WAF已集成了阿里云云监控服务,您可以在云监控中配置WAF的攻击事件报警通知规则。本文介绍了如何使用云监控服务配置WAF监控与告警。

前提条件

已将网站业务接入WAF进行防护。相关操作,请参见网站接入

支持监控的WAF指标和事件

关于云监控支持监控的WAF指标和事件,请参见支持的监控类型和业务指标

设置告警联系人

设置告警联系人后,您配置的WAF监控和告警信息会发送给告警联系人。告警联系人需及时查看告警通知信息,并对告警进行相应的处理。

  1. 登录云监控控制台
  2. 创建报警联系人。
    1. 在左侧导航栏,单击报警服务 > 报警联系人
    2. 报警联系人页签下,单击新建联系人
    3. 设置报警联系人对话框中,填写联系人信息并完成滑块验证后,单击确认
      说明 报警通知信息语言保持默认值自动自动表示云监控根据当前阿里云账号注册时的语言,自动适配报警通知信息的语言。
    4. (可选)报警联系人邮箱和手机号码激活。
      如果您设置了报警联系人的邮箱和手机号码,默认处于等待激活状态。报警联系人需要根据邮件和短消息中的激活链接,在24小时内进行激活,否则无法收到报警通知。激活后,您可以在报警联系人列表中看到目标报警联系人的手机号码和邮箱。报警联系人列表
  3. 创建报警联系人组。
    注意 报警通知的接收对象必须是联系人组。您可以在联系人组中添加一个或多个联系人。
    1. 报警联系组页签下,单击新建联系组
    2. 新建联系组对话框中填写联系组的组名,从已有联系人中选择并添加联系人到当前组。
    3. 单击确认

设置WAF攻击事件监控与告警

设置WAF攻击事件监控与告警后,当WAF防护的域名发生了Web攻击和CC攻击等威胁时,云监控将根据您设置的报警事件等级和报警接收方式,发送报警通知。关于支持的详细监控类型和字段说明,请参见支持监控的攻击事件类型

  1. 登录云监控控制台
  2. 创建WAF攻击事件报警规则。
    1. 在左侧导航栏,选择报警服务 > 报警规则
    2. 单击事件报警页签。
    3. 事件报警页签,单击创建事件报警
    4. 创建/修改事件报警面板,完成以下报警配置。
      攻击事件报警配置以下是WAF攻击事件监控与报警配置说明:
      参数 说明
      报警规则名称 为报警规则命名。

      支持使用英文字母、数字、下划线(_),且不超过30个字符。

      事件类型 选择系统事件
      产品类型 选择Web应用防火墙
      事件类型 选择WAF攻击事件
      事件等级 选择要通知的事件等级。可选项:严重警告信息
      注意 事件等级支持多选,但必须包含严重等级。
      事件名称 选择要通知的事件类型。可选项:
      • 访问控制事件
      • CC攻击事件
      • Web攻击事件
      • 防扫描事件
      注意 以上事件等级都为严重
      资源范围 选择全部资源
      报警方式 选中报警通知,并设置联系人组和通知方式:
      • 联系人组:选择一个已有的联系人组。联系人组内的所有联系人都会收到报警通知。
      • 通知方式:选择Info(邮箱+钉钉机器人)方式。

      单击添加操作,可以设置多个联系人组和通知方式。

      您也可以开启其他报警方式,例如,通过消息服务队列函数计算URL回调日志服务接收报警通知。更多介绍,请参见创建事件报警规则

    5. 单击确定
    成功创建WAF事件报警规则后,当已接入WAF防护的域名上发生攻击事件时,报警规则中设置的联系人将会收到相关报警通知。
您也可以在云监控查询近期发生的WAF监控事件。查看WAF监控事件

设置WAF业务指标监控报警

通过配置阈值报警规则,您可以及时获知已接入WAF防护的域名上的业务指标异常情况(例如,QPS环比下降、异常响应码占比突增、攻击拦截量突增等),并在发生异常时第一时间进行处理,以便尽快恢复业务。关于支持监控的WAF业务指标类型,请参见支持监控的WAF业务指标

  1. 登录云监控控制台
  2. 创建WAF阈值报警规则。
    1. 在左侧导航栏,选择报警服务 > 报警规则
    2. 阈值报警页签,单击创建报警规则
    3. 创建报警规则页面,完成以下报警规则配置。
      参数 说明
      产品 选择Web应用防火墙
      资源范围 选择报警规则的监控对象范围。可选项:
      • 全部资源:表示监控所有已接入WAF实例(包含中国内地和海外地区实例)防护的网站域名,任意一个域名命中报警规则时,都会发送报警通知。
      • 实例:表示由您设置需要监控的WAF实例和已接入该实例防护的网站域名。只有已设置的域名命中报警规则时,才会发送报警通知。
      地域 仅在资源范围实例时需要配置。

      选择WAF实例所在地域。可选项:

      • 华东1(杭州):表示中国内地WAF实例。
      • 新加坡:表示海外地区WAF实例。
      实例 仅在资源范围实例时需要配置。

      选择地域后,默认显示当前地域下WAF实例的ID,无需修改。如果当前地域下没有开通WAF实例,则显示无数据

      域名 仅在资源范围实例时需要配置。

      从已接入当前WAF实例防护的域名中,选择需要监控的域名。支持多选。

      规则名称 为该报警规则命名。
      规则描述 设置报警规则的主体,定义在监控数据满足何种条件时,触发报警规则。
      说明 建议您根据实际业务情况设置各项指标的报警阈值(支持监控的WAF业务指标)。阈值太低会频繁触发报警,影响监控服务体验;阈值太高,在触发阈值后可能会没有足够的预留时间来响应和处理攻击。

      报警规则举例

      以下图中配置为例,该规则的含义是报警服务会探测任意连续3周期的QPS数据(单个WAF监控指标60秒上报一个数据点,5分钟有5个数据点,连续3周期有15个数据点),只要QPS最大值大于200个,结果就符合报警规则,会发送报警通知。

      规则示例

      单击添加报警规则,可以添加多个规则,每个规则需要单独设置规则名称规则描述

      通道沉默时间 设置报警发生后如果未恢复正常,间隔多久重复发送一次报警通知。最短为5分钟,最长为24小时。
      生效时间 设置报警规则的生效时间,报警规则只在生效时间内发送报警通知,非生效时间内产生的报警只记录报警历史。
      通知对象 添加接收报警通知的联系人组。
      报警级别 选择报警级别,分为Critical、Warning、Info三个级别,不同级别对应不同的通知方式。可选项:邮件+钉钉机器人(Info)。
      弹性伸缩 WAF报警规则中无需配置。选择弹性伸缩规则后,会在报警发生时触发相应的弹性伸缩规则。
      日志服务 如果您选中日志服务,当报警发生时,会将报警信息写入日志服务。您需要设置日志服务的地域、Project和Logstore。

      创建Project和Logstore的操作方法,请参见快速入门

      邮件主题 自定义报警邮件的主题。

      报警邮件的主题默认为产品名称+监控项名称+实例ID。

      邮件备注 自定义报警邮件补充信息。

      填写邮件备注后,报警邮件中会附带您设置的备注。

      报警回调 云监控会将报警信息通过POST请求推送到您填写的公网URL地址。目前仅支持HTTP协议。
    4. 单击确认,成功创建Web应用防火墙报警规则。
      当Web应用防火墙监控指标满足报警条件时,报警规则中指定的联系人组会收到报警通知。