本文介绍SLB(阿里云负载均衡)流量安全的告警规则。通过设置并开启告警规则,可及时触发告警,有助于您快速发现SLB流量安全问题。

告警规则列表

负载均衡响应报文长度异常检测

告警ID sls_app_audit_dataflow_at_slb_resp_detc
告警名称 负载均衡响应报文长度异常检测
版本号 1
类别 云平台、阿里云、流量安全、SLB流量安全
作用 检测负载均衡(SLB)响应报文长度异常。响应报文长度的异常点个数大于等于规则参数异常点个数的阈值时,会触发告警。
执行频率 固定时间间隔:4小时
查询范围 过去4小时
参数配置
  • 告警名称:告警实例的名称,默认为负载均衡响应报文长度异常检测。您可以根据不同监控对象,命名不同的告警名称便于识别。
  • 严重度:严重、高、中、低、报告。默认值为高。
  • 异常点个数的阈值:每分钟统计一个平均的响应报文长度,4小时内响应报文长度的异常点个数的最大值。默认值为10。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • SLB实例名称:待监控的SLB实例名称(支持正则表达式)。默认值.*,表示监控您操作账号绑定的所有SLB实例。
外部配置
消除方法 检查响应报文长度异常点过多的负载均衡实例是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开SLB 7层访问日志的开关。

负载均衡请求报文长度异常检测

告警ID sls_app_audit_dataflow_at_slb_req_detc
告警名称 负载均衡请求报文长度异常检测
版本号 1
类别 云平台、阿里云、流量安全、SLB流量安全
作用 检测负载均衡(SLB)请求报文长度异常。请求报文长度的异常点个数大于等于规则参数异常点个数的阈值时,会触发告警。
执行频率 固定时间间隔:4小时
查询范围 过去4小时
参数配置
  • 告警名称:告警实例的名称,默认为负载均衡请求报文长度异常检测。您可以根据不同监控对象,命名不同的告警名称便于识别。
  • 严重度:严重、高、中、低、报告。默认值为高。
  • 异常点个数的阈值:每分钟统计一个平均的请求报文长度,4小时内请求报文长度的异常点个数的最大值。默认值为10。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • SLB实例名称:待监控的SLB实例名称(支持正则表达式)。默认值.*,表示监控您操作账号绑定的所有SLB实例。
外部配置
消除方法 检查请求报文长度异常点过多的负载均衡实例是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开SLB 7层访问日志的开关。

负载均衡平均响应延迟过高告警

告警ID sls_app_audit_dataflow_at_slb_latency
告警名称 负载均衡平均响应延迟过高告警
版本号 1
类别 云平台、阿里云、流量安全、SLB流量安全
作用 检测负载均衡(SLB)实例平均响应延迟过高。负载均衡实例平均响应时长大于等于规则参数平均响应延迟阈值时,会触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置
  • 告警名称:告警实例的名称,默认为负载均衡平均响应延迟过高告警。您可以根据不同监控对象,命名不同的告警名称便于识别。
  • 严重度:严重、高、中、低、报告。默认值为高。
  • 平均响应延迟阈值:每2分钟内,负载均衡实例响应延迟的最大值。默认值为0.5秒。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • SLB实例名称:待监控的SLB实例名称(支持正则表达式)。默认值.*,表示监控您操作账号绑定的所有SLB实例。
外部配置
消除方法 检查平均响应延迟过高的负载均衡实例是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开SLB 7层访问日志的开关。

负载均衡HTTP访问协议开启告警

告警ID sls_app_audit_dataflow_at_slb_http
告警名称 负载均衡HTTP访问协议开启告警
版本号 1
类别 云平台、阿里云、流量安全、SLB流量安全
作用 检测负载均衡(SLB)是否通过HTTPS协议访问服务端。负载均衡通过HTTP协议访问服务端时,会触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 严重度:严重、高、中、低、报告。默认值为高。
外部配置 允许开启HTTP访问协议的负载均衡实例白名单。白名单中的负载均衡实例开启HTTP访问协议后,不会触发告警。
消除方法 禁止白名单以外的负载均衡实例开启HTTP访问协议。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开操作审计(ActionTrail)操作日志的开关。

负载均衡访问UV异常检测

告警ID sls_app_audit_dataflow_at_slb_uv_detc
告警名称 负载均衡访问UV异常检测
版本号 1
类别 云平台、阿里云、流量安全、SLB流量安全
作用 检测负载均衡(SLB)访问UV是否异常。负载均衡实例访问UV个数大于等于规则参数UV异常点个数的阈值时,会触发告警。
执行频率 固定时间间隔:4小时
查询范围 过去4小时
参数配置
  • 告警名称:告警实例的名称,默认为负载均衡访问UV异常检测。您可以根据不同监控对象,命名不同的告警名称便于识别。
  • 严重度:严重、高、中、低、报告。默认值为高。
  • UV异常点个数的阈值:每分钟统计1个UV值,每4小时内负载均衡访问UV异常的最大值。默认值为10。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • SLB实例名称:待监控的SLB实例名称(支持正则表达式)。默认值.*,表示监控您操作账号绑定的所有SLB实例。
外部配置
消除方法 检查UV异常点过多的负载均衡实例是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开SLB 7层访问日志的开关。

负载均衡访问PV异常检测

告警ID sls_app_audit_dataflow_at_slb_pv_detc
告警名称 负载均衡访问PV异常检测
版本号 1
类别 云平台、阿里云、流量安全、SLB流量安全
作用 检测负载均衡(SLB)访问PV是否异常。负载均衡实例访问PV个数大于等于规则参数PV异常点个数的阈值时,会触发告警。
执行频率 固定时间间隔:4小时
查询范围 过去4小时
参数配置
  • 告警名称:告警实例的名称,默认为负载均衡访问PV异常检测。您可以根据不同监控对象,命名不同的告警名称便于识别。
  • 严重度:严重、高、中、低、报告。默认值为高。
  • UV异常点个数的阈值:每分钟统计1个PV值,每4小时内负载均衡访问PV异常的最大值。默认值为10。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • SLB实例名称:待监控的SLB实例名称(支持正则表达式)。默认值.*,表示监控您操作账号绑定的所有SLB实例。
外部配置
消除方法 检查PV异常点过多的负载均衡实例是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开SLB 7层访问日志的开关。