本文介绍了使用阿里云云监控服务对网站业务设置监控和报警通知的相关内容,具体包括业务可用性监控、攻击事件监控、业务指标监控。

背景信息

WAF已集成了阿里云云监控服务,支持对您的业务站点、接入WAF防护的网站域名上发生的攻击事件和访问请求指标进行实时监控并报警。

云监控(CloudMonitor)是一项针对阿里云资源和互联网应用进行监控的服务。云监控为您提供系统事件的报警功能。您可以通过设置报警规则,使云监控在检测到系统事件时,通过邮件、短信、钉钉等方式向指定联系人发送通知或设置报警回调,使您第一时间知晓严重事件并及时进行处理,形成线上自动化运维闭环。

支持监控的站点指标

云监控可以模拟真实用户访问的探测请求,监控全国各省市运营商网络终端用户到您服务站点的访问情况,及时发现异常。

站点监控支持监控的业务指标如下表所示。建议您在使用站点监控设置时,覆盖所有支持的指标。
监控指标 重要级别 功能 设置方法
ECS性能监控 重要 对ECS的CPU使用率、内存使用率、磁盘空间使用率、带宽使用率进行监控。 设置ECS实例报警
SLB性能监控 重要 对SLB连接数、带宽使用率、PPS进行监控。 设置负载均衡报警规则
OSS性能监控 重要 对OSS的系统基本运行状态、性能以及计量等方面的数据指标进行监控。 监控服务概览
HTTP/HTTPS 重要 对指定的URL和IP地址进行HTTP或HTTPS探测。 站点监控由云监控服务提供。由于站点监控功能不涉及与WAF相关的操作,您只需登录阿里云账号,即可参照以下帮助文档进行操作:
PING 重要 对指定的URL和IP地址进行ICMP ping网络质量探测。
TCP 重要 对指定的端口进行TCP存活探测。
UDP 按需 对指定的端口进行UDP存活探测。
DNS 按需 对指定的域名进行DNS探测。
POP3 按需 对指定的URL和IP地址进行POP3探测。
SMTP 按需 对指定的URL和IP地址进行SMTP探测。
FTP 按需 对指定的URL和IP地址进行FTP探测。

支持监控的攻击事件类型

云监控支持对接入WAF防护的网站域名上发生的Web攻击、CC攻击、扫描攻击、访问控制事件进行监控和报警。您可以根据事件的严重等级,设置以短信、邮件、钉钉等方式接收通知或设置报警回调。关于如何配置攻击事件监控和告警,请参见设置WAF攻击事件监控与告警
注意 攻击事件监控仅对已接入WAF防护的网站域名生效。您需要先完成网站接入,再配置相关的报警规则。关于网站接入的具体操作,请参见网站接入

支持监控的WAF报警事件如下表所示。

事件名称 含义 类型 状态取值 事件等级
waf_event_aclattack 访问控制事件 acl start、end CRITICAL
waf_event_ccattack CC攻击事件 cc start、end CRITICAL
waf_event_webattack Web攻击事件 web start、end CRITICAL
waf_event_webscan 防扫描事件 webscan start、end CRITICAL

支持监控的WAF业务指标

云监控支持对接入WAF防护的网站域名的系统请求数据指标设置异常监控和告警。支持自定义指标异常的判断方法,并设置通过短信、邮件、钉钉等接收通知或设置报警回调。关于如何配置WAF业务指标监控和报警,请参见设置WAF业务指标监控报警
注意 业务指标监控仅对已接入WAF防护的网站域名生效。您需要先完成网站接入,再配置相关的报警规则。关于网站接入的具体操作,请参见网站接入

支持监控的WAF监控类型如下表所示。

监控项 维度 单位 指标含义 备注
4XX占比 域名 % 每分钟4XX状态码的占比(不包含405) 报警信息以小数形式呈现
5XX占比 域名 % 每分钟5XX状态码的占比 报警信息以小数形式呈现
访问控制拦截量(5m) 域名 近5分钟内精准访问控制拦截量
访问控制拦截占比(5m) 域名 % 近5分钟内精准访问控制拦截占总请求量的占比 报警信息以小数形式呈现
CC防护拦截量(5m) 域名 近5分钟内CC安全防护拦截量
CC防护拦截占比(5m) 域名 % 近5分钟内CC安全防护拦截占总请求量的占比 报警信息以小数形式呈现
Web攻击拦截量(5m) 域名 近5分钟内Web应用攻击防护拦截量
Web攻击拦截占比(5m) 域名 % 近5分钟内Web应用攻击防护拦截占总请求量的占比 报警信息以小数形式呈现
QPS 域名 个/秒 QPS
QPS环比增长率 域名 % 每分钟QPS的环比增长率 报警信息以百分比形式呈现
QPS环比下降率 域名 % 每分钟QPS的环比下降率 报警信息以百分比形式呈现