通過事件報警您能夠獲知業務遭受的DDoS攻擊事件,及時發現并修復問題,縮短故障處理時間,以便盡快恢復業務。本文介紹如何設置DDoS基礎防護和原生防護攻擊事件的報警通知。
報警方式說明
阿里云DDoS原生防護提供消息中心報警、云監控報警和日志分析服務報警,您可以通過多個維度對比選擇合適的報警方案。
對比項 | 消息中心報警 | 云監控報警 | 日志分析服務報警 | |
支持的產品類型 | DDoS基礎防護 | DDoS原生防護 | DDoS原生防護 | DDoS原生防護 |
使用場景 | 通用告警,僅需要知曉被攻擊。 | 通用告警,僅需要知曉被攻擊。 | 通用告警,通過簡單過濾條件,過濾需要通知的重點事件。 | 企業級告警,支持自定義組合條件、報警方式、通知方式、通知內容,并基于過濾條件生成統計報表。 |
配置復雜度 | 簡易 | 簡易 | 適中 | 復雜 |
靈活性 | 低 支持在事件開始、結束時告警。 | 低 支持在事件開始、結束時告警。 | 中 支持在事件開始、結束時按過濾的重點事件告警。 | 高 支持在事件開始、結束時告警,按流量閾值告警,多種條件組合告警。 |
通知方式 |
|
|
|
|
可靠性與實時性 | 不完全保證可靠性與實時性,可能在系統并發請求極高時消息限流。 說明 建議您自建流量監控體系。比如針對IP地址,進行流量監控(突增突降)或者外部探測可用性用于輔助判斷。 | 可靠性較高,告警時差一般為5分鐘以內。 | 可靠性較高,告警時差為5~10分鐘。 | 可靠性較高,告警時差為5~10分鐘。 |
配置消息中心報警(DDoS基礎防護、DDoS原生防護)
消息中心是阿里云賬號提供的消息通知服務,支持配置與阿里云服務相關的各類消息通知。
登錄消息中心控制臺。
在基本接收管理頁面設置郵箱或短信通知。
在左側導航欄單擊。
在基本接收管理頁面,選中安全消息下的云盾安全信息通知,并根據需要選擇郵箱或短信。
在頁面下方單擊添加消息接收人,然后在修改消息接收人對話框,添加消息接收人,并單擊保存。
在語音接收管理頁面設置語音報警通知。
在左側導航欄,單擊。
在語音接收管理頁面,為DDoS黑洞通知開啟語音消息通知。
單擊DDoS黑洞通知操作列下的修改,然后在修改消息接收人對話框,修改語音消息的消息接收人,并單擊保存。
配置云監控報警(DDoS原生防護)
云監控 (CloudMonitor)是一項針對阿里云資源和互聯網應用進行監控的服務。云監控支持監控DDoS原生防護實例上的黑洞事件和清洗事件,事件發生時,阿里云將向報警通知聯系人組中設置的聯系人發送報警通知。
- 登錄云監控控制臺。
創建報警聯系人。如果已有聯系人,請跳過此步驟。
在左側導航欄,選擇。
在報警聯系人頁簽單擊創建聯系人,然后在設置報警聯系人面板,填寫聯系人信息并完成滑塊驗證后,單擊確認。
創建報警聯系人組。如果已有聯系人組,請跳過此步驟。
說明報警通知的接收對象必須是聯系人組,您可以在聯系人組中添加一個或多個聯系人。
在左側導航欄,選擇。
在報警聯系組頁簽單擊新建聯系人組,然后在新建聯系組面板,填寫相關信息并選擇聯系人后,單擊確認。
在左側導航欄,選擇,單擊另存為報警。
在創建/修改事件報警面板,完成報警配置,并單擊確定。
類型
配置項
說明
基本信息
報警規則名稱
自定義報警規則名稱。
事件報警規則
產品類型
選擇DDoS原生防護。
事件類型
要通知的事件類型,可選項:DDoS攻擊。
事件等級
選擇要通知的事件等級。所有DDoS告警時間均為嚴重等級,該參數僅支持選擇嚴重。
事件名稱
選擇要通知的事件。可選項:黑洞、清洗。
關鍵詞過濾
在關鍵詞文本框輸入報警規則過濾的關鍵詞,然后在條件下拉框選擇過濾方式。取值:
滿足包含上面任何一個關鍵詞:當您的報警規則中包含任何一個關鍵詞時,不發送報警通知。
滿足不包含上面任何一個關鍵詞:當您的報警規則中不包含任何一個關鍵詞時,不發送報警通知。
SQL Filter
SQL過濾語句。
資源范圍
事件報警規則作用的資源范圍。選擇全部資源。
全部資源:任何資源發生相關事件,都會按照配置發送通知。
應用分組:只有指定應用分組內的資源發生相關事件,才會發送通知。
報警方式
聯系人組
選擇發送報警的聯系人組。
報警通知
事件報警的級別和通知方式。取值:
Critical(電話+短信+郵件+WebHook)
Warning(短信+郵件+WebHook)
Info(郵件+WebHook)
消息服務隊列、函數計算、URL回調和日志服務
無需設置。
通道沉默周期
報警發生后未恢復正常,間隔多久重復發送一次報警通知。
日志分析服務報警(DDoS原生防護)
您為DDoS原生防護開啟防護日志后,即可使DDoS原生防護采集防護對象的業務流量及防護日志,供您進行查詢與分析。您可以在查詢與分析日志的基礎上,通過條件組合等方式對需要關注的業務指標自定義報警規則,使DDoS原生防護在業務指標異常時,及時向您發送報警。
登錄流量安全產品控制臺。
在左側導航欄,選擇。
在頂部菜單欄左上角處,選擇實例所在資源組和地域。
原生防護1.0包年包月實例:請選擇實例所在地域。
原生防護2.0包年包月實例:請選擇全球。
原生防護2.0后付費實例:防護對象是標準云產品時請選擇全球,防護對象是DDoS防護增強云產品時請選擇云產品所在地域。
按照頁面提示開通SLS日志服務并完成RAM授權。如果您之前已完成開通和授權操作,請跳過本步驟。
為實例開啟防護日志功能。如果您之前已開啟,請跳過本步驟。
在防護日志頁面,選擇目標實例,單擊立即升級。
在變配頁面設置防護日志為開啟,仔細閱讀并勾選服務協議。
單擊立即購買后,單擊訂購為實例開啟防護日志功能。
為實例創建日志告警監控。
在防護日志頁面,選擇目標實例,單擊頁面右上角
圖標。單擊新版告警,并在告警監控規則頁簽完成配置項設置。
配置項
說明
規則名稱
自定義告警監控規則名稱。
檢查頻率
根據您配置的頻率對查詢和分析結果進行檢查。
每小時:每小時檢查一次查詢和分析結果。
每天:在每天的某個固定時間點檢查一次查詢和分析結果。
每周:在周幾的某個固定時間點檢查一次查詢和分析結果。
固定間隔:按照固定間隔檢查查詢和分析結果。
Cron:通過Cron表達式指定時間間隔,按照該指定的時間間隔檢查查詢和分析結果。Cron表達式的最小精度為分鐘,24小時制,例如0 0/1 * * *表示從00:00開始,每隔1小時檢查一次。
查詢統計
單擊輸入框,在查詢統計對話框中,設置查詢和分析語句。
關聯報表:選擇DDoS原生防護事件報表或DDoS原生清洗分析報表。
高級配置:無需修改,默認選擇日志庫。
分組評估
日志服務支持對查詢和分析結果進行分組。更多信息,請參見分組評估。
不分組:在每個檢查周期內,滿足觸發條件時,只產生一條告警。
標簽自定義:日志服務根據您配置的字段對查詢和分析結果進行分組。分組后,每個組單獨評估觸發條件。在每個檢查周期內,查詢和分析結果滿足觸發條件時,各個分組各自產生一條告警。
觸發條件
告警的觸發條件及嚴重度。
觸發條件:
有數據:當查詢和分析結果中存在數據時,觸發告警。
有特定條數據:當查詢和分析結果中存在N條數據時,觸發告警。
有數據匹配:當查詢和分析結果中存在數據滿足告警表達式時,觸發告警。
有特定條數據匹配:當查詢和分析結果中存在N條數據滿足告警表達式時,觸發告警。
嚴重度:您可以將某一規則產生的告警設置為同一嚴重度,也可以將同一規則滿足不同條件時,單擊添加設置為不同的嚴重度。
添加標簽
日志服務允許您給產生的告警添加標識性屬性,鍵值對格式。主要用于告警降噪控制和告警通知控制,即您在創建告警策略或行動策略時,可添加關于標簽的判斷條件。更多信息,請參見標簽和標注。
添加標注
日志服務允許您給產生的告警添加非標識性屬性,鍵值對格式。主要用于告警降噪控制和告警通知控制,即您在創建告警策略或行動策略時,可添加關于標注的判斷條件。更多信息,請參見標簽和標注。
您還可以打開自動添加標注開關,系統自動在告警中添加__count__等信息。更多信息,請參見自動標注。
恢復通知
打開恢復通知開關后,告警恢復時,觸發一條恢復告警。其嚴重度與觸發的告警保持一致。
高級配置
連續觸發閾值:當累計的觸發次數達到該值時,產生一條告警。不滿足觸發條件時不計入統計。
無數據告警:開關開啟后,如果查詢和分析的結果(有多個時,進行集合操作后的結果)為無數據的次數超過連續觸發閾值,則產生一條告警。更多信息,請參見無數據告警。
告警策略
告警策略用于合并、靜默和抑制已產生的告警。
選擇極簡模式和普通模式時,您無需配置告警策略。日志服務默認使用SLS內置動態告警策略(sls.builtin.dynamic)進行告警管理。
選擇高級模式時,您可以選擇內置的或自定義的告警策略進行告警管理。如何創建告警策略,請參見創建告警策略。
行動組
將告警集合按配置,通過各個渠道在發送時間符合時,以內容模板發送給接收人。
當告警策略選擇極簡模式時,您需要配置
僅當告警策略選擇極簡模式時需要配置該參數。
您也可以打開開啟智能合并開關,用于將重復、冗余、相關聯的告警合并為一組,每個分組中的告警在一段時間內只會通知一次,達到告警降噪的效果。更多信息,請參見告警智能分組合并。
行動策略
行動策略用于控制告警通知渠道和頻率等。
當告警策略選擇為普通模式或高級模式時,您可以選擇內置的或自定義的行動策略進行告警通知。如何創建行動策略,請參見創建行動策略。
其中,告警策略選擇為高級模式時,還可以開啟或關閉自定義行動策略。更多信息,請參見動態行動策略機制。
重復等待
在重復等待時間內,重復的告警只觸發一次行動策略,即只發送一次告警通知。