全部產品
Search
文件中心

Web Application Firewall:使用Log Service自訂WAF監控與警示

更新時間:Dec 27, 2024

基於阿里雲Log Service的警示功能,您可以為接入WAF並開啟了Log Service的防護對象配置自訂監控圖表和警示服務,對業務整體流量和安全狀態進行監控和警示。本文介紹如何通過Log Service為WAF配置監控與警示。

前提條件

  • 已在接入管理頁面完成Web業務接入。具體操作,請參見接入管理概述

  • 已開通Log Service。具體操作,請參見開啟或關閉Log Service

    開啟Log Service後,阿里雲Simple Log Service (SLS)將自動建立project和logstore,並採集您指定防護對象的日誌欄位投遞到該logstore中。因此,您可以在Log Service配置自訂WAF監控與警示。

操作步驟

  1. 在WAF控制台,為防護對象開啟日誌採集。

    1. 登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地非中国内地

    2. 在左側導覽列,選擇检测与响应 > 日志服务

    3. 日志服务頁面上方,選擇要查詢日誌的防護對象,開啟日誌採集狀態開關。日誌報表

      開啟後,分鐘層級生效。

  2. 在Log Service控制台,配置警示。

    1. 建立日誌分析儀錶盤。

      1. 登入Log Service控制台

      2. Project列表中,定位到要操作的WAF記錄項目,單擊Project名稱。

      3. 輸入查詢語句,並單擊查詢/分析。具體操作,請參見步驟4

        說明

        關於對監控指標進行查詢/分析時用到的SQL查詢語句,請參見查詢與分析語句

      4. 查詢結束後,在統計圖表頁簽,單擊添加到儀錶盤image.png

      5. 添加到儀錶盤對話方塊,完成以下配置,並單擊確認

        配置項

        說明

        操作類型

        選擇建立儀錶盤

        配置模式

        選擇儀錶盤配置模式。

        儀錶盤名稱

        為當前查詢語句對應的儀錶盤命名。

        成功建立儀錶盤後,頁面跳轉到建立的儀錶盤。儀錶盤預設包含步驟iii使用的查詢語句對應的圖表,您可以根據需要在儀錶盤編輯當前圖表或添加更多的圖表。

    2. 配置日誌圖表。

      1. 在Log Service控制台左側導覽列,選擇image.png > 儀錶盤列表,單擊目標儀錶盤。

      2. 在儀錶盤頁面,單擊編輯

      3. 在儀錶盤編輯模式下,根據需要編輯、刪除當前儀錶盤中已有圖表或通過複製添加新的圖表。

        說明

        您可以先通過複製添加圖表,然後再編輯圖表的配置。通過該方式在儀錶盤裡添加多個圖表,實現多樣化的資料展示以及警示配置。

        • 通過複製添加新的圖表

          1. 定位到要複製的圖表,將游標懸置在圖表右上方的操作選項表徵圖上,單擊複製

            成功複製圖表後,當前圖表旁邊出現一個相同的圖表。

          2. 用游標拖動複製產生的圖表到儀錶盤上的合適位置。

        • 編輯已有圖表

          1. 定位到要編輯的圖表,將游標懸置在圖表右上方的操作表徵圖上,單擊編輯

          2. 編輯頁面,根據需要修改當前圖表的配置,例如圖表名稱、SQL查詢語句、相對統計時間、圖表類型等,並單擊確定

        • 刪除已有圖表

          定位到要刪除的圖表,將游標懸置在圖表右上方的操作表徵圖上,單擊刪除

    3. 配置日誌警示。

      1. 在儀錶盤頁面,選擇警示 > 建立警示

      2. 建立警示面板中,配置如下參數,然後單擊確定

        必要參數說明和配置樣本如下所示:

        image

        參數

        描述

        樣本

        規則名稱

        配置警示監控規則名稱。

        網站日誌警示監控規則

        檢查頻率

        根據您配置的頻率對查詢和分析結果進行檢查。

        • 固定間隔:按照固定間隔檢查查詢和分析結果。

        • Cron:通過Cron運算式指定時間間隔,按照該指定的時間間隔檢查查詢和分析結果。

          Cron運算式的最小精度為分鐘,24小時制,例如0 0/1 * * *表示從00:00開始,每隔1小時檢查一次。

        固定間隔,15,分鐘

        查詢統計

        單擊輸入框,在查詢統計對話方塊中,設定查詢和分析語句。關於查詢分析的使用限制,請參見查詢和分析

        • 關聯報表:您可以選擇監控儀錶盤。

        • 進階配置:在進階配置頁簽下,您可以選擇監控日誌庫、指標庫和資源資料。

        配置多個查詢統計時,您可以指定集合操作關聯多個查詢結果。更多資訊,請參見設定查詢統計語句

        • 0:選擇SLB動作記錄儀錶盤中的請求成功率圖表。

        • 1:選擇SLB動作記錄儀錶盤中的回應時間趨勢圖表。

        • 集合操作配置為笛卡爾積

        分組評估

        Log Service支援對查詢和分析結果進行分組。

        • 標籤自訂:Log Service根據您配置的欄位對查詢和分析結果進行分組。分組後,每個組單獨評估觸發條件。在每個檢查周期內,查詢和分析結果滿足觸發條件時,各個分組各自產生一條警示。

          支援設定多個欄位的配置。

        • 不分組:在每個檢查周期內,滿足觸發條件時,只產生一條警示。

        不分組

        觸發條件

        配置觸發條件及嚴重度。

        • 觸發條件

          • 有資料:當查詢和分析結果中存在資料時,觸發警示。

          • 有特定條資料:當查詢和分析結果中存在N條資料時,觸發警示。

          • 有資料匹配:當查詢和分析結果中存在資料滿足警示運算式時,觸發警示。

          • 有特定條資料匹配:當查詢和分析結果中存在N條資料滿足警示運算式時,觸發警示。

        • 嚴重度

          主要用於警示降噪控制和警示通知控制,即您在建立警示策略或行動策略時,可添加關於警示嚴重度的判斷條件。更多資訊,請參見設定警示嚴重度

          • 簡單配置:直接選擇警示嚴重度,則表示通過該規則產生的警示都為同一嚴重度。

          • 分條件配置:單擊添加,分條件設定警示嚴重度。

        警示條件運算式的相關文法,請參見警示條件運算式文法

        • 有資料匹配

        • $0.success_ratio <90&&$1.平均回應時間\(s\) >60

        • 嚴重度:中

        說明

        當欄位中存在括弧()時,需使用反斜線(\)進行轉義。

        添加標註

        Log Service允許您給產生的警示添加非標識性屬性,索引值對格式。主要用於警示降噪控制和警示通知控制,即您在建立警示策略或行動策略時,可添加關於標註的判斷條件。更多資訊,請參見添加標籤和標註

        您還可以開啟自動添加標註開關,系統自動在警示中添加__count__等資訊。更多資訊,請參見自動標註

        • 標題(title):監控網站請求成功率和平均回應時間

        • 描述(desc):請求成功率:${success_ratio},平均回應時間:${平均回應時間(s)}

        • 自動添加標註:開啟

        連續觸發閾值

        配置連續觸發閾值。當累計的觸發次數達到該值時,產生一條警示。不滿足觸發條件時不計入統計。

        1

        輸出目標

        日誌輸入位置。請選擇SLS通知。

        選擇SLS通知。

        警示策略

        警示策略用於合并、靜默和抑制已產生的警示。

        • 選擇極簡模式普通模式時,您無需配置警示策略。Log Service預設使用SLS內建動態警示策略(sls.builtin.dynamic)進行警示管理。

        • 選擇進階模式時,您可以選擇內建的或自訂的警示策略進行警示管理。如何建立警示策略,請參見建立警示策略

        極簡模式

        行動策略

        行動策略用於控制警示通知渠道和頻率等。

        • 警示策略選擇為極簡模式時,您只需配置行動組即可。

          您配置行動組後,Log Service自動為您建立一個名為規則名稱-行動策略的行動策略。由該警示監控規則引發的所有警示都通過該行動策略發送通知。如何配置,請參見通知渠道說明

          重要

          您可以在行動策略管理頁面,修改該行動策略。具體操作,請參見建立行動策略。如果您在修改行動策略時添加了判斷條件,則此處的警示策略將自動變更為普通模式

        • 警示策略選擇為普通模式進階模式時,您可以選擇內建的或自訂的行動策略進行警示通知。如需建立行動策略,請參見建立行動策略

          其中,您選擇警示策略選擇為進階模式時,還可以開啟或關閉自訂行動策略。更多資訊,請參見動態行動策略機制

        • 渠道:簡訊

        • 接收人:SLS營運組

        • 內容範本:SLS內建內容範本

        • 發送時段:任意

        重複等待

        在重複等待時間內,重複的警示只會觸發一次行動策略,即只發送一次警示通知。

        5分鐘

      3. 在左側導覽列,單擊image.png表徵圖,查看已建立的警示,設定警示通知對象通知策略等。具體操作,請參見1. 配置通知對象建立警示策略

        建立警示監控規則後,Log Service會根據您建立的規則監控查詢和分析結果。當查詢和分析結果滿足觸發條件時,觸發警示。您可以在警示規則中心儀錶盤中查看警示觸發的記錄。具體操作,請參見查看警示觸發記錄

相關文檔

如果您想瞭解WAFLog Service提供的日誌圖表和警示配置範例,包括4XX比例異常警示(忽略攔截資料)、5XX比例異常警示、QPS警示、5分鐘內防護規則攔截情況警示等,請參見WAF日誌警示配置案例