将网站接入DDoS高防后,您可以通过全量日志分析采集和存储网站的日志数据,并对采集到的日志数据进行查询与分析。本文介绍如何快速使用全量日志分析功能。
使用前须知
使用前请您了解什么是全量日志分析、如何计算所需的日志存储容量、日志采样说明等基本信息。详细内容,请参见概述。
前提条件
步骤一:购买全量日志分析
登录DDoS高防控制台。
在顶部菜单栏左上角处,选择地域。
DDoS高防(中国内地):选择中国内地地域。
DDoS高防(非中国内地):选择非中国内地地域。
在左侧导航栏,选择
。在全量日志分析页面,单击立即购买。
在全量日志购买页面,完成配置项设置后,单击立即购买并完成支付。
配置项
说明
适用产品
选择DDoS实例类型。
日志存储量
选择日志数据的最大存储空间,单位:TB。
当日志存储空间足够大且在服务有效期内,将从使用服务的第一天开始,连续存储180天的日志数据。第181天的日志数据,将覆盖第一天存储的日志数据,即始终保持存储最近180天的全量日志数据。
重要当您选购的日志存储空间占满后,将停止存储新的日志数据。
购买时长
选择服务有效期。
重要全量日志分析服务到期后,将停止存储新的日志数据。
步骤二:授权DDoS高防将日志数据存储到日志服务
返回全量日志分析页面,根据页面提示完成授权。
系统会自动创建服务关联角色AliyunDDoSCOOLogArchiveRole,DDoS高防使用该角色访问日志服务,将日志数据存储到日志服务专属日志库。
为DDoS高防(非中国内地)实例选择Logstore的地域,即日志数据的存储地域。
支持选择新加坡或印度尼西亚(雅加达)。
重要地域选择后不支持更换,如需更换只能关闭日志服务并重新开启,但关闭操作会删除Logstore和全部日志内容,请谨慎操作。
DDoS高防(中国内地)无需设置地域,默认存储在杭州地域。
开启日志服务后,DDoS高防将在阿里云日志服务SLS中按您指定的地域创建Logstore,并采集指定防护对象的日志投递到该Logstore中。
步骤三:开启日志采集
在全量日志分析页面,为网站域名开启日志采集。
为单个域名开启日志采集:从选择域名下拉列表中选择目标域名,打开状态开关。
批量为域名开启日志采集:单击页面右上方的批量配置,并在批量配置面板选中多个域名,单击批量开启。
开启日志采集后,日志服务将自动为DDoS高防创建一个专属的日志项目(Project),用于管理DDoS高防的日志数据。
您可以在日志服务控制台的首页查看DDoS高防专属日志项目。DDoS高防(中国内地)服务的专属日志项目名称以ddoscoo-project
开头,DDoS高防(非中国内地)服务的专属日志项目名称以ddosdip-project
开头。专属日志项目默认包含以下资源:
1个专属日志库(Logstore),用于存储DDoS高防的日志数据。DDoS高防(中国内地)服务的专属日志库名称为
ddoscoo-logstore
,DDoS高防(非中国内地)服务的专属日志库名称为ddosdip-logstore
。2个预设的日志仪表盘(DDoS访问中心、DDoS运营中心),用于展示日志分析图形报表。DDoS高防(中国内地)和DDoS高防(非中国内地)服务的日志仪表盘内容相同。
(可选)步骤四:查询和分析全量日志
在全量日志分析页面的选择域名列表中,选择目标域名。
在全量日志页签,设置查询的时间范围。
说明DDoS高防日志的默认保存时间为180天,180天之前的日志数据会被删除。默认情况下只支持查询最近180天内的日志数据。
查询结果相对于指定的时间范围有1分钟以内的误差。
在查询框中输入查询分析语句,然后单击查询/分析。
查询分析语句由查询语句和分析语句两个部分组成,通过竖线(|)进行分隔,格式:
查询语句|分析语句
。语句类型
是否可选
说明
查询语句
可选
查询条件,可以为查询关键词、模糊查询、数值、数值范围和组合条件。
如果为空或星号(*),表示针对当前时间段所有数据不设置任何过滤条件,即返回所有数据,详情请参见查询语法。
说明关于DDoS高防访问日志的日志字段说明,请参见全量日志字段说明。
分析语句
可选
对查询结果或全量数据进行计算和统计。
如果为空,表示只返回查询结果,不做统计分析,详情请参见分析概述。
说明分析语句中可以省略SQL标准语法中的
from 表格名
语句,即from log
。日志数据默认返回前100条,您可以通过LIMIT子句修改返回范围。
查询分析语句执行后默认按表格方式展示分析结果,您还可以选择折线图、柱状图、饼图等多种图形方式进行展示。具体操作,请参见统计图表概述。
您也可以根据仪表盘中的查询图表设置告警,实现实时的服务状态监控。具体操作,请参见告警简介。
(可选)步骤五:查询日志报表
仪表盘是日志服务提供的实时数据分析大盘,使用常用查询语句获取分析结果后,您可以将结果图表保存到仪表盘中。全量日志分析服务默认为您提供DDoS访问中心和DDoS运营中心两个仪表盘。
在全量日志分析页面的选择域名列表中,选择目标域名。
单击日志报表页签,单击时间选择设置时间范围。
说明日志报表中所有图表都是基于不同时间段的数据统计结果,例如访问量的默认时间范围为1小时,访问趋势为1周。设置时间范围后当前页面的所有图表均按照设置的时间范围进行显示。
查看DDoS高防默认仪表盘。
日志报表展示区域按照预定义的布局展示多个报表,包含不同的图表类型。关于图表类型的说明,请参见统计图表概述。
DDoS访问中心:展示网站的基本指标(PV、UV、流入流量、带宽峰值)、访问趋势、请求来源分布、其他统计信息(例如访问域名、客户端类型等)。
DDoS访问中心
DDoS运营中心:展示网站的总体运营状况,包括带宽流入流出趋势、请求与拦截趋势、攻击者列表、被访问网站列表等。
您可以通过单击右上角的订阅按钮订阅仪表盘功能,通过邮件或者钉钉群消息将仪表盘内容定时推送给指定对象。具体操作,请参见订阅仪表盘。