分析与日志

日志服务
- 概述
- 实时日志
  - 实时日志概述
  - 推送至腾讯云 CLS
  - 推送至 AWS S3 兼容对象存储
  - 推送至 HTTP 服务器
- 离线日志
- 相关参考
  - 字段说明
    - 七层访问日志
    - 四层代理日志
    - 边缘函数运行日志
  - 推送实时日志筛选条件
  - 自定义推送日志字段
  - 自定义日志输出格式
数据分析
- 概述
- 分析
- Web安全分析
- 流量分析
- 缓存分析
- 安全分析
  - 站点安全概览
  - Web 安全分析
- 四层代理
- DNS 解析
- 相关参考
  - 抽样统计
  - 如何使用筛选条件
  - 如何修改查询时间范围
  - 如何导出统计数据与报告
告警服务
- 自定义统计指标

如何使用筛选条件

EdgeOne 数据分析支持的筛选条件分为两种类型：
1. 时间筛选条件（必选）：查看所选的时间范围内的数据，详情请参见 如何修改查询时间范围。
2. 其他筛选条件：根据每个页面支持的筛选项，自定义筛选需要的数据。下文针对这部分详细说明。
支持筛选项
指标分析
筛选项名称
API 参数名称
描述说明
示例值/枚举值
可用于指标列表
​​站点​​
ZoneId
EdgeOne 站点。
zone-3eoo0chifzcs
所有指标
​​内容标识符​​
ZoneId
﻿内容标识符。功能在内测中，如需使用请 联系我们。
eocontent-3edho0x9tmea
L7 访问流量、L7 访问带宽、L7 访问请求数
​​Host​​
domain
客户端请求的 Host。若按泛域名接入 EdgeOne，则数据中记录为泛域名，而不是具体域名。
www.example.com或*.example.com
﻿域名业务相关指标、边缘函数相关指标﻿
​​国家/地区​​
country
客户端请求来源的国家或地区。国家/地区遵循 ISO 3166-1 alpha-2 规范。
CN
L7 访问流量、L7 访问带宽、L7 访问请求数、L7 访问响应耗时
​​状态码​​
statusCode
EdgeOne 响应客户端的状态码。最多可查询近 30 天的数据。
1XX：1xx类型的状态码；
2XX：2xx类型的状态码；
3XX：3xx类型的状态码；
4XX：4xx类型的状态码；
5XX：5xx类型的状态码；
在 [0,600) 范围内的整数。
L7 访问流量、L7 访问带宽、L7 访问请求数
​​HTTP 协议
protocol
客户端请求使用的 HTTP 版本。
HTTP/1.0
HTTP/1.1
HTTP/2.0
HTTP/3：HTTP/3.0(QUIC协议)
WebSocket：WebSocket Over HTTP/1.1
L7 访问流量、L7 访问带宽、L7 访问请求数
​​运营商​​
isp
客户端请求来源的运营商，仅支持中国大陆可用区站点数据。最多可查询近 30 天的数据。
2：中国电信；
26：中国联通；
1046：中国移动；
3947：中国铁通；
38：教育网；
43：长城宽带；
0：其他运营商。
L7 访问流量、L7 访问带宽、L7 访问请求数、L7 访问响应耗时
​​省份​​
province
客户端请求来源的省份，仅支持中国大陆可用区站点数据。最多可查询近 30 天的数据。
省份代码参考境内省份映射表，示例值：22。
L7 访问流量、L7 访问带宽、L7 访问请求数、L7 访问响应耗时
​​TLS 版本​​
tlsVersion
客户端请求使用的 TLS 协议版本。最多可查询近 30 天的数据。
TLS1.0
TLS1.1
TLS1.2
TLS1.3
L7 访问流量、L7 访问带宽、L7 访问请求数
​​URL Path​​
url
客户端请求的 URL 路径（path），不包含查询参数。最多可查询近 30 天的数据。
/content 或 /content/test.jpg
L7 访问流量、L7 访问带宽、L7 访问请求数
​​Referer​​
referer
客户端请求的 Referer 头部值。不包含查询参数。最多可查询近 30 天的数据。
http://www.example.com/
L7 访问流量、L7 访问带宽、L7 访问请求数
​​资源类型​​
resourceType
客户端请求的资源类型，即请求的文件后缀。最多可查询近 30 天的数据。
 .txt或.jpg
L7 访问流量、L7 访问带宽、L7 访问请求数
​​设备类型​​
deviceType
客户端请求的设备类型，从User-Agent中提取分类而来。最多可查询近 30 天的数据。
TV：电视
Tablet：平板电脑
Mobile：手机
Desktop：电脑
Other：其他
L7 访问流量、L7 访问带宽、L7 访问请求数
​​浏览器类型​​
browserType
客户端请求使用的浏览器类型，从User-Agent中提取分类而来。最多可查询近 30 天的数据。
Firefox：Firefox浏览器；
Chrome：Chrome浏览器；
Safari：Safari浏览器；
Other：其他浏览器类型；
Bot：搜索引擎爬虫；
MicrosoftEdge：MicrosoftEdge浏览器；
IE：IE浏览器；
Opera：Opera浏览器；
QQBrowser：QQ浏览器；
LBBrowser：LB浏览器；
MaxthonBrowser：Maxthon浏览器；
SouGouBrowser：搜狗浏览器；
BIDUBrowser：百度浏览器；
TaoBrowser：淘浏览器；
UBrowser：UC浏览器。
L7 访问流量、L7 访问带宽、L7 访问请求数
​​客户端操作系统​​
operatingSystemType
客户端请求使用的操作系统类型，从User-Agent中提取分类而来。最多可查询近 30 天的数据。
Linux：Linux操作系统；
MacOS：MacOs操作系统；
Android：Android操作系统；
IOS：IOS操作系统；
Windows：Windows操作系统；
NetBSD：NetBSD；
ChromiumOS：ChromiumOS；
Bot：搜索引擎爬虫；
Other：其他类型的操作系统；
L7 访问流量、L7 访问带宽、L7 访问请求数
​​IP 版本​​
ipVersion
客户端请求使用的 IP 地址版本。最多可查询近 30 天的数据。
4：IPv4；
6：IPv6。
L7 访问流量、L7 访问带宽、L7 访问请求数、L7 访问响应耗时
​​HTTP/HTTPS​​
socket
客户端请求使用的 HTTP 协议类型。
HTTP
HTTPS
L7 访问流量、L7 访问带宽、L7 访问请求数、L7 访问响应耗时
​​缓存状态​​
cacheType
客户端请求的缓存状态。
hit：请求命中 EdgeOne 节点缓存，资源由节点缓存提供。资源部分命中缓存也会记录为 hit。
miss：请求未命中 EdgeOne 节点缓存，资源由源站提供。
dynamic：请求的资源无法缓存/未配置被节点缓存，资源由源站提供。
other：无法被识别的缓存状态。边缘函数响应的请求会记录为 other。
L7 访问流量、L7 访问带宽、L7 访问请求数
是否经过 Web 防护模块缓释
mitigatedByWebSecurity
标识请求是否被 EdgeOne Web 防护模块缓释处置。拦截或挑战动作视为已缓释。
yes：被 EdgeOne Web 防护模块拦截或挑战的请求。不包括未命中安全规则的请求和最终处置结果为观察、放行的请求。
no：经过防护后，由 EdgeOne 或源站响应的请求。
L7 访问流量、L7 访问带宽、L7 访问请求数
​​客户端 IP​​
clientIp
客户端 IP 地址。最多可查询近 30 天的数据。运算符为等于/不等于时​​支持输入多个值。
​​1.1.1.1
L7 访问流量、L7 访问带宽、L7 访问请求数、L7 防护命中次数
​​User-Agent​​
userAgent
客户端请求的User-Agent头部值。最多可查询近 30 天的数据。
Mozilla/5.0 (Windows; U; Windows NT 5.2; sk; rv:1.8.1.15) Gecko/20080623 Firefox/2.0.0.15
L7 访问流量、L7 访问带宽、L7 访问请求数
​​四层代理转发规则​​
ruleId
四层代理实例具体的转发规则。
rule-3ddvs7nn3xap
﻿TCP/UDP 应用业务相关指标﻿
​​四层代理实例​​
proxyId
四层代理实例。
sid-3ddun6tk0l9k
﻿TCP/UDP 应用业务相关指标﻿
边缘函数名称
-
EdgeOne 边缘函数实例的唯一标识。
test1-zone-3e25s02xxbxe-1257620286
﻿边缘函数相关指标﻿
边缘函数执行结果
-
边缘函数执行结果。
成功
失败
﻿边缘函数相关指标﻿
​​DNS 返回码​​
-
DNS 解析应答状态码。
NOError：无错误，成功响应。
NXDomain：不存在的记录。
NotImp：未实现，DNS 服务器不支持所请求的查询类型；已实现的请求查询类型参考 解析记录类型介绍。
Refused：拒绝，DNS 服务器由于策略拒绝执行指定的操作。
DNS 解析次数
​​DNS 记录​​
-
DNS 记录类型。
取值参考 解析记录类型介绍。
DNS 解析次数
​​DNS 地区​​
-
客户端请求来源的大洲。
亚洲
欧洲
非洲
大洋洲
美洲
DNS 解析次数
​​请求处置结果​​
-
Web 防护规则处置请求的方式。
观察
L7 防护命中次数
​​规则 ID​​
-
请求命中 Web 防护规则 ID。
2186065971
L7 防护命中次数
​​DDoS 防护实例​​
-
DDoS 防护实例。
﻿
﻿L3/4 DDoS 攻击防护相关指标﻿
​​EdgeOne Shield 空间​​
-
EdgeOne Shield 空间。
﻿
﻿EdgeOne Shield 相关指标﻿
Web 安全分析
支持的根据请求特征、规则特征以及各详细的 Web 防护规则和 Bot 管理策略特征来进行筛选，具体筛选项说明如下：
站点：EdgeOne 站点。
客户端 IP：仅查看来自指定客户端 IP 的请求数据，支持输入多个值，不同值使用回车进行分隔。
客户端 IP 地区：客户端 IP 来源于指定国家或地区。
客户端 IP（优先匹配 XFF 头部）：仅查看来自指定客户端 IP（优先匹配 XFF 头部）的请求数据，支持输入多个值，不同值使用回车进行分隔。
客户端 IP 地区（优先匹配 XFF 头部）：客户端 IP（优先匹配 XFF 头部）来源于指定国家或地区。
User-Agent：客户端请求中携带的 User-Agent 头部信息，支持输入多个值，不同值使用回车进行分隔。
请求 URL：客户端请求的 URL（不包括 Host，仅包含请求路径和查询参数），支持输入多个值，不同值使用回车进行分隔。
域名 host：客户端请求的 Host，支持输入多个值，不同值使用回车进行分隔。
来源 Referer：客户端请求携带的 Referer，支持输入多个值，不同值使用回车进行分隔。
处置结果：Web 防护模块对于请求的最终处置结果，详细说明请参考处置方式。处置结果“未知”代表没有执行任何其他已经定义的处置方式，仅用作数据统计过程中的兜底归类，日常分析中可忽略该选项。
请求路径（Path）：客户端请求的 URL Path（HTTP 请求路径，不包括 Host 和查询参数）。支持填入多个值，不同值使用回车进行分隔。
请求 JA3 指纹：根据客户端请求 TLS 握手时相关参数计算得出的 JA3 指纹。仅支持开启 Bot 管理的域名数据。
请求方式（Method）：客户端请求的 HTTP Method。
请求 ID：用于唯一标识请求，即默认拦截页面的 Request ID、自定义响应页面的{{ EO_REQ_ID }}、EdgeOne 默认响应头部中的EO-LOG-UUID、七层访问日志中的RequestID。
规则类别：仅查看命中指定类别 Web 防护规则的请求数据。
规则 ID：仅查看命中指定 Web 防护规则 ID 的请求数据。
多个筛选条件之间的关系
多个筛选条件之间的关系为“且”关系，同一个筛选条件内的多个取值之间的关系为“或”关系。
例如：同时添加筛选条件 国家/地区=新加坡;泰国和状态码=404，意味着查询满足来自新加坡或泰国客户端的访问且边缘响应状态码为 404 的数据。
支持的运算符
运算符
说明
等于
查询筛选项等于任一指定值的数据
不等于
查询筛选项不等于任一指定值的数据
包含
查询 URL、Referer、资源类型等字段包含指定字符串的数据（例如：查询URL 包含/example数据）
不包含
查询 URL、Referer、资源类型等字段不包含指定字符串的数据（例如：查询URL 不包含/example的数据）
开始于
查询 URL、Referer、资源类型等字段的前缀匹配指定字符串的数据
不开始于
查询 URL、Referer、资源类型等字段的前缀不匹配指定字符串的数据
结尾是
查询 URL、Referer、资源类型等字段的后缀匹配指定字符串的数据
结尾不是
查询 URL、Referer、资源类型等字段的后缀不匹配指定字符串的数据
﻿

支持筛选项
- 指标分析
- Web 安全分析
多个筛选条件之间的关系
支持的运算符

筛选项名称	API 参数名称	描述说明	示例值/枚举值	可用于指标列表
站点	`ZoneId`	EdgeOne 站点。	`zone-3eoo0chifzcs`	所有指标
内容标识符	`ZoneId`	内容标识符。功能在内测中，如需使用请联系我们。	`eocontent-3edho0x9tmea`	L7 访问流量、L7 访问带宽、L7 访问请求数
Host	`domain`	客户端请求的 Host。若按泛域名接入 EdgeOne，则数据中记录为泛域名，而不是具体域名。	`www.example.com`或`*.example.com`	域名业务相关指标、边缘函数相关指标
国家/地区	`country`	客户端请求来源的国家或地区。国家/地区遵循 ISO 3166-1 alpha-2 规范。	`CN`	L7 访问流量、L7 访问带宽、L7 访问请求数、L7 访问响应耗时
状态码	`statusCode`	EdgeOne 响应客户端的状态码。最多可查询近 30 天的数据。	`1XX`：1xx类型的状态码； `2XX`：2xx类型的状态码； `3XX`：3xx类型的状态码； `4XX`：4xx类型的状态码； `5XX`：5xx类型的状态码；在 [0,600) 范围内的整数。	L7 访问流量、L7 访问带宽、L7 访问请求数
HTTP 协议	`protocol`	客户端请求使用的 HTTP 版本。	`HTTP/1.0` `HTTP/1.1` `HTTP/2.0` `HTTP/3`：HTTP/3.0(QUIC协议) `WebSocket`：WebSocket Over HTTP/1.1	L7 访问流量、L7 访问带宽、L7 访问请求数
运营商	`isp`	客户端请求来源的运营商，仅支持中国大陆可用区站点数据。最多可查询近 30 天的数据。	`2`：中国电信； `26`：中国联通； `1046`：中国移动； `3947`：中国铁通； `38`：教育网； `43`：长城宽带； `0`：其他运营商。	L7 访问流量、L7 访问带宽、L7 访问请求数、L7 访问响应耗时
省份	`province`	客户端请求来源的省份，仅支持中国大陆可用区站点数据。最多可查询近 30 天的数据。	省份代码参考境内省份映射表，示例值：`22`。	L7 访问流量、L7 访问带宽、L7 访问请求数、L7 访问响应耗时
TLS 版本	`tlsVersion`	客户端请求使用的 TLS 协议版本。最多可查询近 30 天的数据。	`TLS1.0` `TLS1.1` `TLS1.2` `TLS1.3`	L7 访问流量、L7 访问带宽、L7 访问请求数
URL Path	`url`	客户端请求的 URL 路径（path），不包含查询参数。最多可查询近 30 天的数据。	`/content` 或 `/content/test.jpg`	L7 访问流量、L7 访问带宽、L7 访问请求数
Referer	`referer`	客户端请求的 Referer 头部值。不包含查询参数。最多可查询近 30 天的数据。	`http://www.example.com/`	L7 访问流量、L7 访问带宽、L7 访问请求数
资源类型	`resourceType`	客户端请求的资源类型，即请求的文件后缀。最多可查询近 30 天的数据。	`.txt`或`.jpg`	L7 访问流量、L7 访问带宽、L7 访问请求数
设备类型	`deviceType`	客户端请求的设备类型，从`User-Agent`中提取分类而来。最多可查询近 30 天的数据。	`TV`：电视 `Tablet`：平板电脑 `Mobile`：手机 `Desktop`：电脑 `Other`：其他	L7 访问流量、L7 访问带宽、L7 访问请求数
浏览器类型	`browserType`	客户端请求使用的浏览器类型，从`User-Agent`中提取分类而来。最多可查询近 30 天的数据。	`Firefox`：Firefox浏览器； `Chrome`：Chrome浏览器； `Safari`：Safari浏览器； `Other`：其他浏览器类型； `Bot`：搜索引擎爬虫； `MicrosoftEdge`：MicrosoftEdge浏览器； `IE`：IE浏览器； `Opera`：Opera浏览器； `QQBrowser`：QQ浏览器； `LBBrowser`：LB浏览器； `MaxthonBrowser`：Maxthon浏览器； `SouGouBrowser`：搜狗浏览器； `BIDUBrowser`：百度浏览器； `TaoBrowser`：淘浏览器； `UBrowser`：UC浏览器。	L7 访问流量、L7 访问带宽、L7 访问请求数
客户端操作系统	`operatingSystemType`	客户端请求使用的操作系统类型，从`User-Agent`中提取分类而来。最多可查询近 30 天的数据。	`Linux`：Linux操作系统； `MacOS`：MacOs操作系统； `Android`：Android操作系统； `IOS`：IOS操作系统； `Windows`：Windows操作系统； `NetBSD`：NetBSD； `ChromiumOS`：ChromiumOS； `Bot`：搜索引擎爬虫； `Other`：其他类型的操作系统；	L7 访问流量、L7 访问带宽、L7 访问请求数
IP 版本	`ipVersion`	客户端请求使用的 IP 地址版本。最多可查询近 30 天的数据。	`4`：IPv4； `6`：IPv6。	L7 访问流量、L7 访问带宽、L7 访问请求数、L7 访问响应耗时
HTTP/HTTPS	`socket`	客户端请求使用的 HTTP 协议类型。	`HTTP` `HTTPS`	L7 访问流量、L7 访问带宽、L7 访问请求数、L7 访问响应耗时
缓存状态	`cacheType`	客户端请求的缓存状态。	`hit`：请求命中 EdgeOne 节点缓存，资源由节点缓存提供。资源部分命中缓存也会记录为 hit。 `miss`：请求未命中 EdgeOne 节点缓存，资源由源站提供。 `dynamic`：请求的资源无法缓存/未配置被节点缓存，资源由源站提供。 `other`：无法被识别的缓存状态。边缘函数响应的请求会记录为 other。	L7 访问流量、L7 访问带宽、L7 访问请求数
是否经过 Web 防护模块缓释	`mitigatedByWebSecurity`	标识请求是否被 EdgeOne Web 防护模块缓释处置。拦截或挑战动作视为已缓释。	`yes`：被 EdgeOne Web 防护模块拦截或挑战的请求。不包括未命中安全规则的请求和最终处置结果为观察、放行的请求。 `no`：经过防护后，由 EdgeOne 或源站响应的请求。	L7 访问流量、L7 访问带宽、L7 访问请求数
客户端 IP	`clientIp`	客户端 IP 地址。最多可查询近 30 天的数据。运算符为等于/不等于时支持输入多个值。	`1.1.1.1`	L7 访问流量、L7 访问带宽、L7 访问请求数、L7 防护命中次数
User-Agent	`userAgent`	客户端请求的`User-Agent`头部值。最多可查询近 30 天的数据。	`Mozilla/5.0 (Windows; U; Windows NT 5.2; sk; rv:1.8.1.15) Gecko/20080623 Firefox/2.0.0.15`	L7 访问流量、L7 访问带宽、L7 访问请求数
四层代理转发规则	`ruleId`	四层代理实例具体的转发规则。	`rule-3ddvs7nn3xap`	TCP/UDP 应用业务相关指标
四层代理实例	`proxyId`	四层代理实例。	`sid-3ddun6tk0l9k`	TCP/UDP 应用业务相关指标
边缘函数名称	-	EdgeOne 边缘函数实例的唯一标识。	`test1-zone-3e25s02xxbxe-1257620286`	边缘函数相关指标
边缘函数执行结果	-	边缘函数执行结果。	成功失败	边缘函数相关指标
DNS 返回码	-	DNS 解析应答状态码。	`NOError`：无错误，成功响应。 `NXDomain`：不存在的记录。 `NotImp`：未实现，DNS 服务器不支持所请求的查询类型；已实现的请求查询类型参考解析记录类型介绍。 `Refused`：拒绝，DNS 服务器由于策略拒绝执行指定的操作。	DNS 解析次数
DNS 记录	-	DNS 记录类型。	取值参考解析记录类型介绍。	DNS 解析次数
DNS 地区	-	客户端请求来源的大洲。	亚洲欧洲非洲大洋洲美洲	DNS 解析次数
请求处置结果	-	Web 防护规则处置请求的方式。	观察	L7 防护命中次数
规则 ID	-	请求命中 Web 防护规则 ID。	`2186065971`	L7 防护命中次数
DDoS 防护实例	-	DDoS 防护实例。		L3/4 DDoS 攻击防护相关指标
EdgeOne Shield 空间	-	EdgeOne Shield 空间。		EdgeOne Shield 相关指标

运算符	说明
等于	查询筛选项等于任一指定值的数据
不等于	查询筛选项不等于任一指定值的数据
包含	查询 URL、Referer、资源类型等字段包含指定字符串的数据（例如：查询`URL 包含/example`数据）
不包含	查询 URL、Referer、资源类型等字段不包含指定字符串的数据（例如：查询`URL 不包含/example`的数据）
开始于	查询 URL、Referer、资源类型等字段的前缀匹配指定字符串的数据
不开始于	查询 URL、Referer、资源类型等字段的前缀不匹配指定字符串的数据
结尾是	查询 URL、Referer、资源类型等字段的后缀匹配指定字符串的数据
结尾不是	查询 URL、Referer、资源类型等字段的后缀不匹配指定字符串的数据