本实践介绍了使用阿里云云监控配置Web应用防火墙报警通知的操作方法。通过设置Web应用防火墙报警通知,您可以及时获知Web应用防火墙实例上的流量、连接数、攻击等异常情况,并在发生故障时第一时间发现问题,缩短故障处理时间,以便尽快恢复业务。

背景信息

云监控(CloudMonitor) 是一项针对阿里云资源和互联网应用进行监控的服务。云监控为您提供监控数据的报警功能。您可以通过设置报警规则来定义报警系统如何检查监控数据,并在监控数据满足报警条件时发送报警通知。您对重要监控指标设置报警规则后,便可在第一时间得知指标数据发生的异常,迅速处理故障。

云监控报警功能兼容Web应用防火墙,您可以在云监控中配置Web应用防火墙的报警通知规则。云监控支持监控以下Web应用防火墙的数据指标。

表 1. Web应用防火墙监控指标
监控项 维度 单位 指标含义 备注
4XX占比 域名 % 每分钟4XX状态码的占比(不包含405) 报警信息以小数形式呈现
5XX占比 域名 % 每分钟5XX状态码的占比 报警信息以小数形式呈现
访问控制拦截量(5m) 域名 近5分钟内精准访问控制拦截量
访问控制拦截占比(5m) 域名 % 近5分钟内精准访问控制拦截占总请求量的占比 报警信息以小数形式呈现
CC防护拦截量(5m) 域名 近5分钟内CC安全防护拦截量
CC防护拦截占比(5m) 域名 % 近5分钟内CC安全防护拦截占总请求量的占比 报警信息以小数形式呈现
Web攻击拦截量(5m) 域名 近5分钟内Web应用攻击防护拦截量
Web攻击拦截占比(5m) 域名 % 近5分钟内Web应用攻击防护拦截占总请求量的占比 报警信息以小数形式呈现
QPS 域名 个/秒 QPS
QPS环比增长率 域名 % 每分钟QPS的环比增长率 报警信息以百分比形式呈现
QPS环比下降率 域名 % 每分钟QPS的环比下降率 报警信息以百分比形式呈现

操作步骤

  1. 登录阿里云云监控控制台
  2. 可选: 创建报警联系人。若已有联系人,请跳过此步骤。
    1. 在左侧导航栏,单击报警服务 > 报警联系人
    2. 报警联系人页签下,单击新建联系人新建联系人
    3. 设置报警联系人对话框中,填写联系人信息并完成滑块验证,单击保存设置报警联系人
      成功新建报警联系人。
  3. 可选: 创建报警联系组。若已有联系人组,请跳过此步骤。
    说明 报警通知的接收对象必须是联系人组,您可以在联系人组中添加一个或多个联系人。
    1. 在左侧导航栏,单击报警服务 > 报警联系人
    2. 报警联系组页签下,单击新建联系组新建联系组
    3. 新建联系组对话框中,设置组名,从已有联系人中选择并添加联系人到当前组,单击确定联系组配置
      成功新建报警联系组。
  4. 创建报警规则。
    1. 在左侧导航栏,单击报警服务 > 报警规则
    2. 阈值报警页签下,单击创建报警规则创建报警规则
    3. 创建报警规则页面,完成报警规则配置,并单击确认。报警规则的配置描述如下。
      类别 配置项 说明
      关联资源 产品 选择Web应用防火墙
      资源范围 报警规则的作用范围,分为全部资源实例
      • 全部资源:资源范围选择全部资源,则所有Web应用防火墙实例满足报警规则描述时,都会发送报警通知。
      • 实例:资源范围选择指定的实例,则选中的Web应用防火墙实例满足报警规则描述时,才会发送报警通知。
      地域 仅在资源范围实例时配置。选择Web应用防火墙实例的地域。
      • 中国大陆的实例,选择华东1(杭州)
      • 海外地区的实例,选择新加坡
      实例 仅在资源范围实例时配置。选择地域后,默认选择当前地域下的Web应用防火墙实例。
      域名 仅在资源范围实例时配置。从已接入当前实例防护的域名中选择需要监控的域名,支持多选。
      设置报警规则 规则名称 报警规则的名称。
      规则描述 报警规则的主体,定义在监控数据满足何种条件时,触发报警规则。
      说明 建议您根据实际业务情况设置各项监控指标(参见表 1)的报警阈值。阈值太低会频繁触发报警,影响监控服务体验。阈值太高,在触发阈值后没有足够的预留时间来响应和处理攻击。

      报警规则举例说明:

      QPS 5分钟周期连续3周期最大值>200个, 含义是报警服务会探测任意连续3周期的QPS数据(单个Web应用防火墙监控指标60秒上报一个数据点,5分钟有5个数据点,连续3周期有15个数据点),只要QPS最大值大于200个,结果就符合报警规则,发送报警通知。

      规则示例

      单击添加报警规则,可以添加多个规则,每个规则单独设置规则名称规则描述

      通道沉默时间 报警发生后如果未恢复正常,间隔多久重复发送一次报警通知。最短为5分钟,最长为24小时。
      生效时间 报警规则的生效时间,报警规则只在生效时间内发送报警通知,非生效时间内产生的报警只记录报警历史。
      通知方式 通知对象 接收报警通知的联系人组。
      报警级别 分为Critical 、Warning、Info三个级别,不同级别对应不同的通知方式。
      • 电话+短信+邮件+钉钉机器人(Critical)
        说明 购买云监控电话报警资源包后才可以选择。
      • 短信+邮件+钉钉机器人(Warning)
      • 邮件+钉钉机器人(Info)
      弹性伸缩 选择弹性伸缩规则后,会在报警发生时触发相应的弹性伸缩规则。无需勾选。
      邮件备注 自定义报警邮件补充信息,非必填。填写邮件备注后,发送报警的邮件通知中会附带您的备注。
      报警回调 云监控会将报警信息通过POST请求推送到您填写的公网URL地址,目前仅支持HTTP协议。
      创建报警规则
      成功创建Web应用防火墙报警规则。当Web应用防火墙监控指标满足报警条件时,报警规则中指定的联系人组会收到报警通知 。