このプラクティスでは、Alibaba Cloud Log Service のアラート機能を使用して、WAF に追加済みで Log Service が有効なドメイン名に対するカスタムモニタリングチャートとアラートを設定します。 エンタープライズユーザーと個人ユーザーは、このプラクティスを参照してワークロードのトラフィックとセキュリティステータスのモニタリング、およびアラートの設定を行うことができます。
手順
このプラクティスでの操作手順は次のとおりです。
| 手順 | 説明 |
|---|---|
| 手順1: WAFログ分析ダッシュボードの作成 | WAF の Log Service を使用してログのクエリと分析を開始後、SQL ステートメントに基づいてダッシュボードを作成できます。 デフォルトでは、ダッシュボードには SQL ステートメントに基づいて生成されたチャートが含まれています。 |
| ステップ2: ログチャートの設定 | ログ分析ダッシュボードを作成後、ダッシュボードでログチャートの編集または削除や、既存チャートをコピーして新しいログチャートの作成ができます。 |
| 手順3: ログアラートの設定 | ログ分析ダッシュボードを作成後、ダッシュボードでログアラートを設定できます。 アラートを既存のログチャートに関連付けて、関連付けられたチャートのパラメーターに基づいてアラートトリガー条件を設定する必要があります。 アラートメッセージテンプレートはカスタマイズできます。 |
設定例
このプラクティスでは、ログチャートとアラート設定の 13 個の例を示します。これには、次が含まれます:4xx ステータスコードの異常の割合 (%) 関するアラート (ブロックされたリクエストを除く)、5xx ステータスコードの異常の割合 (%)、異常なクエリレートに関するアラート、クエリレートの急激な増加に関するアラート、クエリレートの急激な低下に関するアラート、過去 5 分間で HTTP ACL ポリシーによってブロックされたリクエストに関するアラート、過去 5 分間で Web アプリケーション保護によってブロックされたリクエストに関するアラート、過去 5 分間で HTTP フラッド保護によってブロックされたリクエストに関するアラート、過去 5 分間でアンチスキャンルールによってブロックされたリクエストに関するアラート、過去 5 分間で単一の送信元 IP アドレスから攻撃された件数に関するアラート、過去 5 分間で単一の IP アドレスによって攻撃されたドメイン数に関するアラート、過去 5 分間の遅延平均値に関するアラート、ユーザーからのクエリレートの急激な低下に関するアラート。
ログチャートの設定方法 (ステップ 2)、アラートルールの設定方法 (ステップ 3)、チャート作成・アラートルール設定の方法を学習することを推奨します。 詳細については、「WAFログに基づくアラート設定の例」をご参照ください。
アラート設定で使用されるメトリックおよびメトリックの推奨しきい値の詳細については、「一般的な監視メトリック」をご参照ください。
ログのクエリと分析に使用される SQL ステートメントの詳細については、「クエリ文」をご参照ください。