创建Web应用防火墙(WAF)日志分析仪表盘后,您可以在仪表盘中配置日志告警。日志告警必须关联仪表盘中已有的日志图表,并使用关联图表中的参数设置告警触发条件。日志告警支持自定义告警信息发送模板。

前提条件

已创建日志分析仪表盘。更多信息,请参见步骤1:创建WAF日志分析仪表盘

背景信息

本实践提供了13个默认的告警配置范例,具体请参见WAF日志图表及告警配置参考。建议您先参见步骤2:配置日志图表熟悉图表配置步骤,再参见范例添加图表并在添加图表的过程中直接配置告警和通知方式。

操作步骤

  1. 进入自定义的Web应用防火墙日志分析仪表盘。
  2. 在仪表盘右上角,选择告警列表 > 新建新建告警
  3. 创建告警侧边页,完成以下告警配置,并单击下一步
    创建告警
    配置项 说明
    告警名称 告警的名称。名称长度为1~64个字符。
    关联图表 设置告警中关联的图表。

    设置关联图表时,查询区间为服务端每次执行查询时,读取的数据时间范围,支持相对时间与整点时间。例如,执行时间点为14:30:06,设置查询区间为15分钟(相对),则查询区间为 14:15:06- 14:30:06;设置查询区间为15分钟(整点时间),则查询区间为:14:15:00- 14:30:00。

    需要添加多个图表时,只需单击添加并设置即可。最多支持关联三个图表。图表名称前的编号为该图表在告警中的编号,您可以在触发条件中通过编号指定关联的图表。

    频率 服务端每次执行告警检查的时间。
    说明 目前服务端只返回检查结果中的前100条数据。
    触发条件 判断告警是否触发的条件表达式,满足该条件时会根据执行间隔通知间隔发送告警通知。

    图表默认从0开始编号,在触发条件里用$0表示第一个图表。例如,您可以设置$0.domainnum>=10,表示第一个图表中domainnum字段值大于等于10时触发告警。

    多个条件之间使用&&连接,表示逻辑与的关系,即必须同时满足;使用||连接,表示逻辑或的关系,即满足其中一个即可。

    说明 更多告警条件表达式语法请参见告警条件表达式语法
    高级选项
    触发通知阈值 累计触发次数达到该阈值时根据通知间隔发送告警。不满足触发条件时不计入统计。

    默认触发通知阈值为1,即满足一次触发条件即可检查通知间隔

    通过配置触发通知阈值可以实现多次触发、一次通知。例如,配置触发通知阈值为100,则累计触发次数达到100次时检查通知间隔。如果同时满足触发通知阈值通知间隔,则发送通知。发送通知之后,累计次数会清零。如果因网络异常等原因执行检查失败,不计入累计次数。
    通知间隔 两次告警通知之间的时间间隔。

    如果某次执行满足了触发条件,而且累计的触发次数已经达到触发通知阈值,且距离上次发送通知已经达到了通知间隔,则发送通知。如设置通知间隔为5分钟,则5分钟内至多收到一次通知。默认无间隔。

    说明 通过配置触发通知阈值和通知间隔可以实现告警抑制的功能,防止收到过多的告警信息。
    说明 触发通知阈值通知间隔、检查频率三个条件配合使用,表示日志系统按照设置的检查频率去检查触发条件是否满足,并在通知间隔内达到触发通知阈值次数时推送告警信息。
  4. 创建告警侧边页,完成通知设置,并单击提交通知
    日志服务支持多种常用的告警通知方式,例如短信语音邮件WebHook+钉钉机器人等。您必须先在通知列表右侧选择要使用的通知方式,然后完成具体配置。支持选择并配置多种通知方式。告警通知配置
    • 短信告警:设置接收告警的手机号码发送内容。发送内容中可以指定告警字段。单击查看全部变量了解各字段的含义。短信
    • 语音告警:设置接收告警的手机号码发送内容语音
    • 邮件告警:设置接收告警的收件人邮箱地址、告警邮件的主题发送内容邮件
    • WebHook+钉钉机器人:设置接收告警的钉钉群机器人的webhook地址(请求地址)和发送内容钉钉机器人
  5. 重复步骤2~步骤4,创建更多的告警配置。