CELR中文网
如何在云监控服务配置WAF监控与告警 |
|
发布日期:2025-01-03 18:20 点击次数:98 |
您可以在阿里云云监控服务中配置Web应用防火墙(Web Application Firewall,简称WAF)的攻击事件和业务指标的报警通知规则,监控接入WAF的网站。本文介绍如何在云监控服务配置WAF监控与告警。信息验证无误后,单击确认。创建报警联系组。在报警联系组页签,单击新建联系组。在新建联系组面板,填写报警联系组的组名,并选择报警联系人后,单击确认。批量添加报警联系人到报警联系组。在报警联系人页签,单击目标报警联系人前面的复选,单击添加到报警联系组。在确认信息对话框,单击目标报警联系组,单击确定。设置WAF攻击事件的监控与告警登录云监控控制台。在左侧导航栏,选择事件中心 > 系统事件。在事件监控页签,单击右侧的旧版事件报警规则,然后单击创建报警规则。在创建/修改事件报警面板,完成如下配置后,单击确定。关键词过滤报警规则过滤的关键词。取值:满足包含上面任何一个关键词:当您的报警规则中包含任何一个关键词时,不发送报警通知。满足不包含上面任何一个关键词:当您的报警规则中不包含任何一个关键词时,不发送报警通知。SQL FilterSQL过滤语句。资源范围事件报警的生效范围,取值:全部资源、应用分组联系人组选择发送报警的联系人组。具体操作,请参见创建报警联系人和报警联系人组。通知方式事件报警的级别和通知方式。取值:Critical(电话+短信+邮件+WebHook)Warning(短信+邮件+WebHook)Info(邮件+WebHook)消息服务队列事件报警投递到消息服务的指定队列。函数计算事件报警投递到函数计算的指定函数。URL回调公网可访问的URL,用于接收云监控通过POST请求推送的报警信息。目前仅支持HTTP协议。关于如何设置报警回调,请参见使用系统事件报警回调(旧版)。日志服务事件报警投递到日志服务的指定日志库。通道沉默周期报警发生后未恢复正常,间隔多久重复发送一次报警通知。取值:5分钟、15分钟、30分钟、60分钟、3小时、6小时、12小时和24小时。设置WAF业务指标的监控与告警登录云监控控制台。在左侧导航栏,选择报警服务 > 报警规则。在报警规则列表页面,单击创建报警规则。在创建报警规则面板,完成如下配置后,单击确定。通道沉默周期报警发生后未恢复正常,间隔多久重复发送一次报警通知。取值:5分钟、15分钟、30分钟、60分钟、3小时、6小时、12小时和24小时。某监控指标达到报警阈值时发送报警,如果监控指标在通道沉默周期内持续超过报警阈值,在通道沉默周期内不会重复发送报警通知;如果监控指标在通道沉默周期后仍未恢复正常,则云监控再次发送报警通知。生效时间报警规则的生效时间,报警规则只在生效时间内才会检查监控数据是否需要报警。报警联系人组选择发送报警的联系人组。具体操作,请参见创建报警联系人和报警联系人组。报警回调公网可访问的URL,用于接收云监控通过POST请求推送的报警信息。目前仅支持HTTP协议。关于如何设置报警回调,请参见使用阈值报警回调。弹性伸缩如果您打开弹性伸缩开关,当报警发生时,会触发相应的伸缩规则。您需要设置弹性伸缩的地域、弹性伸缩组和弹性伸缩规则。关于如何创建弹性伸缩组,请参见配置伸缩组。关于如何创建弹性伸缩规则,请参见配置伸缩规则。日志服务如果您打开日志服务开关,当报警发生时,会将报警信息写入日志服务的日志库。您需要设置日志服务的地域、ProjectName和Logstore。关于如何创建Project和Logstore,请参见快速入门。消息服务MNS-Topic如果您打开消息服务MNS-Topic开关,当报警发生时,会将报警信息写入消息服务的主题。您需要设置消息服务的地域和主题。关于如何创建主题,请参见创建主题。无数据处理方法无监控数据时报警的处理方式。取值:不做任何处理(默认值)发送无数据报警视为恢复标签报警规则的标签。包括标签名称和标签值。高级自定义监控您可以使用日志服务配置自定义业务指标监控和报警。详细介绍,请参见使用日志服务设置监控与告警。支持监控的攻击事件云监控支持对接入WAF防护的网站域名上发生的Web攻击、CC攻击、扫描攻击、访问控制事件等进行监控和报警。您可以根据事件的严重等级,设置以短信、邮件、钉钉等方式接收通知或设置报警回调。具体操作,请参见设置WAF攻击事件的监控与告警。事件类型事件名称事件含义事件状态事件等级Attackwaf_event_aclattack访问控制事件aclCriticalExceedwaf_event_bandwidth_exceed带宽超限overrunCriticalAttackwaf_event_ccattackCC攻击事件ccCriticalExceedwaf_event_qps_exceedQPS超限overrunCriticalAttackwaf_event_webattackWeb攻击事件webCriticalAttackwaf_event_webscan防扫描事件webscanCritical支持监控的业务指标云监控支持对接入WAF防护的网站域名的系统请求数据指标设置异常监控和告警。支持自定义指标异常的判断方法,并设置通过短信、邮件、钉钉等接收通知或设置报警回调。关于如何配置WAF业务指标监控和报警,请参见设置WAF业务指标的监控与告警。 监控项维度指标含义备注4XX占比域名每分钟4XX状态码的占比(不包含405)。报警信息以小数形式呈现5XX占比域名每分钟5XX状态码的占比。报警信息以小数形式呈现访问控制拦截量(5m)域名近5分钟内精准访问控制拦截量,单位:个。无访问控制拦截占比(5m)域名近5分钟内精准访问控制拦截占总请求量的占比。报警信息以小数形式呈现CC防护拦截量(5m)域名近5分钟内CC安全防护拦截量,单位:个。无CC防护拦截占比(5m)域名近5分钟内CC安全防护拦截占总请求量的占比。报警信息以小数形式呈现Web攻击拦截量(5m)域名近5分钟内Web应用攻击防护拦截量,单位:个。无Web攻击拦截占比(5m)域名近5分钟内Web应用攻击防护拦截占总请求量的占比。报警信息以小数形式呈现QPS域名QPS,单位:个/秒。无QPS环比增长率域名每分钟QPS的环比增长率。报警信息以百分比形式呈现QPS环比下降率域名每分钟QPS的环比下降率。报警信息以百分比形式呈现
|
|
|
|
