本文介紹了使用Web Application FirewallLog Service發起查詢/分析時常用的監控指標及其含義。您可以將這些指標用於警示配置條件中,自訂監控業務的異常情況。本文也提供了在警示配置中建議使用的監控指標閾值和指標異常時的處理建議。
監控指標 | 釋義 | 建議閾值 | 處理建議 |
status:200 | 伺服器已成功處理請求,返回了請求的資料。 | 初始化正常業務時,200狀態代碼的警示監控閾值可以配置為90%,具體根據實際業務情況調整。 | 如果發現低於監控比例,需要分析比例下降的原因,例如是否因為其他錯誤狀態代碼比例增加。 |
request_time_msec | 用戶端請求到返回結果的請求耗時。 | 按實際業務請求所需耗時,設定合適的逾時警示監控閾值。 | 如果發現網域名稱請求耗時較長,需要檢查用戶端-WAF-來源站點整體網路鏈路品質,並排查來源站點響應狀態是否正常。 |
upstream_response_time | 請求回源時,來源站點返回資料的回應時間。 | ||
ssl_handshake_time | HTTPS協議請求時,用戶端與WAF的SSL握手時間。 | ||
status:302 and block_action:tmd/status:200 and block_action:tmd | 人機校正JS請求狀態代碼,302表示觸發預設策略,200表示觸發自訂CC防護策略。 | 初始化時,建議配置5%~10%的警示閾值比例,後續營運期間可以根據業務攔截情況靈活調整。 |
|
status:200 and block_action:antifraud | 被Alibaba Antifraud Service規則攔截。 | 測試可用後再上線,如彈出率過高,說明情境可能有問題,建議聯絡阿里雲研發團隊進行確認。 | |
status:404 | 伺服器找不到請求的資源。 | 查詢觸發警示的IP。
| |
status:405 | 被Web應用防護規則或精準存取控制規則攔截。 | 通過全量日誌分析攔截的規則、請求行為,判斷是正常攔截還是誤攔截。 | |
status:444 | 被WAF CC自訂規則攔截。 |
| |
status:499 | 用戶端發起請求,服務端未返回資料,超過用戶端設定的等待時間後,用戶端主動斷鏈,服務端返回給用戶端該狀態代碼。 |
| |
status:500 | (Internal Server Error)伺服器內部錯誤,無法完成請求。 | 建議檢查來源站點處理資源負載、資料庫等情況。 | |
status:502 | (Bad Gateway)錯誤網關, 伺服器作為網關或代理,從上遊伺服器收到無效響應。一般由於回源網路品質變差、回源鏈路有存取控制攔截回源請求導致來源站點無響應。 |
| |
status:503 | (Service Unavailable)服務不可用,由於超載或停機維護,伺服器目前無法使用。 | 建議檢查來源站點是否異常。 | |
status:504 | (Gateway Timeout)網關逾時,伺服器作為網關或代理,但是沒有及時從上遊伺服器收到請求。 | 根據以下可能的原因進行排查:
|