本实践介绍了使用阿里云云监控配置Web应用防火墙事件报警通知的操作方法。通过为Web应用防火墙配置事件监控,您能够及时获知已接入Web应用防火墙防护的域名上发生的访问控制、CC攻击、Web攻击、防扫描事件,并在发生故障时第一时间发现问题,缩短故障处理时间,以便尽快恢复业务。

背景信息

云监控(CloudMonitor) 是一项针对阿里云资源和互联网应用进行监控的服务。云监控支持事件监控功能,为您提供各类云产品产生的系统事件的统一查询和统计入口,使您明确知晓云产品的使用状态,让云更透明。

您可以通过事件监控查询Web应用防火墙上域名发生的访问控制、CC攻击、Web攻击和防扫描事件,并为Web应用防火墙添加事件的报警通知。事件监控支持根据事件等级配置报警,通过短信、邮件、钉钉等接收通知或设置报警回调,使您第一时间知晓严重事件并及时进行处理,形成线上自动化运维闭环。更多信息,请参见事件监控概览

云监控支持监控以下Web应用防火墙事件。

表 1. Web应用防火墙事件监控类型
事件名称 含义 类型 状态取值 事件等级
waf_event_aclattack 访问控制事件 acl start/end CRITICAL
waf_event_ccattack CC攻击事件 cc start/end CRITICAL
waf_event_webattack Web攻击事件 web start/end CRITICAL
waf_event_webscan 防扫描事件 webscan start/end CRITICAL

操作步骤

  1. 登录阿里云云监控控制台
  2. 可选: 创建报警联系人。若已有联系人,请跳过此步骤。
    1. 在左侧导航栏,单击报警服务 > 报警联系人
    2. 报警联系人页签下,单击新建联系人新建联系人
    3. 设置报警联系人对话框中,填写联系人信息,通过手机号码或者邮箱完成验证后,单击保存设置报警联系人
      成功新建报警联系人。
  3. 可选: 创建报警联系组。若已有联系人组,请跳过此步骤。
    说明 报警通知的接收对象必须是联系人组,您可以在联系人组中添加一个或多个联系人。
    1. 在左侧导航栏,单击报警服务 > 报警联系人
    2. 报警联系组页签下,单击新建联系组新建联系组
    3. 新建联系组对话框中,设置组名,从已有联系人中选择并添加联系人到当前组,单击确定联系组配置
      成功新建报警联系组。
  4. 创建云产品事件报警规则。
    1. 在左侧导航栏,单击事件监控
    2. 报警规则页签下,选择系统事件,并单击创建事件报警创建事件报警
    3. 创建/修改事件报警侧边页,完成报警配置,并单击确定。报警配置的描述如下。
      类型 配置项 说明
      基本信息 报警规则名称 为报警规则命名。
      事件报警规则 事件类型 选择系统事件
      产品类型 选择Web应用防火墙
      事件类型 选择WAF攻击事件
      事件等级 选择要通知的事件等级,支持严重警告信息。可以多选,且必须包含严重等级。
      事件名称 选择要通知的事件,可选值:
      • 访问控制事件
      • CC攻击事件
      • Web攻击事件
      • 防扫描事件

      可以多选。 事件等级均为严重。

      资源范围 选择全部资源
      报警方式 报警通知 勾选报警通知,并设置联系人组通知方式
      • 联系人组:选择一个已有联系人组。
      • 通知方式:选择Warning(短息+邮箱+钉钉机器人)或者Info(邮箱+钉钉机器人)方式。

      若单击添加操作,可以设置多个联系人组和通知方式。

      消息服务队列 无需勾选。
      函数计算 无需勾选。
      URL回调 无需勾选。
      日志服务 无需勾选。
      事件监控报警规则
      成功创建Web应用防火墙事件监控报警规则。当已接入Web应用防火墙的域名上发生指定的事件时,报警规则中指定的联系人组会收到报警通知 。
  5. 可选: 查询事件。您也可以在云监控查询近期发生的Web应用防火墙事件。
    1. 前往事件监控页面,并打开事件查询页签。
    2. 选择系统事件Web应用防火墙产品,并设置要查询的事件类型和时间范围,查询相关历史事件。事件监控
    3. 在历史事件记录中,您可以单击事件后的查看详情,展开事件详情。