在 CentOS 系统中，要识别 DDoS 攻击，你需要关注 PHP 日志中的异常流量和请求模式。以下是一些建议：

定位日志文件：首先，找到你的 PHP 日志文件。通常，它们位于 /var/log/httpd/ 或 /var/log/apache2/ 目录下，文件名可能是 access_log 或 error_log。

分析日志：使用文本编辑器或命令行工具（如 grep、awk、sed 等）分析日志文件。例如，你可以使用以下命令来查找特定 IP 地址的请求：

grep '123.123.123.123' /var/log/httpd/access_log

查找异常流量：寻找短时间内大量请求来自同一 IP 地址的情况。这可能是 DDoS 攻击的迹象。你可以使用 awk 和 sort 命令来实现这一点：

awk '{print $1}' /var/log/httpd/access_log | cut -d: -f1 | sort | uniq -c | sort -nr

检查请求模式：DDoS 攻击者可能会尝试访问你的网站上的特定资源。检查日志中是否有大量请求针对同一资源，例如：

grep '/wp-admin/' /var/log/httpd/access_log

监控失败登录尝试：DDoS 攻击者可能会尝试暴力破解你的网站后台。检查日志中是否有大量失败的登录尝试：

grep 'Failed password' /var/log/httpd/access_log

使用第三方工具：有许多第三方工具可以帮助你监控和分析日志文件，例如 Fail2Ban、ModSecurity 和 Web Application Firewall (WAF)。这些工具可以自动检测和阻止恶意流量。

采取防护措施：如果你确定正在遭受 DDoS 攻击，请采取相应措施，例如限制请求速率、阻止恶意 IP 地址、启用防火墙规则等。

总之，要识别 DDoS 攻击，你需要定期检查和分析 PHP 日志文件，查找异常流量和请求模式。在发现攻击迹象时，及时采取防护措施以保护你的网站和服务器。