全部產品
Search
文件中心

Web Application Firewall:使用Log Service自訂WAF監控與警示

更新時間:Jul 01, 2024

基於阿里雲Log Service的警示功能,您可以為接入Web Application Firewall(Web Application Firewall,簡稱WAF)並開啟了Log Service的防護對象配置自訂監控圖表和警示服務,對業務整體流量和安全狀態進行監控和警示。本文介紹如何通過Log Service為WAF配置監控與警示。

背景資訊

本實踐提供了13個日誌圖表和警示配置範例供您參考,分別是4XX比例(忽略攔截資料)、5XX比例異常警示、QPS異常警示、QPS突增警示、QPS突降警示、5分鐘內ACL攔截情況警示、5分鐘內WAF攔截情況警示、5分鐘內CC攔截情況警示、5分鐘內防掃描攔截情況、5分鐘內單IP攻擊量預警、5分鐘內單IP攻擊網域名稱數量警示、5分鐘平均時延情況、UID維度流量突降警示情境。

前提條件

操作步驟

  1. 登入Web Application Firewall控制台,在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地非中國內地)。

  2. 進入Log Service進階管理頁面。
    1. 在左側導覽列,單擊安全營運 > Log Service
    2. Log Service頁面右上方,單擊進階管理
    3. 在彈出的對話方塊中,單擊確定
  3. 建立WAF日誌分析儀錶盤。
    1. Project列表中,定位到要操作的WAF記錄項目,單擊Project名稱。
    2. 輸入查詢語句,並單擊查詢/分析
      說明 關於圍繞監控指標進行查詢/分析時用到的SQL查詢語句,請參見查詢與分析語句
    3. 查詢結束後,單擊日誌欄位下的儀錶盤表徵圖,在統計圖表頁簽,單擊添加到儀錶盤
    4. 添加到儀錶盤對話方塊,完成以下配置,並單擊確定
      配置項說明
      操作類型選擇建立儀錶盤
      配置模式選擇儀錶盤的配置模式。
      儀錶盤名稱設定儀錶盤名稱。
  4. 配置日誌圖表。
    1. 單擊儀錶盤右上方的編輯
    2. 在儀錶盤編輯模式下,根據需要編輯、刪除當前儀錶盤中已有圖表或通過複製添加新的圖表。
      說明 您可以先通過複製添加圖表,然後再編輯圖表的配置。通過該方式在儀錶盤裡添加多個圖表,實現多樣化的資料展示以及警示配置。
      • 通過複製添加新的圖表
        1. 定位到要複製的圖表,將游標懸置在圖表右上方的選項表徵圖(操作選項)上,並單擊複製

          成功複製圖表後,當前圖表旁邊出現一個相同的圖表。

        2. 用游標拖動複製產生的圖表到儀錶盤上的合適位置。
      • 編輯已有圖表
        1. 定位到要編輯的圖表,將游標懸置在圖表右上方的選項表徵圖(操作選項)上,並單擊編輯
        2. 編輯頁面,根據需要修改當前圖表的配置,例如圖表名稱、SQL查詢語句、相對統計時間、圖表類型等,並單擊確定
          說明 如果您修改了SQL查詢語句,則必須單擊預覽,由系統自動檢查語句的正確性後才可以單擊確定。如果SQL查詢語句有問題,您會收到報錯資訊,這時確定按鈕不可操作。只有將SQL查詢語句修改正確後,您才可以單擊確定
      • 刪除已有圖表

        定位到要刪除的圖表,將游標懸置在圖表右上方的選項表徵圖(操作選項)上,並單擊刪除

  5. 配置日誌警示。
    1. 在儀錶盤右上方,選擇警示列表 > 建立
    2. 建立警示頁面,完成以下警示配置,並單擊下一步
      配置項說明
      警示名稱警示的名稱。名稱長度為1~64個字元。
      關聯圖表設定警示中關聯的圖表。

      設定關聯圖表時,查詢區間為服務端每次執行查詢時,讀取的資料時間範圍,支援相對時間與整點時間。例如,執行時間點為14:30:06,設定查詢區間為15分鐘(相對),則查詢區間為 14:15:06- 14:30:06;設定查詢區間為15分鐘(整點時間),則查詢區間為:14:15:00- 14:30:00。

      需要添加多個圖表時,只需單擊添加並設定即可。最多支援關聯三個圖表。圖表名稱前的編號為該圖表在警示中的編號,您可以在觸發條件中通過編號指定關聯的圖表。

      頻率服務端每次執行警示檢查的時間。
      說明 目前服務端只返回檢查結果中的前100條資料。
      觸發條件判斷警示是否觸發的條件運算式,滿足該條件時會根據執行間隔通知間隔發送警示通知。

      圖表預設從0開始編號,在觸發條件裡用$0表示第一個圖表。例如,您可以設定$0.domainnum>=10,表示第一個圖表中domainnum欄位值大於等於10時觸發警示。

      多個條件之間使用&&串連,表示邏輯與的關係,即必須同時滿足;使用||串連,表示邏輯或的關係,即滿足其中一個即可。

      說明 更多警示條件運算式文法請參見警示條件運算式文法
      進階選項
      觸發通知門檻累計觸發次數達到該閾值時根據通知間隔發送警示。不滿足觸發條件時不計入統計。預設觸發通知門檻為1,即滿足一次觸發條件即可檢查通知間隔

      通過配置觸發通知門檻可以實現多次觸發、一次通知。例如,配置觸發通知門檻為100,則累計觸發次數達到100次時檢查通知間隔。如果同時滿足觸發通知門檻通知間隔,則發送通知。發送通知之後,累計次數會清零。如果因網路異常等原因執行檢查失敗,不計入累計次數。

      說明 關於在警示配置中用到的監控指標以及監控指標的閾值設定建議,請參見常用監控指標
      通知間隔兩次警示通知之間的時間間隔。

      如果某次執行滿足了觸發條件,而且累計的觸發次數已經達到觸發通知門檻,且距離上次發送通知已經達到了通知間隔,則發送通知。如設定通知間隔為5分鐘,則5分鐘內至多收到一次通知。預設無間隔。

      說明 通過配置觸發通知門檻和通知間隔可以實現警示抑制的功能,防止收到過多的警示資訊。
      說明 觸發通知門檻通知間隔、檢查頻率三個條件配合使用,表示日誌系統按照設定的檢查頻率去檢查觸發條件是否滿足,並在通知間隔內達到觸發通知門檻次數時推送警示資訊。
    3. 建立警示頁面,完成通知設定,並單擊提交
      Log Service支援多種常用的警示通知方式,例如簡訊語音郵件WebHook+DingTalk機器人等。您必須先在通知清單右側選擇要使用的通知方式,然後完成具體配置。支援選擇並配置多種通知方式。
      • 簡訊警示

        設定接收警示的手機號碼發送內容。發送內容中可以指定警示欄位。單擊查看全部變數瞭解各欄位的含義。

      • 語音警示

        設定接收警示的手機號碼發送內容

      • 郵件警示

        設定接收警示的收件者郵箱地址、警示郵件的主題發送內容

      • WebHook+DingTalk機器人

        設定接收警示的DingTalk群機器人的webhook地址(請求地址)和發送內容