ドーナツグラフ	1 時間 (相対)	China Telecom、China Unicom、China Mobile、CERNETなど、さまざまなインターネットサービスプロバイダー (ISP) からのインバウンドトラフィックの配信。 単位：MB。	サポートされていません。
     リファラー	テーブルチャート	1 時間 (相対)	上位100最もよく使用されるリファラーURL、ホスト、およびリダイレクトの数。	サポートされていません。
     モバイルクライアント配布	ドーナツグラフ	1 時間 (相対)	Anti-DDoSプロキシ回線の分布。	サポートされていません。
     PCクライアント配布	ドーナツグラフ	1 時間 (相対)	iPhone、iPad、Internet Explorer、Google Chromeなど、最も使用されているユーザーエージェントのトップ20。	サポートされていません。
     リクエストコンテンツタイプの配布	ドーナツグラフ	1 時間 (相対)	HTML、フォーム、JSON、ストリーミングデータなど、最もリクエストされているコンテンツタイプのトップ20。	サポートされていません。
     アクセスしたサイト	ドーナツグラフ	1 時間 (相対)	ウェブサイトの上位20の最も訪問されたドメイン名。	サポートされていません。
     トップクライアント	テーブルチャート	1 時間 (相対)	最も多くのリクエストを開始する上位100のクライアントに関する情報。 情報には、IPアドレス、PV、インバウンドトラフィック、無効なリクエストの数、攻撃の数が含まれます。	サポートされていません。
     応答が最も遅いURL	テーブルチャート	1 時間 (相対)	応答時間が最も長い上位100のURLに関する情報。 情報には、Webサイト、URL、応答時間、およびアクセス数が含まれます。	サポートされていません。

   • DDoSオペレーションセンター: インバウンドおよびアウトバウンドトラフィックの傾向、リクエストおよびインターセプトの傾向、攻撃者、訪問したWebサイトなど、Webサイトの全体的な運用ステータスを表示します。

   [ログレポート] タブの右上隅にある [サブスクライブ] をクリックして、ダッシュボードをサブスクライブし、電子メールまたはDingTalkメッセージを使用して特定の受信者にダッシュボードデータを送信することもできます。 詳細については、「サブスクリプションの追加」をご参照ください。

関連ドキュメント

Alibaba Cloudサービスのログに対する一般的な操作