本文介绍了使用阿里云云监控配置WAF阈值报警通知的方法。通过配置阈值报警规则,您可以及时获知已接入WAF防护的域名上的数据指标异常情况(例如,QPS环比下降、异常响应码占比突增、攻击拦截量突增等),并在发生异常时第一时间进行处理,以便尽快恢复业务。

背景信息

云监控(CloudMonitor)是一项针对阿里云资源和互联网应用进行监控的服务。云监控为您提供监控数据的报警功能。您可以通过设置报警规则来定义报警系统如何检查监控数据,并在监控数据满足报警条件时发送报警通知。您对重要监控指标设置报警规则后,便可在第一时间得知指标数据发生的异常,迅速处理故障。

云监控报警功能兼容WAF,您可以在云监控中配置WAF的数据指标报警通知规则。关于云监控支持监控的WAF数据指标,请参见业务指标监控

操作步骤

  1. 登录云监控控制台
  2. 可选:创建报警联系人。如果已有联系人,请跳过此步骤。
    具体操作,请参见创建报警联系人
  3. 可选:创建报警联系人组。如果已有联系人组,请跳过该步骤。
    具体操作,请参见创建报警联系组
    注意 报警通知的接收对象必须是联系人组。您可以在联系人组中添加一个或多个联系人。
  4. 创建WAF阈值报警规则。
    1. 在左侧导航栏,选择报警服务 > 报警规则
    2. 阈值报警页签,单击创建报警规则
    3. 创建报警规则页面,完成以下报警规则配置。
      创建报警规则
      参数 说明
      产品 选择Web应用防火墙
      资源范围 选择报警规则的监控对象范围。可选项:
      • 全部资源:表示监控所有已接入WAF实例(包含中国内地和海外地区实例)防护的网站域名。
      • 实例:表示由您指定需要监控的具体网站域名。
      地域 仅在资源范围实例时需要配置。

      选择WAF实例所在地域。可选项:

      • 华东1(杭州):表示中国内地WAF实例。
      • 新加坡:表示海外地区WAF实例。
      实例 仅在资源范围实例时需要配置。

      选择地域后,默认显示当前地域下WAF实例的ID,无需修改。如果当前地域下没有开通WAF实例,则显示无数据

      域名 仅在资源范围实例时需要配置。

      从已接入当前WAF实例防护的域名中,选择需要监控的域名。支持多选。

      规则名称 为该报警规则设置一个名称。
      规则描述 设置报警规则的主体,定义在监控数据满足何种条件时,触发报警规则。
      说明 建议您根据实际业务情况设置各项WAF监控指标的报警阈值。阈值太低会频繁触发报警,影响监控服务体验。阈值太高,在触发阈值后没有足够的预留时间来响应和处理攻击。

      报警规则举例

      以下图中配置为例,该规则的含义是报警服务会探测任意连续3周期的QPS数据(单个WAF监控指标60秒上报一个数据点,5分钟有5个数据点,连续3周期有15个数据点),只要QPS最大值大于200个,结果就符合报警规则,会发送报警通知。

      规则示例

      单击添加报警规则,可以添加多个规则,每个规则需要单独设置规则名称规则描述

      通道沉默时间 设置报警发生后如果未恢复正常,间隔多久重复发送一次报警通知。最短为5分钟,最长为24小时。
      生效时间 设置报警规则的生效时间,报警规则只在生效时间内发送报警通知,非生效时间内产生的报警只记录报警历史。
      通知对象 添加接收报警通知的联系人组。
      报警级别 选择报警级别,不同级别对应不同的通知方式。可选项:
      • 电话+短信+邮件+钉钉机器人(Critical)
        说明 购买云监控电话报警资源包后才可以选择。更多信息,请参见资源包
      • 短信+邮件+钉钉机器人(Warning)
      • 邮件+钉钉机器人(Info)
      弹性伸缩 WAF报警规则中无需配置。选择弹性伸缩规则后,会在报警发生时触发相应的弹性伸缩规则。
      邮件备注 自定义报警邮件补充信息。

      填写邮件备注后,报警邮件中会附带您设置的备注。

      报警回调 云监控会将报警信息通过POST请求推送到您填写的公网URL地址。目前仅支持HTTP协议。
    4. 单击确认
    成功创建WAF阈值报警规则后,当WAF监控指标满足报警条件时,报警规则中设置的联系人将会收到相关报警通知 。