Simple Log Serviceを使用して、Web Application Firewall (WAF) の保護されたオブジェクトのカスタムモニタリングチャートとアラートを構成できます。 これにより、サービスの全体的なトラフィックとセキュリティステータスを取得できます。 このトピックでは、Simple Log Serviceを使用してWAFのモニタリングとアラートを設定する方法について説明します。
前提条件
Webサービスは、アクセス管理 ページでWAFに追加されます。 詳細については、「Webサイト設定の概要」をご参照ください。
Simple Log Service for WAF機能が有効になっています。 詳細については、「Simple Log Service For WAF機能の有効化または無効化」をご参照ください。
WAFインスタンスの機能を有効にすると、Simple Log Service (SLS) はWAFインスタンスのプロジェクトとLogstoreを自動的に作成し、Logstoreに指定した保護対象オブジェクトのログを収集します。 Simple Log ServiceコンソールでWAFのモニタリングとアラートを設定できます。
手順
WAFコンソールで、保護されたオブジェクトに対してWAFのSimple Log Service機能を有効にします。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
SLS ページの上部で、ログを表示する保護されたオブジェクトを選択し、ステータスをオンにして機能を有効にします。
ステータスをオンにすると、保護されたオブジェクトに対して数分以内に機能が有効になります。
Simple Log Serviceコンソールで、アラートを設定します。
ログ分析ダッシュボードを作成します。
Simple Log Serviceコンソールにログインします。
[プロジェクト] セクションで、管理するプロジェクトを見つけ、プロジェクトの名前をクリックします。
SQL文を入力し、[検索と分析] をクリックします。 詳細については、「ステップ4」をご参照ください。
説明ログのクエリと分析に使用されるSQLステートメントの詳細については、「クエリステートメント」をご参照ください。
[グラフ] タブで、[新しいダッシュボードに追加] をクリックします。
[新しいダッシュボードに追加] ダイアログボックスで、パラメーターを設定し、[OK] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
API 操作
[ダッシュボードの作成]をクリックします。
レイアウトモード
ダッシュボードのレイアウトモードを選択します。
ダッシュボード名
ダッシュボードの名前を入力します。
ダッシュボードを作成すると、ダッシュボードにリダイレクトされます。 デフォルトでは、ダッシュボードには、手順iiiでSQLステートメントを実行したときに生成されるグラフが含まれます。 グラフを変更したり、ダッシュボードに追加のグラフを追加したりできます。
チャートを設定します。
Simple Log Serviceコンソールの左側のナビゲーションウィンドウで、
> [ダッシュボード] を選択し、作成したダッシュボードをクリックします。 ダッシュボードページの右上隅にある [編集] をクリックします。
編集モードで、ダッシュボード上の既存のグラフを変更または削除します。 既存のグラフをコピーしてグラフを作成することもできます。
説明グラフをコピーして別のグラフを作成できます。 次に、新しいチャートを変更できます。 ダッシュボードに複数のグラフを追加できます。 これにより、サービスのデータを表示し、ビジネス要件に基づいてアラートを設定できます。
チャートをコピーして別のチャートを作成する
コピーするグラフを見つけて、グラフの右上隅にある
アイコンの上にポインターを移動し、[コピー] をクリックします。 グラフをコピーすると、元のグラフの横に同じグラフが表示されます。
グラフをダッシュボード上の目的の位置にドラッグします。
既存のグラフの変更
変更するグラフを見つけて、グラフの右上隅にある
アイコンの上にポインターを移動し、[編集] をクリックします。 [グラフの編集] ページで、グラフ名、SQL文、相対クエリ時間範囲、グラフタイプなどのグラフ設定を変更します。 [OK] をクリックします。
既存のチャートを削除する
削除するグラフを見つけ、グラフの右上隅にある
アイコンの上にポインターを移動して、[削除] をクリックします。
アラートを設定します。
ダッシュボードページの右上隅で、 を選択します。
[アラートモニタリングルール] パネルでパラメーターを設定し、[OK] をクリックします。
次の表に、パラメーターとパラメーター値の例を示します。
パラメーター
説明
例
ルール名
アラートルールの名前です。
ウェブサイトLogs_Alert Rule
[チェック頻度]
クエリおよび分析結果がチェックされる頻度。 有効な値:
固定間隔: クエリと分析の結果は特定の間隔でチェックされます。
Cron: cron式で指定された間隔で、クエリと分析の結果がチェックされます。
cron式は、分単位の正確な間隔を指定できます。 cron式は24時間時計に基づいています。 たとえば、0 0/1 * * * は、00:00から1時間間隔でクエリと分析の結果を確認することを示します。
固定間隔、15分
クエリ統計
[作成] をクリックします。 [クエリ統計] ダイアログボックスで、クエリステートメントに関する情報を設定します。 クエリと分析の制限の詳細については、「クエリと分析」をご参照ください。
関連レポート: このタブでは、データを監視するダッシュボードを選択できます。
詳細設定: このタブでは、[タイプ] ドロップダウンリストからLogstore、Metricstore、またはリソースデータを選択して、監視するデータのタイプを指定できます。
Logstore: ログは保存されます。 クエリと分析の設定の詳細については、「ログのクエリと分析」をご参照ください。
Metricstore: メトリックが格納されます。 クエリと分析の設定の詳細については、「メトリックデータのクエリと分析」をご参照ください。
リソースデータ: アラートルールに関連付ける外部データを指定できます。 詳細については、「リソースデータの作成」をご参照ください。
複数のクエリステートメントを指定する場合は、Set Operationsパラメーターを設定して、ステートメントのクエリ結果と分析結果を関連付けることができます。 詳細については、「クエリ文の指定」をご参照ください。
0: リクエスト成功率チャートを選択します。
SLB操作ログダッシュボード。
1: response_timeトレンドチャートを選択します。
SLB操作ログダッシュボード。
Set OperationsパラメーターをCROSS JOINに設定します。
グループ評価
Simple Log Serviceは、クエリと分析結果をグループ化できます。 有効な値:
カスタムラベル: Simple Log Serviceは、設定したフィールドに基づいてクエリと分析の結果をグループ化します。 Simple Log Serviceがクエリ結果と分析結果をグループ化した後、Simple Log Serviceは、各グループのクエリ結果と分析結果がトリガー条件を満たしているかどうかを確認します。 各グループのクエリ結果と分析結果が各チェック期間でトリガー条件を満たすと、グループごとにアラートがトリガーされます。
複数のフィールドを設定できます。
グループ化なし: トリガー条件が満たされると、各チェック期間に1つのアラートのみがトリガーされます。
グループ化なし
トリガー条件
アラートのトリガー条件と重大度。
トリガー条件
Data is returned: クエリおよび分析結果でデータが返されると、アラートがトリガーされます。
クエリ結果に含まれる: クエリ結果と分析結果にN個のデータエントリが含まれている場合、アラートがトリガーされます。
data matches the expression: クエリ結果と分析結果に特定の式と一致するデータが含まれている場合、アラートがトリガーされます。
クエリ結果が含まれ、一致する: クエリ結果と分析結果に特定の式と一致するN個のデータエントリが含まれている場合、アラートがトリガーされます。
重大度
このパラメーターは、アラートのノイズ除去およびアラート通知の管理に使用されます。 アラートポリシーまたはアクションポリシーを作成するときに、重大度ベースの条件を追加できます。 詳細については、「アラートの重大度レベルの指定」をご参照ください。
トリガー条件を指定する場合は、条件の重大度を指定できます。 この場合、アラートルールに基づいてトリガーされるすべてのアラートの重大度は同じです。
複数のトリガー条件を指定する場合は、各条件の重大度を指定できます。 [作成] をクリックして、追加のトリガー条件を指定できます。
アラートルールの条件式の構文の詳細については、「アラートルールのトリガー条件の構文」をご参照ください。
データが式に一致
$0.success_ratio <90 &&$ 1。平均応答時間 \(s\) >60
重大度: 中
説明フィールドに括弧 () が含まれている場合、バックスラッシュ (\) を使用して括弧 () をエスケープする必要があります。
[注釈の追加]
Simple Log Serviceを使用すると、注釈を非識別属性としてアラートに追加できます。 注釈はキーと値のペア形式です。 このパラメーターは、アラートのノイズ除去およびアラート通知の管理に使用されます。 アラートポリシーまたはアクションポリシーを作成するときに、注釈ベースの条件を追加できます。 詳細については、「ラベルと注釈の追加」をご参照ください。
[注釈の自動追加] をオンにすると、__count__ などのフィールドが自動的にアラートに追加されます。 詳細については、「自動注釈」をご参照ください。
タイトル: Webサイトのリクエスト成功率と平均応答時間の監視
説明: リクエスト成功率: ${success_ratio}, 平均応答時間: ${平均応答時間 (s)}
自動注釈の追加: オン
連続トリガーのしきい値
アラートがトリガーされるしきい値。 指定されたトリガー条件が満たされた連続回数がこのパラメーターの値に達すると、アラートがトリガーされます。 指定されたトリガー条件が満たされない回数はカウントされません。
1
目的地
アラートの送信先。 [簡易ログサービス通知] を選択します。
シンプルなLog Service通知
アラートポリシー
アラートポリシーは、アラートのマージ、サイレンス、および禁止に使用されます。
アラートポリシーパラメーターを [シンプルモード] または [標準モード] に設定した場合、アラートポリシーを設定する必要はありません。 デフォルトでは、Simple Log Serviceは組み込みのアラートポリシーsls.builtin.dynamicを使用してアラートを管理します。
アラートポリシーパラメーターを [詳細モード] に設定した場合、組み込みまたはカスタムのアラートポリシーを選択してアラートを管理できます。 アラートポリシーの作成方法の詳細については、「アラートポリシーの作成」をご参照ください。
簡易モード
アクションポリシー
アクションポリシーは、アラート通知方法とアラート通知の送信頻度を管理するために使用されます。
[アラートポリシー] パラメーターを [シンプルモード] に設定した場合、このパラメーターのアクショングループのみを設定する必要があります。
アクショングループを設定すると、Simple Log Serviceは自動的に
Rule name-action policyという名前のアクションポリシーを作成します。 アラート通知は、アラートルールに基づいてトリガーされるすべてのアラートのアクションポリシーに基づいて送信されます。 詳細については、「通知方法」をご参照ください。重要アクションポリシーは、[アクションポリシー] タブで変更できます。 詳細については、「アクションポリシーの作成」をご参照ください。 アクションポリシーの変更時に条件を追加すると、[アラートポリシー] パラメーターの値が自動的に [標準モード] に変更されます。
[アラートポリシー] パラメーターを [標準モード] または [詳細モード] に設定した場合、組み込みまたはカスタムアクションポリシーを選択してアラート通知を送信できます。 アクションポリシーの作成方法の詳細については、「アクションポリシーの作成」をご参照ください。
[アラートポリシー] パラメーターを [詳細モード] に設定した場合、[カスタムアクションポリシー] をオンまたはオフにできます。 詳細については、「動的アクションポリシーメカニズム」をご参照ください。
通知方法: SMSメッセージ
受信者: LogServiceOperations
アラートテンプレート: SLS builtinコンテンツテンプレート
Period: いつでも
繰り返し間隔
指定された期間に重複アラートがトリガーされた場合、選択したアクションポリシーは1回だけ実行され、アラート通知は1つだけ送信されます。
5 分
左側のナビゲーションウィンドウで、
アイコンをクリックして、作成したアラートルールを表示し、アラート通知の受信者とアラートポリシーを設定します。 詳細については、「1」をご参照ください。 通知受信者を設定し、アラートポリシーを作成します。 アラートルールを作成した後、Simple Log Serviceはアラートルールに基づいてクエリと分析結果を監視します。 クエリおよび分析の結果が指定されたトリガー条件を満たしている場合、アラートがトリガーされます。 [アラートルールセンター] タブでアラートレコードを表示できます。 詳細については、「アラートレコードの表示」をご参照ください。
関連ドキュメント
WAFのログのクエリおよび分析結果に基づくグラフおよびサンプルのアラート設定の詳細については、「WAFログに基づくアラート設定の例」をご参照ください。 例には、4xxステータスコードの異常な割合 (カウントから除外されたブロックされたリクエスト) 、5xxステータスコードの異常な割合、1秒あたりの異常なクエリ (QPS) 、および過去5分間に保護ルールエンジンによってブロックされたリクエストのアラートルールが含まれます。