本实践介绍了使用阿里云云监控配置Web应用防火墙事件报警通知的操作方法。通过为Web应用防火墙配置事件监控,您能够及时获知已接入Web应用防火墙防护的域名上发生的访问控制、CC攻击、Web攻击、防扫描事件,并在发生故障时第一时间发现问题,缩短故障处理时间,以便尽快恢复业务。
背景信息
云监控(CloudMonitor) 是一项针对阿里云资源和互联网应用进行监控的服务。云监控支持事件监控功能,为您提供各类云产品产生的系统事件的统一查询和统计入口,使您明确知晓云产品的使用状态,让云更透明。
您可以通过事件监控查询Web应用防火墙上域名发生的访问控制、CC攻击、Web攻击和防扫描事件,并为Web应用防火墙添加事件的报警通知。事件监控支持根据事件等级配置报警,通过短信、邮件、钉钉等接收通知或设置报警回调,使您第一时间知晓严重事件并及时进行处理,形成线上自动化运维闭环。更多信息,请参见事件监控概览。
云监控支持监控以下Web应用防火墙事件。
表 1. Web应用防火墙事件监控类型
事件名称 |
含义 |
类型 |
状态取值 |
事件等级 |
waf_event_aclattack |
访问控制事件 |
acl |
start/end |
CRITICAL |
waf_event_ccattack |
CC攻击事件 |
cc |
start/end |
CRITICAL |
waf_event_webattack |
Web攻击事件 |
web |
start/end |
CRITICAL |
waf_event_webscan |
防扫描事件 |
webscan |
start/end |
CRITICAL |
操作步骤
- 登录阿里云云监控控制台。
- 可选: 创建报警联系人。若已有联系人,请跳过此步骤。
- 在左侧导航栏,单击。
- 在报警联系人页签下,单击新建联系人。

- 在设置报警联系人对话框中,填写联系人信息并完成滑块验证,单击保存。
成功新建报警联系人。
- 可选: 创建报警联系组。若已有联系人组,请跳过此步骤。
说明 报警通知的接收对象必须是联系人组,您可以在联系人组中添加一个或多个联系人。
- 在左侧导航栏,单击。
- 在报警联系组页签下,单击新建联系组。

- 在新建联系组对话框中,设置组名,从已有联系人中选择并添加联系人到当前组,单击确定。
成功新建报警联系组。
- 创建云产品事件报警规则。
- 在左侧导航栏,单击事件监控。
- 在报警规则页签下,选择系统事件,并单击创建事件报警。

- 在创建/修改事件报警侧边页,完成报警配置,并单击确定。报警配置的描述如下。
类型 |
配置项 |
说明 |
基本信息 |
报警规则名称 |
为报警规则命名。 |
事件报警规则 |
事件类型 |
选择系统事件。
|
产品类型 |
选择Web应用防火墙。
|
事件类型 |
选择WAF攻击事件。
|
事件等级 |
选择要通知的事件等级,支持严重、警告、信息。可以多选,且必须包含严重等级。
|
事件名称 |
选择要通知的事件,可选值:
- 访问控制事件
- CC攻击事件
- Web攻击事件
- 防扫描事件
可以多选。 事件等级均为严重。
|
资源范围 |
选择全部资源。
|
报警方式 |
报警通知 |
勾选报警通知,并设置联系人组和通知方式。
- 联系人组:选择一个已有联系人组。
- 通知方式:选择Warning(短息+邮箱+钉钉机器人)或者Info(邮箱+钉钉机器人)方式。
若单击添加操作,可以设置多个联系人组和通知方式。
|
消息服务队列 |
无需勾选。 |
函数计算 |
无需勾选。 |
URL回调 |
无需勾选。 |
日志服务 |
无需勾选。 |

成功创建Web应用防火墙事件监控报警规则。当已接入Web应用防火墙的域名上发生指定的事件时,报警规则中指定的联系人组会收到报警通知 。
- 可选: 查询事件。您也可以在云监控查询近期发生的Web应用防火墙事件。
- 前往事件监控页面,并打开事件查询页签。
- 选择系统事件和Web应用防火墙产品,并设置要查询的事件类型和时间范围,查询相关历史事件。

- 在历史事件记录中,您可以单击事件后的查看详情,展开事件详情。
在文档使用中是否遇到以下问题
更多建议
匿名提交