Anti-DDoS：設定DDoS基礎防護和原生防護攻擊事件警示

警示方式說明

配置訊息中心警示（DDoS基礎防護、DDoS原生防護）

訊息中心是阿里雲帳號提供的訊息通知服務，支援配置與阿里雲服務相關的各類訊息通知。

1. 登入訊息中心控制台。

2. 在基本接收管理版面設定郵箱通知。

   1. 在左側導覽列單擊訊息接收管理 > 基本接收管理。

   2. 在基本接收管理頁面，選中產品訊息下的Apsara Stack Security安全語音總機，並根據需要選擇郵箱。

   3. 在頁面下方單擊添加訊息接收人，然後在修改訊息接收人對話方塊，添加訊息接收人，並單擊儲存。

配置CloudMonitor警示（DDoS原生防護）

CloudMonitor （CloudMonitor）是一項針對阿里雲資源和互連網應用進行監控的服務。CloudMonitor支援監控DDoS原生防護執行個體上的黑洞事件和清洗事件，事件發生時，阿里雲將向警示通知連絡人群組中設定的連絡人發送警示通知。

1. 登入CloudMonitor控制台。

2. 建立警示連絡人。如果已有連絡人，請跳過此步驟。

   1. 在左側導覽列，選擇警示服務 > 警示連絡人。

   2. 在警示連絡人頁簽單擊建立連絡人，然後在設定警示連絡人面板，填寫連絡人資訊並完成滑塊驗證後，單擊確認。

3. 建立警示連絡人群組。如果已有連絡人群組，請跳過此步驟。

   說明

   警示通知的接收對象必須是連絡人群組，您可以在連絡人群組中添加一個或多個連絡人。

   1. 在左側導覽列，選擇警示服務 > 警示連絡人。

   2. 在警示聯絡組頁簽單擊建立連絡人群組，然後在建立聯絡組面板，填寫相關資訊並選擇連絡人後，單擊確認。

4. 在左側導覽列，選擇事件中心 > 系統事件，單擊另存新檔警示。

5. 在建立/修改事件警示面板，完成警示配置，並單擊確定。

   類型	配置項	說明
   基本資料	警示規則名稱	自訂警示規則名稱。
   事件警示規則	產品類型	選擇DDoS原生防護。
   	事件類型	要通知的事件類型，可選項：DDoS攻擊。
   	事件等級	選擇要通知的事件等級。所有DDoS警示時間均為嚴重等級，該參數僅支援選擇嚴重。
   	事件名稱	選擇要通知的事件。可選項：黑洞、清洗。
   	關鍵詞過濾	在關鍵詞文字框輸入警示規則過濾的關鍵詞，然後在條件下拉框選擇過濾方式。取值： 滿足包含上面任何一個關鍵詞：當您的警示規則中包含任何一個關鍵詞時，不發送警示通知。 滿足不包含上面任何一個關鍵詞：當您的警示規則中不包含任何一個關鍵詞時，不發送警示通知。
   	SQL Filter	SQL過濾語句。
   	資源範圍	事件警示規則作用的資源範圍。選擇全部資源。 全部資源：任何資源發生相關事件，都會按照配置發送通知。 應用分組：只有指定應用分組內的資源發生相關事件，才會發送通知。
   警示方式	連絡人群組	選擇發送警示的連絡人群組。
   	警示通知	事件警示的層級和通知方式。取值： Critical（郵件+WebHook） Warning（郵件+WebHook） Info（郵件+WebHook）
   	Message Service隊列、Function Compute、URL回調和Log Service	無需設定。
   	通道沉默周期	警示發生後未恢複正常，間隔多久重複發送一次警示通知。

日誌分析服務警示（DDoS原生防護）

您為DDoS原生防護開啟防護日誌後，即可使DDoS原生防護採集防護對象的業務流量及防護日誌，供您進行查詢與分析。您可以在查詢與分析日誌的基礎上，通過條件組合等方式對需要關注的業務指標自訂警示規則，使DDoS原生防護在業務指標異常時，及時向您發送警示。

1. 登入流量安全產品控制台。

2. 在左側導覽列，選擇網絡安全 > DDoS原生防護 > 防護日誌。

3. 在頂部功能表列左上方處，選擇執行個體所在資源群組和地區。

   • 原生防護1.0（訂用帳戶）執行個體：請選擇執行個體所在地區。

   • 原生防護2.0（訂用帳戶）執行個體、原生防護2.0（後付費）執行個體：請選擇全球。

4. 按照頁面提示開通SLSLog Service並完成RAM授權。如果您之前已完成開通和授權操作，請跳過本步驟。

5. 為執行個體開啟防護日誌功能。如果您之前已開啟，請跳過本步驟。

   1. 在防護日誌頁面，選擇目標執行個體，單擊立即升級。

   2. 在變更配置版面設定防護日誌為開啟，仔細閱讀並勾選服務合約。

   3. 單擊立即購買後，單擊訂購為執行個體開啟防護日誌功能。

6. 為執行個體建立日誌警示監控。

   1. 在防護日誌頁面，選擇目標執行個體，單擊頁面右上方表徵圖。

   2. 單擊新版警示，並在警示監控規則頁簽完成配置項設定。

      配置項	說明
      規則名稱	自訂警示監控規則名稱。
      檢查頻率	根據您配置的頻率對查詢和分析結果進行檢查。 每小時：每小時檢查一次查詢和分析結果。 每天：在每天的某個固定時間點檢查一次查詢和分析結果。 每周：在周幾的某個固定時間點檢查一次查詢和分析結果。 固定間隔：按照固定間隔檢查查詢和分析結果。 Cron：通過Cron運算式指定時間間隔，按照該指定的時間間隔檢查查詢和分析結果。Cron運算式的最小精度為分鐘，24小時制，例如0 0/1 * * *表示從00:00開始，每隔1小時檢查一次。
      查詢統計	單擊輸入框，在查詢統計對話方塊中，設定查詢和分析語句。 關聯報表：選擇DDoS原生防護事件報表或DDoS原生清洗分析報表。 進階配置：無需修改，預設選擇日誌庫。
      分組評估	Log Service支援對查詢和分析結果進行分組。更多資訊，請參見分組評估。 不分組：在每個檢查周期內，滿足觸發條件時，只產生一條警示。 標籤自訂：Log Service根據您配置的欄位對查詢和分析結果進行分組。分組後，每個組單獨評估觸發條件。在每個檢查周期內，查詢和分析結果滿足觸發條件時，各個分組各自產生一條警示。
      觸發條件	警示的觸發條件及嚴重度。 觸發條件： 有資料：當查詢和分析結果中存在資料時，觸發警示。 有特定條資料：當查詢和分析結果中存在N條資料時，觸發警示。 有資料匹配：當查詢和分析結果中存在資料滿足警示運算式時，觸發警示。 有特定條資料匹配：當查詢和分析結果中存在N條資料滿足警示運算式時，觸發警示。 嚴重度：您可以將某一規則產生的警示設定為同一嚴重度，也可以將同一規則滿足不同條件時，單擊添加設定為不同的嚴重度。
      添加標籤	Log Service允許您給產生的警示添加標識性屬性，索引值對格式。主要用於警示降噪控制和警示通知控制，即您在建立警示策略或行動策略時，可添加關於標籤的判斷條件。更多資訊，請參見標籤和標註。
      添加標註	Log Service允許您給產生的警示添加非標識性屬性，索引值對格式。主要用於警示降噪控制和警示通知控制，即您在建立警示策略或行動策略時，可添加關於標註的判斷條件。更多資訊，請參見標籤和標註。 您還可以開啟自動添加標註開關，系統自動在警示中添加__count__等資訊。更多資訊，請參見自動標註。
      恢複通知	開啟恢複通知開關後，警示恢複時，觸發一條恢複警示。其嚴重度與觸發的警示保持一致。
      進階配置	連續觸發閾值：當累計的觸發次數達到該值時，產生一條警示。不滿足觸發條件時不計入統計。 無資料警示：開關開啟後，如果查詢和分析的結果（有多個時，進行集合操作後的結果）為無資料的次數超過連續觸發閾值，則產生一條警示。更多資訊，請參見無資料警示。
      警示策略	警示策略用於合并、靜默和抑制已產生的警示。 選擇極簡模式和普通模式時，您無需配置警示策略。Log Service預設使用SLS內建動態警示策略（sls.builtin.dynamic）進行警示管理。 選擇進階模式時，您可以選擇內建的或自訂的警示策略進行警示管理。如何建立警示策略，請參見建立警示策略。
      行動組	將警示集合按配置，通過各個渠道在發送時間符合時，以內容範本發送給接收人。 當警示策略選擇極簡模式時，您需要配置 僅當警示策略選擇極簡模式時需要配置該參數。 您也可以開啟開啟智能合并開關，用於將重複、冗餘、相關聯的警示合并為一組，每個分組中的警示在一段時間內只會通知一次，達到警示降噪的效果。更多資訊，請參見警示智能分組合并。
      行動策略	行動策略用於控制警示通知渠道和頻率等。 當警示策略選擇為普通模式或進階模式時，您可以選擇內建的或自訂的行動策略進行警示通知。如何建立行動策略，請參見建立行動策略。 其中，警示策略選擇為進階模式時，還可以開啟或關閉自訂行動策略。更多資訊，請參見動態行動策略機制。
      重複等待	在重複等待時間內，重複的警示只觸發一次行動策略，即只發送一次警示通知。