本实践介绍了使用阿里云云监控配置Web应用防火墙事件报警通知的操作方法。通过为Web应用防火墙配置事件监控,您能够及时获知已接入Web应用防火墙防护的域名上发生的访问控制、CC攻击、Web攻击、防扫描事件,并在发生故障时第一时间发现问题,缩短故障处理时间,以便尽快恢复业务。
背景信息
云监控(CloudMonitor) 是一项针对阿里云资源和互联网应用进行监控的服务。云监控支持事件监控功能,为您提供各类云产品产生的系统事件的统一查询和统计入口,使您明确知晓云产品的使用状态,让云更透明。
您可以通过事件监控查询Web应用防火墙上域名发生的访问控制、CC攻击、Web攻击和防扫描事件,并为Web应用防火墙添加事件的报警通知。事件监控支持根据事件等级配置报警,通过短信、邮件、钉钉等接收通知或设置报警回调,使您第一时间知晓严重事件并及时进行处理,形成线上自动化运维闭环。更多信息,请参见事件监控概览。
云监控支持监控以下Web应用防火墙事件。
| 事件名称 | 含义 | 类型 | 状态取值 | 事件等级 |
|---|---|---|---|---|
| waf_event_aclattack | 访问控制事件 | acl | start/end | CRITICAL |
| waf_event_ccattack | CC攻击事件 | cc | start/end | CRITICAL |
| waf_event_webattack | Web攻击事件 | web | start/end | CRITICAL |
| waf_event_webscan | 防扫描事件 | webscan | start/end | CRITICAL |
操作步骤
- 可选: 创建报警联系人。若已有联系人,请跳过此步骤。
- 在报警联系人页签下,单击新建联系人。
- 在设置报警联系人对话框中,填写联系人信息并完成滑块验证,单击保存。
成功新建报警联系人。
- 在报警联系人页签下,单击新建联系人。
- 可选: 创建报警联系组。若已有联系人组,请跳过此步骤。
说明 报警通知的接收对象必须是联系人组,您可以在联系人组中添加一个或多个联系人。
- 在报警联系组页签下,单击新建联系组。
- 在新建联系组对话框中,设置组名,从已有联系人中选择并添加联系人到当前组,单击确定。
成功新建报警联系组。
- 在报警联系组页签下,单击新建联系组。
- 创建云产品事件报警规则。
- 在报警规则页签下,选择系统事件,并单击创建事件报警。
- 在创建/修改事件报警侧边页,完成报警配置,并单击确定。报警配置的描述如下。
类型 配置项 说明 基本信息 报警规则名称 为报警规则命名。 事件报警规则 事件类型 选择系统事件。 产品类型 选择Web应用防火墙。 事件类型 选择WAF攻击事件。 事件等级 选择要通知的事件等级,支持严重、警告、信息。可以多选,且必须包含严重等级。 事件名称 选择要通知的事件,可选值: - 访问控制事件
- CC攻击事件
- Web攻击事件
- 防扫描事件
可以多选。 事件等级均为严重。
资源范围 选择全部资源。 报警方式 报警通知 勾选报警通知,并设置联系人组和通知方式。 - 联系人组:选择一个已有联系人组。
- 通知方式:选择Warning(短息+邮箱+钉钉机器人)或者Info(邮箱+钉钉机器人)方式。
若单击添加操作,可以设置多个联系人组和通知方式。
消息服务队列 无需勾选。 函数计算 无需勾选。 URL回调 无需勾选。 日志服务 无需勾选。 
成功创建Web应用防火墙事件监控报警规则。当已接入Web应用防火墙的域名上发生指定的事件时,报警规则中指定的联系人组会收到报警通知 。
- 在报警规则页签下,选择系统事件,并单击创建事件报警。
- 可选: 查询事件。您也可以在云监控查询近期发生的Web应用防火墙事件。
- 前往事件监控页面,并打开事件查询页签。
- 选择系统事件和Web应用防火墙产品,并设置要查询的事件类型和时间范围,查询相关历史事件。
- 在历史事件记录中,您可以单击事件后的查看详情,展开事件详情。
在文档使用中是否遇到以下问题
更多建议
匿名提交