来源:蜘蛛抓取(WebSpider)
时间:2018-08-03 03:05
标签:
王牌三国阿里手游官网
阿里云DDoS高防 - 访问与攻击日志实时分析(一)
阿里云DDoS高防 - 访问与攻击日志实时分析(一)
阿里云DDoS高防IP的网站访问日志(包含CC攻击日志)目前已经与日志服务打通,提供实时分析与报表中心的功能。
DDoS攻击趋势
互联网界的安全一直都不断的面临着挑战,以ddos攻击为代表的网络威胁直接对网络安全产生严重的影响。
Ddos攻击正在朝着大规模、移动化、全球化的方向发展. 据近年来的调查报告显示,ddos攻击的频率呈现出增长的趋势。黑客攻击的隐蔽性强,能够控制大量的安全措施差的云服务商和IDC甚至发起攻击,其攻击已经形成了成熟的黑色产业链,并且越来越有组织化。
同时,攻击的方式向两极化发展,慢速攻击、混合攻击尤其是占比不断增大,这给检测防御造成更大的难度。一方面,超过1TB的攻击峰值屡见不鲜()、100G攻击次数成倍增长,另一方面,应用层攻击也在大幅度翻倍(参考)
根据,中国依然主要的DDoS攻击源和目标(50%左右). 主要被攻击的行业是互联网(超过50%)、游戏、软件公司、金融等(参考)。
阿里云DDoS高防IP
阿里云云盾DDoS高防IP是针对互联网服务器(包括非阿里云主机)在遭受大流量的DDoS攻击后导致服务不可用的情况下,推出的付费增值服务,用户可以通过配置高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。
云盾高防产品目前在全世界多个国家都建设了大容量的清洗中心,整体清洗能力在2T以上,2014年,云盾高防IP防御了全球最大的一次DDoS攻击453.8Gbps。
阿里云日志服务
阿里云的日志服务(log service)是针对日志类数据的一站式服务,无需开发就能快捷完成海量日志数据的采集、消费、投递以及查询分析等功能,提升运维、运营效率。日志服务主要包括 实时采集与消费、数据投递、查询与实时分析 等功能。
阿里云DDoS高防访问与攻击日志实时分析概述
根据,超过80%DDoS攻击会混合HTTP攻击,而CC攻击尤其隐蔽,因此通过日志对访问和攻击行为进行即时分析研究、附加防护策略就显得尤其重要。
目前,的网站访问日志(包含CC攻击日志)目前已经与打通,提供实时分析与报表中心的功能。
目前内测阶段,即将发布
对日志存储有合规需求的大型企业与机构,如金融公司、政府类机构等。
需要实时了解DDoS高防整体状况,并对关键业务的DDoS中CC攻击进行深入分析与防护的企业,如金融类、电商类和游戏类企业等。
发布功能:
轻松配置,即可实时高防日志采集。
依托日志服务,提供实时日志分析,并提供开箱机用的报表中心(支持定制),对数据库执行状况、性能、潜在安全问题了如指掌,并可实时挖掘细节。
提供特定免费数据导入额度,以及免费3天的日志存储、查询与实时分析,并可自由扩展存储时间,以便合规、溯源、备案等。支持不限时间的存储,存储成本低至0.35元/GB/月。参考更多。
支持基于特定指标,支持定制准实时监测与报警,确保关键业务异常及时响应。
可对接其他生态如流计算、云存储、可视化方案,进一步挖掘数据价值。
与AWS Shield方案在日志分析方面的比较:
开通日志服务。
开通DDoS服务,购买实例,并。
正式发布后, 在DDoS控制台简单操作即可打开特定网站的日志.
开通配置后即可使用自带的实时分析功能与报表中心.
场景一: 实时网站访问异常排查与问题分析,读写延时,各运营商分布等
查看DDoS访问日志的SQL:
__topic__: ddos_access_log
场景二: CC攻击者分布与来源追踪,溯源并辅助应对策略等
查看CC攻击者的国家分布的SQL:
__topic__: ddos_access_log and cc_blocks & 0| SELECT ip_to_country(if(real_client_ip='-', remote_addr, real_client_ip)) as country, count(1) as "攻击次数" group by country
场景三: 整体访问监控程度,运维可靠性指标一目了然
查看PV的SQL:
__topic__: ddos_access_log
| select count(1) as PV
场景四: 运营分析,网站受欢迎程度,被哪些渠道使用,客户端分布等
查看来自各个网络运营商的访问者的流量分布的SQL:
__topic__: ddos_access_log
| select ip_to_provider(if(real_client_ip='-', remote_addr, real_client_ip)) as provider, round(sum(request_length)/4.0, 3) as mb_in group by provider having ip_to_provider(if(real_client_ip='-', remote_addr, real_client_ip)) && '' order by mb_in desc limit 10
进一步参考
我们会介绍更多关于如何配置并使用DDoS高防访问日志对网站运营、访问和安全状况进行详细分析的内容,敬请期待。
用云栖社区APP,舒服~
【云栖快讯】Apache旗下顶级开源盛会 HBasecon Asia 2018将于8月17日在京举行,现场仅600席,免费赠票领取入口&&
针对互联网服务器(包括非阿里云主机)在遭受大流量的DDoS攻击后导致服务不可用的情况下,推出...
针对日志类数据的一站式服务,用户无需开发就能快捷完成数据采集、消费、投递以及查询分析等功能,...
数据库云大使阿里云DDoS高防 - 访问与攻击日志实时分析(二)
摘要: 本文介绍了如何配置DDoS日志分析功能,结合实际场景详细介绍了如何使用日志对DDoS访问与攻击日志进行分析与图形化操作。概述本文介绍了如何配置DDoS日志分析功能,结合实际场景详细介绍了如何使用日志对DDoS访问与攻击日志进行分析与图形化操作。前提配置刚进入DDoS高防控制台的全量日志下,在界面引导下开通日志服务并授权操作后。就可以给特定的网站启用日志分析功能了。分析界面介绍当选择某一个网站点击日志分析时,会展示基于这个网站的日志分析界面:这个查询界面大致可以划分为如下几个功能区域:1. 日志库与项目信息当为特定DDoS的防护网站打开了日志分析的功能时, DDoS会实时将相关网站的访问和防护日志导入到您拥有的日志服务的专属日志库中。默认打开日志分析的网站的日志都会集中放到这一个日志库中。专属的日志库名字是ddos-pro-logstore,存放于日志服务的项目ddos-pro-project-阿里云账户ID中。国内项目在杭州区域,国外项目在香港区域。当选择特定网站时,区域#4查询框会自动填入特定的查询语句,如:matched_host: aliyun.com
来展示属于这个网站的日志。关于查询语句框的具体信息可以参考后面内容。2. 日志时间范围选择器点击这里可以选择要分析的日志的时间范围,可以是相对时间,也可以使整点时间,或者特定时间:注意:可以查询的最久日志由日志库的周期决定,日志库默认的周期是3天(3天前的日志会自动删除),默认情况下只能查询到过去3*24小时的日志。如果需要查询更长时间的日志,可以参考。对于选择器的每个选项的更详细的介绍,可以参考3. 辅助配置工具栏这里是查询操作后的一些辅助工具。包括:另存为快速查询:将当前区域#4查询框的内容保存并赋予名字,以便复用(如何如何需要在日志服务的高级管理界面中操作)。也可以用于配置告警时使用。另存为告警:这里是配置告警的控制界面,基于某一个已经保存的快速查询进行报警配置,具体请参考。4. 查询语句输入框这里基于已经配置的时间范围内,对日志进行搜索。如果保留空白或者输入*表示不做任何过滤,查询选择时间范围内的所有日志。默认选择一个网站的分析日志时,会自动输入当前选择的网站(例如aliyun.com)的查询条件:matched_host: aliyun.com
这里可以按照语法自由输入,进行全文搜索或者基于字段的搜索,查询框支持换行(Ctrl + Enter)、语法高亮和提示功能等。4.1 全文搜索全文搜索,不需要指定特定的字段,直接输入关键字(可以用双引号括起来),多个关键字以空格(或and)分隔即可,示例1:多关键字查询这里搜索包含所有www.aliyun.com和error的日志。例如:www.aliyun.com error
也可以是:www.aliyun.com and error
示例2:多关键字或条件查询这里搜索所有包含www.aliyun.com并且包含error或者404的日志。例如:www.aliyun.com and (error or 404)
示例3:前缀查询这里搜索所有包含www.aliyun.com并且包含failed_开头关键字。例如:www.aliyun.com and failed_*
注意:查询只支持后缀加*,不支持前缀*,如:*_error。4.2 字段搜索基于特定字段的更精准的搜索,并且支持数值类型字段的比较,主要形式是字段:值或者字段 &= 值这种形式,之间用and、or等进行组合。也可以和全文搜索组合使用(也是通过and、or等连接)。示例1:多字段查询这里搜索所有www.aliyun.com被CC攻击的日志:matched_host: www.aliyun.com and cc_blocks: 1
如果要搜索某个客户端1.2.3.4对网站www.aliyun.com的所有错误404的访问日志,可以这样:real_client_ip: 1.2.3.4 and matched_host: www.aliyun.com and status: 404
注意:这里使用的字段matched_host、cc_blocks、real_client_ip和status等都是DDoS访问与攻击日志的字段,详细的字段列表和信息,可以参考示例2:数值字段查询这里搜索所有慢请求日志(响应时间超过5秒):request_time_msec & 5000
也支持区间查询,查询响应时间大于5秒且小于等于10秒(左开右闭)的日志:request_time_msec in (]
等价于:request_time_msec & 5000 and request_time_msec &= 10000
示例3:字段存在与否查询针对特定字段的存在与否进行查询:查询存在ua_browser字段的日志:ua_browser: *查询不能存在ua_browser字段的日志:not ua_browser: *4.3 完整字段DDoS网站访问日志和攻击日志具体有哪些字段可以进行查询,它们的含义、类型、格式以及可能的值有哪些,可以参考4.4 详细的查询语法关于完整的查询语法,例如操作符关键字、优先级、如何查询包含引号的字符等,可以参考5. 符合条件的日志分布这里一目了然的展示了符合查询时间和查询语句的日志的时间分布。以时间为横轴,数量纵轴的柱状图形式展示。下方展示了查询的日志总数。注意:可以在柱状图上滑动以选择更小范围的时间区域,时间选择器会自动更新为选择的时间范围,并刷新结果。6. 分页的日志详细信息这里以分页的形式展示了每一条日志的详细内容,包括时间、内容以及其中的各个字段。可以对列进行排序、对当前页进行下载,也可以点击#6.1 下载与展示列调整中齿轮按钮,选择特定的字段进行展示等。注意:可以在页面中点击相应字段的值(或者分词),那么会自动在#4 查询语句输入框中自动加入相应的搜索条件。例如鼠标点击request_method: GET中的值GET,会自动给搜索框加入如下语句:原来的搜索语句 and request_method:
7. 字段列表字段列表展示了日志库的所有字段,它们的含义、类型、格式以及可能的值有哪些,可以参考。点击每一个字段旁的眼睛按钮,可以展开对这个字段的各个值的分布。例如点击content_type将会展示来自当前查询下请求内容类型的分布:可以点击链接approx_distinct,展示这个字段有多少个唯一的值。也可以点击上图的小图标,展示具体的分布信息。如果选择的是数值型的字段,如status,则提供最大最小等值的快捷统计方式:注意:以上操作会切换查询界面为统计界面并展示结果,我们会在后面内容介绍。
没有更多推荐了,阿里云DDoS高防 - 访问与攻击日志实时分析(二)
本文介绍了如何配置DDoS日志分析功能,结合实际场景详细介绍了如何使用日志对DDoS访问与攻击日志进行分析与图形化操作。
刚进入DDoS高防控制台的全量日志下,在界面引导下开通日志服务并授权操作后。就可以给特定的网站启用日志分析功能了。
分析界面介绍
当选择某一个网站点击日志分析时,会展示基于这个网站的日志分析界面:
这个查询界面大致可以划分为如下几个功能区域:
1. 日志库与项目信息
当为特定DDoS的防护网站打开了日志分析的功能时, DDoS会实时将相关网站的访问和防护日志导入到您拥有的日志服务的专属日志库中。默认打开日志分析的网站的日志都会集中放到这一个日志库中。专属的日志库名字是ddos-pro-logstore,存放于日志服务的项目ddos-pro-project-阿里云账户ID中。国内项目在杭州区域,国外项目在香港区域。
当选择特定网站时,区域#4查询框会自动填入特定的查询语句,如:
来展示属于这个网站的日志。关于查询语句框的具体信息可以参考后面内容。
2. 日志时间范围选择器
点击这里可以选择要分析的日志的时间范围,可以是相对时间,也可以使整点时间,或者特定时间:
注意:可以查询的最久日志由日志库的周期决定,日志库默认的周期是3天(3天前的日志会自动删除),默认情况下只能查询到过去3*24小时的日志。如果需要查询更长时间的日志,可以参考这里。
对于选择器的每个选项的更详细的介绍,可以参考这里
3. 辅助配置工具栏
这里是查询操作后的一些辅助工具。包括:另存为快速查询:将当前区域#4查询框的内容保存并赋予名字,以便复用(如何如何需要在日志服务的高级管理界面中操作)。也可以用于配置告警时使用。另存为告警:这里是配置告警的控制界面,基于某一个已经保存的快速查询进行报警配置,具体请参考这里。
4. 查询语句输入框
这里基于已经配置的时间范围内,对日志进行搜索。如果保留空白或者输入*表示不做任何过滤,查询选择时间范围内的所有日志。
默认选择一个网站的分析日志时,会自动输入当前选择的网站(例如aliyun.com)的查询条件:
matched_host: aliyun.com
这里可以按照语法自由输入,进行全文搜索或者基于字段的搜索,查询框支持换行(Ctrl + Enter)、语法高亮和提示功能等。
4.1 全文搜索
全文搜索,不需要指定特定的字段,直接输入关键字(可以用双引号括起来),多个关键字以空格(或and)分隔即可,
示例1:多关键字查询
这里搜索包含所有www.aliyun.com和error的日志。例如:
也可以是:
www.aliyun.com and error
示例2:多关键字或条件查询
这里搜索所有包含www.aliyun.com并且包含error或者404的日志。例如:
www.aliyun.com and (error or 404)
示例3:前缀查询
这里搜索所有包含www.aliyun.com并且包含failed_开头关键字。例如:
www.aliyun.com and failed_*
注意:查询只支持后缀加*,不支持前缀*,如:*_error。
4.2 字段搜索
基于特定字段的更精准的搜索,并且支持数值类型字段的比较,主要形式是字段:值或者字段 &= 值这种形式,之间用and、or等进行组合。也可以和全文搜索组合使用(也是通过and、or等连接)。
示例1:多字段查询
这里搜索所有www.aliyun.com被CC攻击的日志:
matched_host: www.aliyun.com and cc_blocks: 1
如果要搜索某个客户端1.2.3.4对网站www.aliyun.com的所有错误404的访问日志,可以这样:
real_client_ip: 1.2.3.4 and matched_host: www.aliyun.com and status: 404
注意:这里使用的字段matched_host、cc_blocks、real_client_ip和status等都是DDoS访问与攻击日志的字段,详细的字段列表和信息,可以参考这里
示例2:数值字段查询
这里搜索所有慢请求日志(响应时间超过5秒):
request_time_msec & 5000
也支持区间查询,查询响应时间大于5秒且小于等于10秒(左开右闭)的日志:
request_time_msec in (]
request_time_msec & 5000 and request_time_msec &= 10000
示例3:字段存在与否查询
针对特定字段的存在与否进行查询:
查询存在ua_browser字段的日志:ua_browser: *
查询不能存在ua_browser字段的日志:not ua_browser: *
4.3 完整字段
DDoS网站访问日志和攻击日志具体有哪些字段可以进行查询,它们的含义、类型、格式以及可能的值有哪些,可以参考这里
4.4 详细的查询语法
关于完整的查询语法,例如操作符关键字、优先级、如何查询包含引号的字符等,可以参考这里
5. 符合条件的日志分布
这里一目了然的展示了符合查询时间和查询语句的日志的时间分布。以时间为横轴,数量纵轴的柱状图形式展示。下方展示了查询的日志总数。
注意:可以在柱状图上滑动以选择更小范围的时间区域,时间选择器会自动更新为选择的时间范围,并刷新结果。
6. 分页的日志详细信息
这里以分页的形式展示了每一条日志的详细内容,包括时间、内容以及其中的各个字段。可以对列进行排序、对当前页进行下载,也可以点击#6.1 下载与展示列调整中齿轮按钮,选择特定的字段进行展示等。
注意:可以在页面中点击相应字段的值(或者分词),那么会自动在#4 查询语句输入框中自动加入相应的搜索条件。
例如鼠标点击request_method: GET中的值GET,会自动给搜索框加入如下语句:
原来的搜索语句 and request_method: GET
7. 字段列表
字段列表展示了日志库的所有字段,它们的含义、类型、格式以及可能的值有哪些,可以参考这里。
点击每一个字段旁的眼睛按钮,可以展开对这个字段的各个值的分布。例如点击content_type将会展示来自当前查询下请求内容类型的分布:
可以点击链接approx_distinct,展示这个字段有多少个唯一的值。也可以点击上图的小图标,展示具体的分布信息。
如果选择的是数值型的字段,如status,则提供最大最小等值的快捷统计方式:
注意:以上操作会切换查询界面为统计界面并展示结果,我们会在后面内容介绍。
统计界面介绍
当在查询界面中的#7. 字段列表中点击某一个字段的快捷统计,会将当前查询界面切换为统计界面,同时注意到,#4. 查询语句输入框也会动被修改一个较长的语句。
以查询界面中的#6. 字段列表中选择某一列如content_type点击approx_distinct链接展示的统计为例,如下:
这个统计界面大致可以划分为如下几个功能区域:
可以看到,与查询界面相比,主要的变化部分就是:#4. 查询与统计语句与输入框以及6#. 统计工具栏和#7. 统计图表展示区。
其他部分并没有变化。
查询与统计语句输入框
以查询界面中的#6. 字段列表中选择某一列如content_type点击approx_distinct链接展示的统计为例。查询语句会从原来的查询语句如:
matched_host: "www.aliyun.com"
换行展示为:
得到如下的结果:
然后可以在图标工具栏中选择线图将结果以折线图的形式展示:
SQL说明:这里使用计算的内置时间字段计算__time__ - __time__% 300(同时使用函数from_unixtime做了格式化),将每条日志分组到了一个5分钟(300秒)的分区中进行统计总数(count(1)),并按照分区时间块排序,获得前1000条(相当于选择时间内的前83小时的数据)。
图表说明:这里配置分组的时间为X轴,各个分组内总数的值为Y轴即可。
更多时间相关的函数
更多关于时间解析的函数,例如将一个时间格式转化为另外一个格式,需要使用date_parse与date_format,可以参考这里
客户端IP相关的统计
DDoS日志中有反映真实客户端IP的字段real_client_ip,但某些情况下无法拿到用户真实IP时(例如用户通过代理并跳转头中IP有误的情况),可以直接使用直连客户端IP的字段remote_addr来代替。
示例1:攻击者国家分布
这里对某个网站进行CC攻击的来源国家分布:
得到结果:
在图标工具栏中选择地图,并配置好域后,可以得到一张基于世界地图的分布图:
SQL说明:这里先用函数if(condition, option1, option2)来选择字段real_client_ip或者real_client_ip(当real_client_ip为-时)。然后对结果IP传给函数ip_to_country得到这个IP对应的国家信息。
图表说明:这里选择世界地图,并配置国家对应的统计结果字段为country,反应颜色深度的列是攻击次数即可。
示例2:访问者省份分布
如果期望获得更细腻度的基于省份的分布,可以使用另外一个函数ip_to_province,例如:
得到结果:
在图标工具栏中选择地图后选中国地图,可以得到:
SQL说明:这里使用了另外一个IP函数ip_to_province来获得一个IP的所属省份。注意:如果是国外的IP,依然会尝试转化为其国家所属省份(州),但在选择中国地图展示时,会无法展示出来。
示例3:攻击者热力分布
如果期望获得一张攻击者的热力图,可以使用另外一个函数ip_to_geo,例如:
得到结果:
然后配置地图可以得到:
SQL:这里使用了另外一个IP函数ip_to_geo来获得一个IP的所在经纬度,并获取前1万条。图表说明:这里选择地图后选高德地图,配置对应属性后,选择显示热力图即可。
更多IP地理函数
基于IP的更多解析功能,例如获得IP所属运营商ip_to_provider、判断IP是内网还是外网ip_to_domain等,可以参考这里。
更多SQL统计操作
更多关于SQL的统计操作,例如更多SQL函数(字符串、正则表达式等)、分组(group by)、分组后查询(having)等,可以参考这里。
图表操作介绍
上面已经介绍如何在SQL统计结果上,选择表格(默认)展示结果;选择线图展示趋势;选择地图展示分布。日志服务还提供更多丰富的图表进行展示,包括如下:
关于每个图表如何具体配置,可以参考这里
本文为云栖社区原创内容,未经允许不得转载。
责任编辑:
声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
今日搜狐热点阿里云DDoS高防 - 访问与攻击日志实时分析(四)
摘要: 本文介绍了DDoS日志实时分析功能的费用计量细节与案例。概述本文介绍了DDoS日志的费用计量细节与案例。费用概述DDoS日志分析与报表功能依赖提供日志数据的实时查询与分析功能。当您开通DDoS访问与攻击日志实时分析功能时, 需要您根据界面提示开通日志服务和授权。日志服务日志服务计费方式为按量计费,费用与打开日志分析的网站所产生的访问和防护日志数量有关,开通日志服务但没有为任何网站打开日志的情况下,是不会产生任何费用的。日志服务同时提供特定的免费额度,打开日志分析的网站的日志量在免费额度内的,也不会产生任何费用(具体参考后面内容)。日志存放位置与周期当您在DDoS控制台为特定DDoS的防护网站打开了日志分析的功能时, DDoS会实时将相关网站的访问和防护日志导入到您拥有的日志服务的专属日志库中。默认打开日志分析的网站的日志都会集中放到这一个日志库中,并配置默认3天的存储周期(超过3天的日志会自动被删除)。专属的日志库名字是ddos-pro-logstore,存放于日志服务的项目ddos-pro-project-阿里云账户ID中。免费额度DDoS的日志分析服务的费用主要由导入的日志量以及存储的时间两个主要因素有关,并提供100GB/天的日志一次性导入量和3天的免费存储时间。另外,基于日志的查询分析、统计报表和报警等功能是免费的。例子每天有6千万条日志,存储周期3天,总日志量约为 96 GB/天(估计平均每条日志1600字节左右),符合免费额度。超过免费额度的日志导入的收费标准当开启日志分析的网站的总日志量超过免费额度时,将对超出部分按照日志量收取费用。具体按照索引与传输的数据量收费。计费项免费额度超出部分价格(公有云)超出部分价格(金融云)日志导入量索引:100GB/天传输:30GB/天索引:0.35 元/GB传输:0.18 元/GB索引:0.665 元/GB传输:0.342 元/GB说明1) 索引:索引根据实际索引字段进行计算,在写入时一次性收取存储费用。DDoS的日志默认是全索引开启。示例1:日志量为 150 GB/天,则以 50 GB (= 150GB - 100GB) 计费,为 0.35 x 50 = 17.5 元/天2) 传输:传输是指因为写入而产生的流量,传输流量为压缩后的大小。DDoS的日志传输是压缩的. 一般有5~10的倍压缩率。注意:通过控制台进行的查询、统计、报表和报警等功能所产生的读取流量不收取任何费用。示例2:日志量为 300GB/天,实际压缩大小约为 50GB(按照6压缩比算),则以 20GB (=50GB - 30GB) 计费,为 0.18 x 20 = 3.6 元/天3) 扣费周期为天; DDoS专属Logstore的免费额度的清零周期为天.超过免费额度的日志存储的收费标准当用户主动修改日志库的存储周期从3天改为更长时间时,超出部分需要收取额外的费用。计费项免费额度超出部分价格(公有云)超出部分价格(金融云)存储空间3天0.0115 元/GB*天0.01725 元/GB*天说明1) 存储空间大小:存储空间为压缩后原始数据量与索引数据量之和示例3:每天 1GB 数据,压缩后为 200MB,全文和字段索引(大小为 1GB)。存储周期为 30 天,则30 天后累计 最大存储量为 30 ×()= 36GB,去掉3天免费额度后 为 27 * ()= 32.4 GB, 一天存储最大收费为 0.0115 × 32.4 = 0.3726 元。示例4:每天 10GB 数据,压缩后为 2GB,全文和字段索引(大小为 10GB)。存储周期为 30 天,则30 天后累计 最大存储量为 30 ×(10+2)= 360GB,去掉3天免费额度后 为 27 * (10+2)= 324 GB, 一天存储最大收费为 0.0115 × 324 = 3.726 元。超标准情况下的其他额外费用为了防止资源被滥用,日志服务也对超标准的活跃分区数、读写次数和外网读取等进行了约束。对异常超额的资源收取因的费用,但价格非常低廉。计费项免费额度超出部分价格(公有云)超出部分价格(金融云)活跃 Shard 租用4 个*天/月0.04 元/天0.04 元/天读写次数1百万次/天0.12 元/百万次0.12 元/百万次外网读取流量00.8 元/GB0.8 元/GB说明1) 活跃Shard租用:Shard指日志库的分区,默认是2个,并支持自动扩展。一般每个Shard可以支持430 GB/天的数据写入量,租用只统计当前读写 Shard 的数量。已经被 合并/分裂 的 Shard 不收取租用费。用户可以在示例5:目前有 10 个 Shard,7 个 Shard 的状态为读写,另外 3 个 Shard 已经被合并为只读,DDoS专属的Logstore总体每天只收取 3个 (7个-4个) Shard的租赁费 0.12 元/天。2) DDoS默认的Logstore的Shard数量是2个, 并且开启.3) 读写次数:日志读取和写入日志服务的次数,由您的日志产生速度决定。后台实现机制会尽量减少写入次数(最多可批量4000条/次)。示例6:每天网站日志为100亿条,写入次数约为50W次(平均2000条/次),免费。4) 外网流量:被外网程序读取消费所产生的数据流量。示例:2GB日志服务数据被投递至非阿里云产品,产生外网读取流量1.6元。常见问题1. 如何将网站日志存储更长时间?在DDoS的日志分析与报表的控制台,选择高级管理,在跳转的连接中,选择专属的DDoS的日志库,选择修改,在弹出框中修改存储周期。2. 如何查看当前日志量并预估费用?可以在阿里云的中查看每天定时刷新的费用计量数据。也可以在DDoS的日志分析与报表的控制台中,选择日志分析,在查询框中,输入如下SQL: __topic__: ddos_access_log
| select count(1) as PV并用时间选择器选择整点时间 & 昨天,就可以得到过去一天的日志条数,再结合当前日志库配置的的存储周期,预估费用状况:示例7:假设每天1亿条日志,存储时间为7天。总日志量约为 160 GB/天(假设每条日志 1600 Bytes),传输为26.7 GB/天(按照压缩比为6算)在免费额度内,额外流量导入费用为:索引 0.35 元/GB x (160 GB - 100GB免费额度) = 21 元/天。存储时间改为7天,那么7天后,额外收费的最大存储量为:192 GB(160 GB 索引 + 32 GB原始压缩)* 4天(7天 - 3天免费) = 768 GB,那么每天的额外存储费用为:0.0115 元/GB × 768 = 8.832 元。那么每天的费用约为:29.832 元3. 如何在大量日志量产生时获得报警?如果希望在日志量过大,且可能超过特定数据量(例如免费额度的100GB/天)的情况下获得通知,可以进行如下操作。在DDoS的日志分析与报表的控制台中,选择日志分析,在查询框中,输入如下SQL: __topic__: ddos_access_log
| select count(1) as PV并点击另存为快速查询,保存并给与一个名字,例如ddos-metering-pv,点击确定。然后点击另存为告警,并按照如下配置一个每5分钟跑检查一次过去1小时的日志量是否超过了560万条。注意:这里假设每天100GB免费导入量的情况下,推算每小时平均导入量为:100GB / 1600 字节/条 / 24小时 ~= 280 万条。这里在560万条(2倍每小时日志量)的情况下报警,可以根据实际情况和需要做适当调节。
没有更多推荐了,
