您可以在阿里雲CloudMonitor服務中配置Web Application Firewall(Web Application Firewall,簡稱WAF)的攻擊事件和業務指標的警示通知規則,監控接入WAF的網站。本文介紹如何在CloudMonitor服務配置WAF監控與警示。
前提條件
已完成網站接入。具體操作,請參見使用教程。
建立警示連絡人和警示連絡人群組
在左側導覽列,選擇 。
建立警示連絡人。
在警示連絡人頁簽,單擊建立連絡人。
在設定警示連絡人面板,填寫警示連絡人的姓名、郵箱和Webhook地址,警示通知資訊語言保持預設值自動。
說明自動表示CloudMonitor根據當前阿里雲帳號註冊時的語言,自動適配警示通知資訊的語言。
資訊驗證無誤後,單擊確認。
建立警示聯絡組。
在警示聯絡組頁簽,單擊建立聯絡組。
在建立聯絡組面板,填寫警示聯絡組的組名,並選擇警示連絡人後,單擊確認。
大量新增警示連絡人到警示聯絡組。
在警示連絡人頁簽,單擊目標警示連絡人前面的複選,單擊添加到警示聯絡組。
在確認資訊對話方塊,單擊目標警示聯絡組,單擊確定。
建立警示連絡人、建立警示聯絡組、大量新增警示連絡人到警示聯絡組後,您配置的WAF監控和警示資訊會發送給警示連絡人。警示連絡人需及時查看警示通知資訊,並對警示進行相應的處理。
設定WAF攻擊事件的監控與警示
在左側導覽列,選擇 。
在事件監控頁簽,單擊右側的舊版事件警示規則,然後單擊建立警示規則。
在建立/修改事件警示面板,完成如下配置後,單擊確定。
參數
說明
警示規則名稱
事件警示規則的名稱。
產品類型
事件警示規則的雲產品類型,選擇Web Application Firewall。
事件類型
事件警示規則的事件類型,取值:Attack、Exceed、Event。
事件等級
事件警示規則的事件等級。WAF的事件等級均為嚴重。
事件名稱
事件警示規則的事件名稱。
說明事件名稱下拉式清單中,不帶V3尾碼的事件為WAF 2.0支援監控的事件,帶V3尾碼的事件為WAF 3.0支援監控的事件。關於WAF 2.0支援監控的攻擊事件,請參見支援監控的攻擊事件。
關鍵詞過濾
警示規則過濾的關鍵詞。取值:
滿足包含上面任何一個關鍵詞:當您的警示規則中包含任何一個關鍵詞時,不發送警示通知。
滿足不包含上面任何一個關鍵詞:當您的警示規則中不包含任何一個關鍵詞時,不發送警示通知。
SQL Filter
SQL過濾語句。
資源範圍
事件警示的生效範圍,取值:全部資源、應用分組
連絡人群組
選擇發送警示的連絡人群組。具體操作,請參見建立警示連絡人和警示連絡人群組。
通知方式
事件警示的層級和通知方式。取值:
Critical(電話+簡訊+郵件+WebHook)
Warning(簡訊+郵件+WebHook)
Info(郵件+WebHook)
Simple Message Queue (formerly MNS) (SMQ)隊列
事件警示投遞到Simple Message Queue (formerly MNS) (SMQ)的指定隊列。
Function Compute
事件警示投遞到Function Compute的指定函數。
URL回調
公網可訪問的URL,用於接收CloudMonitor通過POST請求推送的警示資訊。目前僅支援HTTP協議。關於如何設定警示回調,請參見使用系統事件警示回調(舊版)。
Log Service
事件警示投遞到Log Service的指定日誌庫。
通道沉默周期
警示發生後未恢複正常,間隔多久重複發送一次警示通知。取值:5分鐘、15分鐘、30分鐘、60分鐘、3小時、6小時、12小時和24小時。
成功建立警示規則後,您可以在當已接入WAF的防護對象上發生攻擊事件時,警示規則中設定的連絡人將會收到相關警示通知。
您也可以在事件監控頁面,在事件監控列表上的篩選框中,選擇產品為Web Application Firewall,事件名稱為WAF 2.0相關事件,查詢近期發生的WAF監控事件。
設定WAF業務指標的監控與警示
在左側導覽列,選擇 。
在警示規則列表頁面,單擊建立警示規則。
在建立警示規則面板,完成如下配置後,單擊確定。
參數
說明
產品
CloudMonitor可管理的雲產品名稱,選擇Web Application Firewall。
資源範圍
警示規則作用的資源範圍。取值:
全部資源:警示規則作用於WAF的全部資源上。
應用分組:警示規則作用於WAF的指定應用分組內的全部資源上。
執行個體:警示規則作用於WAF的指定資源上。
規則描述
警示規則的主體。當監控資料滿足警示條件時,觸發警示規則。規則描述的設定方法如下:
單擊添加規則。
在添加規則描述面板,設定規則名稱、監控指標類型、監控指標、閾值和警示層級等,單擊確定。
說明關於WAF支援監控的業務指標,請參見支援監控的業務指標。
通道沉默周期
警示發生後未恢複正常,間隔多久重複發送一次警示通知。取值:5分鐘、15分鐘、30分鐘、60分鐘、3小時、6小時、12小時和24小時。
某監控指標達到警示閾值時發送警示,如果監控指標在通道沉默周期內持續超過警示閾值,在通道沉默周期內不會重複發送警示通知;如果監控指標在通道沉默周期後仍未恢複正常,則CloudMonitor再次發送警示通知。
生效時間
警示規則的生效時間,警示規則只在生效時間內才會檢查監控資料是否需要警示。
警示連絡人群組
選擇發送警示的連絡人群組。具體操作,請參見建立警示連絡人和警示連絡人群組。
警示回調
公網可訪問的URL,用於接收CloudMonitor通過POST請求推送的警示資訊。目前僅支援HTTP協議。關於如何設定警示回調,請參見使用閾值警示回調。
說明單擊進階設定,可設定該參數。
Auto Scaling
如果您開啟Auto Scaling開關,當警示發生時,會觸發相應的伸縮規則。您需要設定Auto Scaling的地區、Auto Scaling組和Auto Scaling規則。
說明單擊進階設定,可設定該參數。
Log Service
如果您開啟Log Service開關,當警示發生時,會將警示資訊寫入Log Service的日誌庫。您需要設定Log Service的地區、ProjectName和Logstore。關於如何建立Project和Logstore,請參見快速入門。
說明單擊進階設定,可設定該參數。
Simple Message Queue (formerly MNS) (SMQ)MNS-Topic
如果您開啟Simple Message Queue (formerly MNS) (SMQ)MNS-Topic開關,當警示發生時,會將警示資訊寫入Simple Message Queue (formerly MNS) (SMQ)的主題。您需要設定Simple Message Queue (formerly MNS) (SMQ)的地區和主題。關於如何建立主題,請參見建立主題。
說明單擊進階設定,可設定該參數。
無資料處理方法
無監控資料時警示的處理方式。取值:
不做任何處理(預設值)
發送無資料警示
視為恢複
說明單擊進階設定,可設定該參數。
標籤
警示規則的標籤。包括標籤名稱和標籤值。
成功建立規則後,您可以在警示規則列表頁面,在列表上的篩選框中,選擇產品為Web Application Firewall3.0,監控指標為domain分頁的指標,查詢已建立的監控指標警示規則。
說明WAF支援的監控指標說明如下:
domain分頁下的指標為WAF 2.0支援監控的指標。
resource分頁下的指標為WAF 3.0支援監控的指標。
執行個體分頁下的指標為混合雲WAF支援監控的指標。其中,不帶V3尾碼的指標為WAF 2.0支援監控的指標,帶V3尾碼的指標為WAF 3.0支援監控的指標。
進階自訂監控
您可以使用Log Service配置自訂業務指標監控和警示。詳細介紹,請參見使用Log Service設定監控與警示。
支援監控的攻擊事件
CloudMonitor支援對接入WAF防護的網站網域名稱上發生的Web攻擊、CC攻擊、掃描攻擊、存取控制事件等進行監控和警示。您可以根據事件的嚴重等級,設定以簡訊、郵件、DingTalk等方式接收通知或設定警示回調。具體操作,請參見設定WAF攻擊事件的監控與警示。
事件類型 | 事件名稱 | 事件含義 | 事件狀態 | 事件等級 |
Attack | waf_event_aclattack | 存取控制事件 | acl | Critical |
Exceed | waf_event_bandwidth_exceed | 頻寬超限 | overrun | Critical |
Attack | waf_event_ccattack | CC攻擊事件 | cc | Critical |
Exceed | waf_event_qps_exceed | QPS超限 | overrun | Critical |
Attack | waf_event_webattack | Web攻擊事件 | web | Critical |
Attack | waf_event_webscan | 防掃描事件 | webscan | Critical |
支援監控的業務指標
CloudMonitor支援對接入WAF防護的網站網域名稱的系統請求資料指標設定異常監控和警示。支援自訂指標異常的判斷方法,並設定通過簡訊、郵件、DingTalk等接收通知或設定警示回調。關於如何配置WAF業務指標監控和警示,請參見設定WAF業務指標的監控與警示。
監控項 | 維度 | 指標含義 | 備忘 |
4XX佔比 | 網域名稱 | 每分鐘4XX狀態代碼的佔比(不包含405)。 | 警示資訊以小數形式呈現 |
5XX佔比 | 網域名稱 | 每分鐘5XX狀態代碼的佔比。 | 警示資訊以小數形式呈現 |
存取控制攔截量(5m) | 網域名稱 | 近5分鐘內精準存取控制攔截量,單位:個。 | 無 |
存取控制攔截佔比(5m) | 網域名稱 | 近5分鐘內精準存取控制攔截佔總請求量的佔比。 | 警示資訊以小數形式呈現 |
CC防護攔截量(5m) | 網域名稱 | 近5分鐘內CC安全防護攔截量,單位:個。 | 無 |
CC防護攔截佔比(5m) | 網域名稱 | 近5分鐘內CC安全防護攔截佔總請求量的佔比。 | 警示資訊以小數形式呈現 |
Web攻擊攔截量(5m) | 網域名稱 | 近5分鐘內Web應用攻擊防護攔截量,單位:個。 | 無 |
Web攻擊攔截佔比(5m) | 網域名稱 | 近5分鐘內Web應用攻擊防護攔截佔總請求量的佔比。 | 警示資訊以小數形式呈現 |
QPS | 網域名稱 | QPS,單位:個/秒。 | 無 |
QPS環比增長率 | 網域名稱 | 每分鐘QPS的環比增長率。 | 警示資訊以百分比形式呈現 |
QPS環比下降率 | 網域名稱 | 每分鐘QPS的環比下降率。 | 警示資訊以百分比形式呈現 |