通過事件警示您能夠獲知業務遭受的DDoS攻擊事件,及時發現並修複問題,縮短故障處理時間,以便儘快恢複業務。本文介紹如何設定DDoS基礎防護和原生防護攻擊事件的警示通知。
警示方式說明
阿里雲DDoS原生防護提供訊息中心警示、CloudMonitor警示和日誌分析服務警示,您可以通過多個維度對比選擇合適的警示方案。
對比項 | 訊息中心警示 | CloudMonitor警示 | 日誌分析服務警示 | |
支援的產品類型 | DDoS基礎防護 | DDoS原生防護 | DDoS原生防護 | DDoS原生防護 |
使用情境 | 通用警示,僅需要知曉被攻擊。 | 通用警示,僅需要知曉被攻擊。 | 通用警示,通過簡單過濾條件,過濾需要通知的重時間點事件。 | 企業級警示,支援自訂群組合條件、警示方式、通知方式、通知內容,並基於過濾條件產生統計報表。 |
配置複雜度 | 簡易 | 簡易 | 適中 | 複雜 |
靈活性 | 低 支援在事件開始、結束時警示。 | 低 支援在事件開始、結束時警示。 | 中 支援在事件開始、結束時按過濾的重時間點事件警示。 | 高 支援在事件開始、結束時警示,按流量閾值警示,多種條件組合警示。 |
通知方式 | 郵件 | 郵件 |
|
|
可靠性與即時性 | 不完全保證可靠性與即時性,可能在系統並發請求極高時訊息限流。 說明 建議您自建流量監控體系。比如針對IP地址,進行流量監控(突增突降)或者外部探測可用性用於輔助判斷。 | 可靠性較高,警示時差一般為5分鐘以內。 | 可靠性較高,警示時差為5~10分鐘。 | 可靠性較高,警示時差為5~10分鐘。 |
配置訊息中心警示(DDoS基礎防護、DDoS原生防護)
訊息中心是阿里雲帳號提供的訊息通知服務,支援配置與阿里雲服務相關的各類訊息通知。
登入訊息中心控制台。
在基本接收管理版面設定郵箱通知。
在左側導覽列單擊 。
在基本接收管理頁面,選中產品訊息下的Apsara Stack Security安全語音總機,並根據需要選擇郵箱。
在頁面下方單擊添加訊息接收人,然後在修改訊息接收人對話方塊,添加訊息接收人,並單擊儲存。
配置CloudMonitor警示(DDoS原生防護)
CloudMonitor (CloudMonitor)是一項針對阿里雲資源和互連網應用進行監控的服務。CloudMonitor支援監控DDoS原生防護執行個體上的黑洞事件和清洗事件,事件發生時,阿里雲將向警示通知連絡人群組中設定的連絡人發送警示通知。
- 登入CloudMonitor控制台。
建立警示連絡人。如果已有連絡人,請跳過此步驟。
在左側導覽列,選擇 。
在警示連絡人頁簽單擊建立連絡人,然後在設定警示連絡人面板,填寫連絡人資訊並完成滑塊驗證後,單擊確認。
建立警示連絡人群組。如果已有連絡人群組,請跳過此步驟。
說明警示通知的接收對象必須是連絡人群組,您可以在連絡人群組中添加一個或多個連絡人。
在左側導覽列,選擇 。
在警示聯絡組頁簽單擊建立連絡人群組,然後在建立聯絡組面板,填寫相關資訊並選擇連絡人後,單擊確認。
在左側導覽列,選擇 ,單擊另存新檔警示。
在建立/修改事件警示面板,完成警示配置,並單擊確定。
類型
配置項
說明
基本資料
警示規則名稱
自訂警示規則名稱。
事件警示規則
產品類型
選擇DDoS原生防護。
事件類型
要通知的事件類型,可選項:DDoS攻擊。
事件等級
選擇要通知的事件等級。所有DDoS警示時間均為嚴重等級,該參數僅支援選擇嚴重。
事件名稱
選擇要通知的事件。可選項:黑洞、清洗。
關鍵詞過濾
在關鍵詞文字框輸入警示規則過濾的關鍵詞,然後在條件下拉框選擇過濾方式。取值:
滿足包含上面任何一個關鍵詞:當您的警示規則中包含任何一個關鍵詞時,不發送警示通知。
滿足不包含上面任何一個關鍵詞:當您的警示規則中不包含任何一個關鍵詞時,不發送警示通知。
SQL Filter
SQL過濾語句。
資源範圍
事件警示規則作用的資源範圍。選擇全部資源。
全部資源:任何資源發生相關事件,都會按照配置發送通知。
應用分組:只有指定應用分組內的資源發生相關事件,才會發送通知。
警示方式
連絡人群組
選擇發送警示的連絡人群組。
警示通知
事件警示的層級和通知方式。取值:
Critical(郵件+WebHook)
Warning(郵件+WebHook)
Info(郵件+WebHook)
Message Service隊列、Function Compute、URL回調和Log Service
無需設定。
通道沉默周期
警示發生後未恢複正常,間隔多久重複發送一次警示通知。
日誌分析服務警示(DDoS原生防護)
您為DDoS原生防護開啟防護日誌後,即可使DDoS原生防護採集防護對象的業務流量及防護日誌,供您進行查詢與分析。您可以在查詢與分析日誌的基礎上,通過條件組合等方式對需要關注的業務指標自訂警示規則,使DDoS原生防護在業務指標異常時,及時向您發送警示。
登入流量安全產品控制台。
在左側導覽列,選擇 。
在頂部功能表列左上方處,選擇執行個體所在資源群組和地區。
原生防護1.0(訂用帳戶)執行個體:請選擇執行個體所在地區。
原生防護2.0(訂用帳戶)執行個體、原生防護2.0(後付費)執行個體:請選擇全球。
按照頁面提示開通SLSLog Service並完成RAM授權。如果您之前已完成開通和授權操作,請跳過本步驟。
為執行個體開啟防護日誌功能。如果您之前已開啟,請跳過本步驟。
在防護日誌頁面,選擇目標執行個體,單擊立即升級。
在變更配置版面設定防護日誌為開啟,仔細閱讀並勾選服務合約。
單擊立即購買後,單擊訂購為執行個體開啟防護日誌功能。
為執行個體建立日誌警示監控。
在防護日誌頁面,選擇目標執行個體,單擊頁面右上方表徵圖。
單擊新版警示,並在警示監控規則頁簽完成配置項設定。
配置項
說明
規則名稱
自訂警示監控規則名稱。
檢查頻率
根據您配置的頻率對查詢和分析結果進行檢查。
每小時:每小時檢查一次查詢和分析結果。
每天:在每天的某個固定時間點檢查一次查詢和分析結果。
每周:在周幾的某個固定時間點檢查一次查詢和分析結果。
固定間隔:按照固定間隔檢查查詢和分析結果。
Cron:通過Cron運算式指定時間間隔,按照該指定的時間間隔檢查查詢和分析結果。Cron運算式的最小精度為分鐘,24小時制,例如0 0/1 * * *表示從00:00開始,每隔1小時檢查一次。
查詢統計
單擊輸入框,在查詢統計對話方塊中,設定查詢和分析語句。
關聯報表:選擇DDoS原生防護事件報表或DDoS原生清洗分析報表。
進階配置:無需修改,預設選擇日誌庫。
分組評估
Log Service支援對查詢和分析結果進行分組。更多資訊,請參見分組評估。
不分組:在每個檢查周期內,滿足觸發條件時,只產生一條警示。
標籤自訂:Log Service根據您配置的欄位對查詢和分析結果進行分組。分組後,每個組單獨評估觸發條件。在每個檢查周期內,查詢和分析結果滿足觸發條件時,各個分組各自產生一條警示。
觸發條件
警示的觸發條件及嚴重度。
觸發條件:
有資料:當查詢和分析結果中存在資料時,觸發警示。
有特定條資料:當查詢和分析結果中存在N條資料時,觸發警示。
有資料匹配:當查詢和分析結果中存在資料滿足警示運算式時,觸發警示。
有特定條資料匹配:當查詢和分析結果中存在N條資料滿足警示運算式時,觸發警示。
嚴重度:您可以將某一規則產生的警示設定為同一嚴重度,也可以將同一規則滿足不同條件時,單擊添加設定為不同的嚴重度。
添加標籤
Log Service允許您給產生的警示添加標識性屬性,索引值對格式。主要用於警示降噪控制和警示通知控制,即您在建立警示策略或行動策略時,可添加關於標籤的判斷條件。更多資訊,請參見標籤和標註。
添加標註
Log Service允許您給產生的警示添加非標識性屬性,索引值對格式。主要用於警示降噪控制和警示通知控制,即您在建立警示策略或行動策略時,可添加關於標註的判斷條件。更多資訊,請參見標籤和標註。
您還可以開啟自動添加標註開關,系統自動在警示中添加__count__等資訊。更多資訊,請參見自動標註。
恢複通知
開啟恢複通知開關後,警示恢複時,觸發一條恢複警示。其嚴重度與觸發的警示保持一致。
進階配置
連續觸發閾值:當累計的觸發次數達到該值時,產生一條警示。不滿足觸發條件時不計入統計。
無資料警示:開關開啟後,如果查詢和分析的結果(有多個時,進行集合操作後的結果)為無資料的次數超過連續觸發閾值,則產生一條警示。更多資訊,請參見無資料警示。
警示策略
警示策略用於合并、靜默和抑制已產生的警示。
選擇極簡模式和普通模式時,您無需配置警示策略。Log Service預設使用SLS內建動態警示策略(sls.builtin.dynamic)進行警示管理。
選擇進階模式時,您可以選擇內建的或自訂的警示策略進行警示管理。如何建立警示策略,請參見建立警示策略。
行動組
將警示集合按配置,通過各個渠道在發送時間符合時,以內容範本發送給接收人。
當警示策略選擇極簡模式時,您需要配置
僅當警示策略選擇極簡模式時需要配置該參數。
您也可以開啟開啟智能合并開關,用於將重複、冗餘、相關聯的警示合并為一組,每個分組中的警示在一段時間內只會通知一次,達到警示降噪的效果。更多資訊,請參見警示智能分組合并。
行動策略
行動策略用於控制警示通知渠道和頻率等。
當警示策略選擇為普通模式或進階模式時,您可以選擇內建的或自訂的行動策略進行警示通知。如何建立行動策略,請參見建立行動策略。
其中,警示策略選擇為進階模式時,還可以開啟或關閉自訂行動策略。更多資訊,請參見動態行動策略機制。
重複等待
在重複等待時間內,重複的警示只觸發一次行動策略,即只發送一次警示通知。