基於阿里雲Log Service的警示功能,您可以為接入WAF並開啟了Log Service的防護對象配置自訂監控圖表和警示服務,對業務整體流量和安全狀態進行監控和警示。本文介紹如何通過Log Service為WAF配置監控與警示。
前提條件
已在接入管理頁面完成Web業務接入。具體操作,請參見接入管理概述。
已開通Log Service。具體操作,請參見開啟或關閉Log Service。
開啟Log Service後,阿里雲Simple Log Service (SLS)將自動建立project和logstore,並採集您指定防護對象的日誌欄位投遞到該logstore中。因此,您可以在Log Service配置自訂WAF監控與警示。
操作步驟
在WAF控制台,為防護對象開啟日誌採集。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,選擇
在日志服务頁面上方,選擇要查詢日誌的防護對象,開啟日誌採集狀態開關。
開啟後,分鐘層級生效。
在Log Service控制台,配置警示。
建立日誌分析儀錶盤。
配置日誌圖表。
在Log Service控制台左側導覽列,選擇
,單擊目標儀錶盤。在儀錶盤頁面,單擊編輯。
在儀錶盤編輯模式下,根據需要編輯、刪除當前儀錶盤中已有圖表或通過複製添加新的圖表。
說明您可以先通過複製添加圖表,然後再編輯圖表的配置。通過該方式在儀錶盤裡添加多個圖表,實現多樣化的資料展示以及警示配置。
通過複製添加新的圖表
定位到要複製的圖表,將游標懸置在圖表右上方的表徵圖上,單擊複製。
成功複製圖表後,當前圖表旁邊出現一個相同的圖表。
用游標拖動複製產生的圖表到儀錶盤上的合適位置。
編輯已有圖表
定位到要編輯的圖表,將游標懸置在圖表右上方的表徵圖上,單擊編輯。
在編輯頁面,根據需要修改當前圖表的配置,例如圖表名稱、SQL查詢語句、相對統計時間、圖表類型等,並單擊確定。
刪除已有圖表
定位到要刪除的圖表,將游標懸置在圖表右上方的表徵圖上,單擊刪除。
配置日誌警示。
在儀錶盤頁面,選擇
。在建立警示面板中,配置如下參數,然後單擊確定。
必要參數說明和配置樣本如下所示:
參數
描述
樣本
規則名稱
配置警示監控規則名稱。
網站日誌警示監控規則
檢查頻率
根據您配置的頻率對查詢和分析結果進行檢查。
固定間隔:按照固定間隔檢查查詢和分析結果。
Cron:通過Cron運算式指定時間間隔,按照該指定的時間間隔檢查查詢和分析結果。
Cron運算式的最小精度為分鐘,24小時制,例如0 0/1 * * *表示從00:00開始,每隔1小時檢查一次。
固定間隔,15,分鐘
查詢統計
單擊輸入框,在查詢統計對話方塊中,設定查詢和分析語句。關於查詢分析的使用限制,請參見查詢和分析。
關聯報表:您可以選擇監控儀錶盤。
進階配置:在進階配置頁簽下,您可以選擇監控日誌庫、指標庫和資源資料。
配置多個查詢統計時,您可以指定集合操作關聯多個查詢結果。更多資訊,請參見設定查詢統計語句。
0:選擇SLB動作記錄儀錶盤中的請求成功率圖表。
1:選擇SLB動作記錄儀錶盤中的回應時間趨勢圖表。
集合操作配置為笛卡爾積。
分組評估
Log Service支援對查詢和分析結果進行分組。
標籤自訂:Log Service根據您配置的欄位對查詢和分析結果進行分組。分組後,每個組單獨評估觸發條件。在每個檢查周期內,查詢和分析結果滿足觸發條件時,各個分組各自產生一條警示。
支援設定多個欄位的配置。
不分組:在每個檢查周期內,滿足觸發條件時,只產生一條警示。
不分組
觸發條件
配置觸發條件及嚴重度。
觸發條件
有資料:當查詢和分析結果中存在資料時,觸發警示。
有特定條資料:當查詢和分析結果中存在N條資料時,觸發警示。
有資料匹配:當查詢和分析結果中存在資料滿足警示運算式時,觸發警示。
有特定條資料匹配:當查詢和分析結果中存在N條資料滿足警示運算式時,觸發警示。
嚴重度
主要用於警示降噪控制和警示通知控制,即您在建立警示策略或行動策略時,可添加關於警示嚴重度的判斷條件。更多資訊,請參見設定警示嚴重度。
簡單配置:直接選擇警示嚴重度,則表示通過該規則產生的警示都為同一嚴重度。
分條件配置:單擊添加,分條件設定警示嚴重度。
警示條件運算式的相關文法,請參見警示條件運算式文法。
有資料匹配
$0.success_ratio <90&&$1.平均回應時間\(s\) >60
嚴重度:中
說明當欄位中存在括弧()時,需使用反斜線(\)進行轉義。
添加標註
Log Service允許您給產生的警示添加非標識性屬性,索引值對格式。主要用於警示降噪控制和警示通知控制,即您在建立警示策略或行動策略時,可添加關於標註的判斷條件。更多資訊,請參見添加標籤和標註。
您還可以開啟自動添加標註開關,系統自動在警示中添加__count__等資訊。更多資訊,請參見自動標註。
標題(title):監控網站請求成功率和平均回應時間
描述(desc):請求成功率:${success_ratio},平均回應時間:${平均回應時間(s)}
自動添加標註:開啟
連續觸發閾值
配置連續觸發閾值。當累計的觸發次數達到該值時,產生一條警示。不滿足觸發條件時不計入統計。
1
輸出目標
日誌輸入位置。請選擇SLS通知。
選擇SLS通知。
警示策略
警示策略用於合并、靜默和抑制已產生的警示。
選擇極簡模式和普通模式時,您無需配置警示策略。Log Service預設使用SLS內建動態警示策略(sls.builtin.dynamic)進行警示管理。
選擇進階模式時,您可以選擇內建的或自訂的警示策略進行警示管理。如何建立警示策略,請參見建立警示策略。
極簡模式
行動策略
行動策略用於控制警示通知渠道和頻率等。
當警示策略選擇為極簡模式時,您只需配置行動組即可。
您配置行動組後,Log Service自動為您建立一個名為
規則名稱-行動策略
的行動策略。由該警示監控規則引發的所有警示都通過該行動策略發送通知。如何配置,請參見通知渠道說明。重要您可以在行動策略管理頁面,修改該行動策略。具體操作,請參見建立行動策略。如果您在修改行動策略時添加了判斷條件,則此處的警示策略將自動變更為普通模式。
當警示策略選擇為普通模式或進階模式時,您可以選擇內建的或自訂的行動策略進行警示通知。如需建立行動策略,請參見建立行動策略。
其中,您選擇警示策略選擇為進階模式時,還可以開啟或關閉自訂行動策略。更多資訊,請參見動態行動策略機制。
渠道:簡訊
接收人:SLS營運組
內容範本:SLS內建內容範本
發送時段:任意
重複等待
在重複等待時間內,重複的警示只會觸發一次行動策略,即只發送一次警示通知。
5分鐘
在左側導覽列,單擊表徵圖,查看已建立的警示,設定警示通知對象、通知策略等。具體操作,請參見1. 配置通知對象、建立警示策略。
建立警示監控規則後,Log Service會根據您建立的規則監控查詢和分析結果。當查詢和分析結果滿足觸發條件時,觸發警示。您可以在警示規則中心儀錶盤中查看警示觸發的記錄。具體操作,請參見查看警示觸發記錄。
相關文檔
如果您想瞭解WAFLog Service提供的日誌圖表和警示配置範例,包括4XX比例異常警示(忽略攔截資料)、5XX比例異常警示、QPS警示、5分鐘內防護規則攔截情況警示等,請參見WAF日誌警示配置案例。