全部產品
Search

搜尋本產品

    Anti-DDoS:設定DDoS基礎防護和原生防護攻擊事件警示

    文件中心

    Anti-DDoS:設定DDoS基礎防護和原生防護攻擊事件警示

    更新時間:Dec 30, 2025

    通過事件警示您能夠獲知業務遭受的DDoS攻擊事件,及時發現並修複問題,縮短故障處理時間,以便儘快恢複業務。本文介紹如何設定DDoS基礎防護和原生防護攻擊事件的警示通知。

    警示方式說明

    阿里雲DDoS原生防護提供訊息中心警示、CloudMonitor警示和日誌分析服務警示,您可以通過多個維度對比選擇合適的警示方案。

    對比項

    訊息中心警示

    CloudMonitor警示

    日誌分析服務警示

    支援的產品類型

    DDoS基礎防護

    DDoS原生防護

    DDoS原生防護

    DDoS原生防護

    使用情境

    通用警示,僅需要知曉被攻擊。

    通用警示,僅需要知曉

    被攻擊。

    通用警示,通過簡單過濾條件,過濾需要通知的重時間點事件。

    企業級警示,支援自訂群組合條件、警示方式、通知方式、通知內容,並基於過濾條件產生統計報表。

    配置複雜度

    簡易

    簡易

    適中

    複雜

    靈活性

    支援在事件開始、結束時警示。

    支援在事件開始、結束時警示。

    支援在事件開始、結束時按過濾的重時間點事件警示。

    支援在事件開始、結束時警示,按流量閾值警示,多種條件組合警示。

    通知方式

    • 郵件

    • Webhook

    • 站內信

    • 郵件

    • Webhook

    • 簡訊

    • 郵件

    • 語音

    • Webhook

    • 簡訊

    • 郵件

    • 語音

    • Webhook

    可靠性與即時性

    不完全保證可靠性與即時性,可能在系統並發請求極高時訊息限流。

    重要

    建議您自建流量監控體系。比如針對IP地址,進行流量監控(突增突降)或者外部探測可用性用於輔助判斷。

    可靠性較高,警示時差一般為5分鐘以內。

    可靠性較高,警示時差為5~10分鐘。

    可靠性較高,警示時差為5~10分鐘。

    配置訊息中心警示(DDoS基礎防護、DDoS原生防護)

    訊息中心是阿里雲帳號提供的訊息通知服務,支援配置與阿里雲服務相關的各類訊息通知。

    1. 登入訊息中心控制台

    2. 設定警示通知。

      image

      通知方式

      配置說明

      站內信、郵件

      1. 在左側導覽列,單擊訊息接收管理 > 基本接收管理

      2. 選中安全訊息下的Apsara Stack Security安全語音總機,根據需要勾選站內信郵件

      3. 單擊修改,修改訊息接收人。

      Webhook

      1. 在左側導覽列,單擊訊息接收管理 > 機器人接收管理

      2. 安全訊息下找到Apsara Stack Security安全語音總機,單擊修改,增加或刪除機器人。

    配置CloudMonitor警示(DDoS原生防護)

    CloudMonitor (CloudMonitor)是一項針對阿里雲資源和互連網應用進行監控的服務。CloudMonitor支援監控DDoS原生防護執行個體上的黑洞事件和清洗事件,事件發生時,阿里雲將向警示通知連絡人群組中設定的連絡人發送警示通知。

    1. 登入CloudMonitor控制台

    2. 建立接收通知的警示連絡人群組。

      1. 建立警示連絡人。如果已有連絡人,請跳過此步驟。

        1. 在左側導覽列,選擇警示服務 > 警示連絡人

        2. 警示服務警示連絡人頁簽單擊建立連絡人,然後在設定警示連絡人面板,填寫連絡人資訊並完成滑塊驗證後,單擊確認

      2. 建立警示連絡人群組。如果已有連絡人群組,請跳過此步驟。

        說明

        警示通知的接收對象必須是連絡人群組,您可以在連絡人群組中添加一個或多個連絡人。

        1. 在左側導覽列,選擇警示服務 > 警示連絡人

        2. 警示聯絡組頁簽單擊建立連絡人群組,然後在建立聯絡組面板,填寫相關資訊並選擇連絡人後,單擊確認

    3. 在左側導覽列,選擇事件中心 > 事件訂閱,單擊建立訂閱策略,單擊提交完成警示配置。

      地區

      配置項

      說明

      基本資料

      名稱

      訂閱策略的名稱。

      描述

      訂閱策略的描述資訊。

      警示訂閱

      訂閱類型

      選擇系統事件

      產品

      選擇DDoS原生防護

      事件類型

      選擇DDoS攻擊

      事件名稱

      選擇要通知的事件。可選項:黑洞清洗

      事件等級

      選擇要通知的事件等級。所有DDoS警示事件均為嚴重等級,該參數僅支援選擇嚴重(Critical)

      應用分組

      只有指定應用分組內的資源發生相關事件,才會發送通知。

      事件內容

      上報的事件中包含該內容才會上報警示。

      事件資源

      上報的事件中包含該資源才會上報警示。

      合并降噪

      合并內容

      訂閱類型訂閱範圍中選擇合并維度。

      降噪

      降低警示通知的頻率。請根據需要設定。

      通知

      通知配置

      當系統事件或閾值事件達到警示條件後,直接通知警示連絡人或根據警示層級通知不同的警示連絡人。

      您可以選擇已有通知配置,也可以單擊建立通知配置,新建立一個通知配置。

      關於如何設定通知配置策略的相關參數,請參見管理通知配置

      自訂通知方式

      自訂警示通知方式。

      單擊某種通知方式後面的修改,修改通知模板警示層級

      推送與整合

      推送渠道

      警示通知的推送渠道。建立推送渠道的具體操作如下:

      1. 單擊建立新推送

      2. 選擇已有推送渠道,或單擊添加渠道,新建立一個推送渠道。

        關於如何設定推送渠道的相關參數,請參見管理推送渠道

    日誌分析服務警示(DDoS原生防護)

    您為DDoS原生防護開啟防護日誌後,即可使DDoS原生防護採集防護對象的業務流量及防護日誌,供您進行查詢與分析。您可以在查詢與分析日誌的基礎上,通過條件組合等方式對需要關注的業務指標自訂警示規則,使DDoS原生防護在業務指標異常時,及時向您發送警示。

    1. 登入流量安全產品控制台

    2. 在左側導覽列,選擇網絡安全 > DDoS原生防護 > 防護日誌

    3. 在頂部功能表列左上方處,選擇執行個體所在資源群組和地區。

      • 原生防護1.0(訂用帳戶)執行個體:請選擇執行個體所在地區。

      • 原生防護2.0(訂用帳戶)執行個體、原生防護2.0(後付費)執行個體:請選擇全球。

    4. 按照頁面提示開通SLSLog Service並完成RAM授權。如果您之前已完成開通和授權操作,請跳過本步驟。

    5. 為執行個體開啟防護日誌功能。如果您之前已開啟,請跳過本步驟。

      1. 防護日誌頁面,選擇目標執行個體,單擊立即升級

      2. 變更配置版面設定防護日誌開啟,仔細閱讀並勾選服務合約

      3. 單擊立即購買後,單擊訂購為執行個體開啟防護日誌功能。

    6. 為執行個體建立日誌警示監控。

      1. 防護日誌頁面,選擇目標執行個體,單擊頁面右上方跳轉到SLS表徵圖。

      2. 在DDoS日誌庫詳情頁,單擊右上方image表徵圖,並在警示監控規則頁簽完成配置項設定。

        配置項

        說明

        規則名稱

        自訂警示監控規則名稱。

        檢查頻率

        根據您配置的頻率對查詢和分析結果進行檢查。

        • 每小時:每小時檢查一次查詢和分析結果。

        • 每天:在每天的某個固定時間點檢查一次查詢和分析結果。

        • 每周:在周幾的某個固定時間點檢查一次查詢和分析結果。

        • 固定間隔:按照固定間隔檢查查詢和分析結果。

        • Cron:通過Cron運算式指定時間間隔,按照該指定的時間間隔檢查查詢和分析結果。Cron運算式的最小精度為分鐘,24小時制,例如0 0/1 * * *表示從00:00開始,每隔1小時檢查一次。

        查詢統計

        單擊輸入框,在查詢統計對話方塊中,設定查詢和分析語句。

        • 關聯報表:選擇DDoS原生防護事件報表DDoS原生清洗分析報表

        • 進階配置:無需修改,預設選擇日誌庫

        分組評估

        Log Service支援對查詢和分析結果進行分組。更多資訊,請參見設定分組評估

        • 不分組:在每個檢查周期內,滿足觸發條件時,只產生一條警示。

        • 標籤自訂:Log Service根據您配置的欄位對查詢和分析結果進行分組。分組後,每個組單獨評估觸發條件。在每個檢查周期內,查詢和分析結果滿足觸發條件時,各個分組各自產生一條警示。

        觸發條件

        警示的觸發條件及嚴重度。

        • 觸發條件

          • 有資料:當查詢和分析結果中存在資料時,觸發警示。

          • 有特定條資料:當查詢和分析結果中存在N條資料時,觸發警示。

          • 有資料匹配:當查詢和分析結果中存在資料滿足警示運算式時,觸發警示。

          • 有特定條資料匹配:當查詢和分析結果中存在N條資料滿足警示運算式時,觸發警示。

        • 嚴重度:您可以將某一規則產生的警示設定為同一嚴重度,也可以將同一規則滿足不同條件時,單擊添加設定為不同的嚴重度。

        添加標籤

        Log Service允許您給產生的警示添加標識性屬性,索引值對格式。主要用於警示降噪控制和警示通知控制,即您在建立警示策略或行動策略時,可添加關於標籤的判斷條件。更多資訊,請參見添加標籤和標註

        添加標註

        Log Service允許您給產生的警示添加非標識性屬性,索引值對格式。主要用於警示降噪控制和警示通知控制,即您在建立警示策略或行動策略時,可添加關於標註的判斷條件。更多資訊,請參見添加標籤和標註

        您還可以開啟自動添加標註開關,系統自動在警示中添加__count__等資訊。更多資訊,請參見自動標註

        恢複通知

        開啟恢複通知開關後,警示恢複時,觸發一條恢複警示。其嚴重度與觸發的警示保持一致。

        進階配置

        • 連續觸發閾值:當累計的觸發次數達到該值時,產生一條警示。不滿足觸發條件時不計入統計。

        • 無資料警示:開關開啟後,如果查詢和分析的結果(有多個時,進行集合操作後的結果)為無資料的次數超過連續觸發閾值,則產生一條警示。更多資訊,請參見無資料警示

        輸出目標

        輸出目標用於配置警示事件的輸出位置,可以配置一個或多個輸出目標。本文以SLS通知為例。

        • 事件庫:將警示事件寫入到EventStore。

        • CloudMonitor事件中心:將警示事件寫入到CloudMonitor系統事件中心,通過CloudMonitor對警示進行管理和通知。

        • SLS通知:將警示事件輸出到SLS的通知服務,通過警示策略、行動策略等對警示進行管理和通知。

        警示策略

        警示策略用於合并、靜默和抑制已產生的警示。

        • 選擇極簡模式普通模式時,您無需配置警示策略。Log Service預設使用SLS內建動態警示策略(sls.builtin.dynamic)進行警示管理。

        • 選擇進階模式時,您可以選擇內建的或自訂的警示策略進行警示管理。如何建立警示策略,請參見建立警示策略

        行動組

        僅當警示策略選擇極簡模式時需要配置該參數。

        您配置行動組後,Log Service自動為您建立一個名為規則名稱-行動策略的行動策略。由該警示監控規則引發的所有警示都通過該行動策略發送通知。如何配置,請參見通知渠道說明

        重要

        您可以在行動策略管理頁面,修改該行動策略。具體操作,請參見行動策略。如果您在修改行動策略時添加了判斷條件,則此處的警示策略將自動變更為普通模式

        行動策略

        行動策略用於控制警示通知渠道和頻率等。

        警示策略選擇為普通模式進階模式時,您可以選擇內建的或自訂的行動策略進行警示通知。如何建立行動策略,請參見行動策略

        其中,警示策略選擇為進階模式時,還可以開啟或關閉自訂行動策略。更多資訊,請參見動態行動策略機制

        重複等待

        在重複等待時間內,重複的警示只觸發一次行動策略,即只發送一次警示通知。