通过为DDoS原生防护开启事件报警,您能够获知业务遭受的DDoS攻击事件,及时发现并修复问题,缩短故障处理时间,以便尽快恢复业务。本文介绍如何设置DDoS原生防护攻击事件的报警通知。

报警方式说明

阿里云DDoS原生防护提供消息中心报警、云监控报警和日志分析服务报警,您可以通过多个维度对比选择合适的报警方案。
对比项 消息中心报警 云监控报警 日志分析服务报警
支持的原生防护实例版本 基础版(DDoS基础防护) 企业版 企业版 企业版
使用场景 通用告警,仅需要知晓被攻击。 通用告警,仅需要知晓被攻击。 通用告警,通过简单过滤条件,过滤需要通知的重点事件。 企业级告警,支持自定义组合条件、报警方式、通知方式、通知内容,并基于过滤条件生成统计报表。
配置复杂度 简易 简易 适中 复杂
灵活性

支持在事件开始、结束时告警。

支持在事件开始、结束时告警。

支持在事件开始、结束时按过滤的重点事件告警。

支持在事件开始、结束时告警,按流量阈值告警,多种条件组合告警。

通知方式
  • 站内信
  • 短信
  • 邮件
  • 语音(仅在IP进入黑洞时支持)
  • 站内信
  • 短信
  • 邮件
  • 语音(仅在IP进入黑洞时支持)
  • 短信
  • 邮件
  • 语音
  • Webhook
  • 短信
  • 邮件
  • 语音
  • Webhook
可靠性与实时性 不完全保证可靠性与实时性,可能在系统并发请求极高时消息限流。
说明 建议您自建流量监控体系。比如针对IP地址,进行流量监控(徒增突降)或者外部探测可用性用于辅助判断。
可靠性较高,告警时差一般为5分钟以内。 可靠性较高,告警时差为5~10分钟。 可靠性较高,告警时差为5~10分钟。

配置消息中心报警(基础版、企业版实例)

当您的DDoS原生防护实例上发生DDoS攻击事件时,阿里云会向您设置的消息接收人发送相关通知。

  1. 登录消息中心控制台
  2. 基本接收管理页面设置站内信、邮箱或短信通知。
    1. 在左侧导航栏单击消息接收管理 > 基本接收管理
    2. 基本接收管理页面,选中安全消息下的云盾安全信息通知,并根据需要选择站内信(您可以单击消息图标查看站内消息)、邮箱短信
    3. 在页面下方单击添加消息接收人,然后在修改消息接收人对话框,添加消息接收人,并单击保存
  3. 语音接收管理页面设置语音报警通知。
    1. 在左侧导航栏,单击消息接收管理 > 语音接收管理
    2. 语音接收管理页面,为DDoS黑洞通知开启语音消息通知。
    3. 单击DDoS黑洞通知操作列下的修改,然后在修改消息接收人对话框,修改语音消息的消息接收人,并单击保存

配置云监控报警(企业版实例)

当DDoS原生防护企业版实例上发生DDoS攻击事件(黑洞、清洗)时,阿里云将向报警通知联系人组中设置的联系人发送报警通知。

  1. 登录云监控控制台
  2. 创建报警联系人。如果已有联系人,请跳过此步骤。
    1. 在左侧导航栏,选择报警服务 > 报警联系人
    2. 报警联系人页签单击新建联系人,然后在设置报警联系人面板,填写联系人信息并完成滑块验证后,单击确认
  3. 创建报警联系人组。如果已有联系人组,请跳过此步骤。
    说明 报警通知的接收对象必须是联系人组,您可以在联系人组中添加一个或多个联系人。
    1. 在左侧导航栏,选择报警服务 > 报警联系人
    2. 报警联系组页签单击新建联系组,然后在新建联系组面板,填写相关信息并选择联系人后,单击确认
  4. 在左侧导航栏,选择事件监控 > 系统事件
  5. 事件报警规则页签,单击创建报警规则
  6. 创建/修改事件报警面板,完成报警配置,并单击确定
    类型 配置项 说明
    基本信息 报警规则名称 自定义报警规则名称。
    事件报警规则 产品类型 选择DDoS原生防护
    事件类型 要通知的事件类型,可选项:DDoS攻击
    事件等级 选择要通知的事件等级。所有DDoS告警时间均为严重等级,该参数仅支持选择严重
    事件名称 选择要通知的事件。可选项:黑洞清洗
    关键词过滤 关键词文本框输入报警规则过滤的关键词,然后在条件下拉框选择过滤方式。取值:
    • 满足包含上面任何一个关键词:当您的报警规则中包含任何一个关键词时,不发送报警通知。
    • 满足不包含上面任何一个关键词:当您的报警规则中不包含任何一个关键词时,不发送报警通知。
    SQL Filter SQL过滤语句。
    资源范围 事件报警规则作用的资源范围。选择全部资源
    • 全部资源:任何资源发生相关事件,都会按照配置发送通知。
    • 应用分组:只有指定应用分组内的资源发生相关事件,才会发送通知。
    报警方式 联系人组 选择发送报警的联系人组。
    报警通知 事件报警的级别和通知方式。取值:
    • Critical(电话+短信+邮件+WebHook)
    • Warning(短信+邮件+WebHook)
    • Info(邮件+WebHook)
    消息服务队列函数计算URL回调日志服务 无需设置。
    通道沉默周期 报警发生后未恢复正常,间隔多久重复发送一次报警通知。

日志分析服务报警(企业版实例)

DDoS原生防护提供防护日志功能,供您查询与分析DDoS原生防护实例的防护日志。您可以基于日志查询与分析结果,为您关注的数据指标自定义告警规则。

  1. 登录流量安全产品控制台
  2. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护日志
  3. 在顶部菜单栏左上角处,选择实例所在资源组和地域。
  4. 按照页面提示开通SLS日志服务并完成RAM授权。如果您之前已完成开通和授权操作,请跳过本步骤。
  5. 为实例开启防护日志功能。如果您之前已开启,请跳过本步骤。
    1. 防护日志页面,选择目标实例,单击立即升级
    2. 变配页面设置防护日志开启,仔细阅读并勾选服务协议
    3. 单击立即购买后,单击订购为实例开启防护日志功能。
  6. 为实例创建日志告警监控。
    1. 防护日志页面,选择目标实例,单击页面右上角的另存为告警
    2. 单击新版告警,并在告警监控规则页签完成配置项设置。
      配置项 说明
      规则名称 自定义告警监控规则名称。
      检查频率 根据您配置的频率对查询和分析结果进行检查。
      • 每小时:每小时检查一次查询和分析结果。
      • 每天:在每天的某个固定时间点检查一次查询和分析结果。
      • 每周:在周几的某个固定时间点检查一次查询和分析结果。
      • 固定间隔:按照固定间隔检查查询和分析结果。
      • Cron:通过Cron表达式指定时间间隔,按照该指定的时间间隔检查查询和分析结果。Cron表达式的最小精度为分钟,24小时制,例如0 0/1 * * *表示从00:00开始,每隔1小时检查一次。
      查询统计 单击输入框,在查询统计对话框中,设置查询和分析语句。
      • 关联报表:选择DDoS原生防护事件报表DDoS原生清洗分析报表
      • 高级配置:无需修改,默认选择日志库
      分组评估 日志服务支持对查询和分析结果进行分组。更多信息,请参见分组评估
      • 不分组:在每个检查周期内,满足触发条件时,只产生一条告警。
      • 标签自定义:日志服务根据您配置的字段对查询和分析结果进行分组。分组后,每个组单独评估触发条件。在每个检查周期内,查询和分析结果满足触发条件时,各个分组各自产生一条告警。
      触发条件 告警的触发条件及严重度。
      • 触发条件
        • 有数据:当查询和分析结果中存在数据时,触发告警。
        • 有特定条数据:当查询和分析结果中存在N条数据时,触发告警。
        • 有数据匹配:当查询和分析结果中存在数据满足告警表达式时,触发告警。
        • 有特定条数据匹配:当查询和分析结果中存在N条数据满足告警表达式时,触发告警。
      • 严重度:您可以将某一规则产生的告警设置为同一严重度,也可以将同一规则满足不同条件时,单击添加设置为不同的严重度。
      添加标签 日志服务允许您给产生的告警添加标识性属性,键值对格式。主要用于告警降噪控制和告警通知控制,即您在创建告警策略或行动策略时,可添加关于标签的判断条件。更多信息,请参见标签和标注
      添加标注 日志服务允许您给产生的告警添加非标识性属性,键值对格式。主要用于告警降噪控制和告警通知控制,即您在创建告警策略或行动策略时,可添加关于标注的判断条件。更多信息,请参见标签和标注

      您还可以打开自动添加标注开关,系统自动在告警中添加__count__等信息。更多信息,请参见自动标注

      恢复通知 打开恢复通知开关后,告警恢复时,触发一条恢复告警。其严重度与触发的告警保持一致。
      高级配置
      • 连续触发阈值:当累计的触发次数达到该值时,产生一条告警。不满足触发条件时不计入统计。
      • 无数据告警:开关开启后,如果查询和分析的结果(有多个时,进行集合操作后的结果)为无数据的次数超过连续触发阈值,则产生一条告警。更多信息,请参见无数据告警
      告警策略 告警策略用于合并、静默和抑制已产生的告警。
      • 选择极简模式普通模式时,您无需配置告警策略。日志服务默认使用SLS内置动态告警策略(sls.builtin.dynamic)进行告警管理。
      • 选择高级模式时,您可以选择内置的或自定义的告警策略进行告警管理。如何创建告警策略,请参见创建告警策略
      行动组 将告警集合按配置,通过各个渠道在发送时间符合时,以内容模板发送给接收人。

      告警策略选择极简模式时,您需要配置

      仅当告警策略选择极简模式时需要配置该参数。

      您也可以打开开启智能合并开关,用于将重复、冗余、相关联的告警合并为一组,每个分组中的告警在一段时间内只会通知一次,达到告警降噪的效果。更多信息,请参见告警智能分组合并

      行动策略 行动策略用于控制告警通知渠道和频率等。

      告警策略选择为普通模式高级模式时,您可以选择内置的或自定义的行动策略进行告警通知。如何创建行动策略,请参见创建行动策略

      其中,告警策略选择为高级模式时,还可以开启或关闭自定义行动策略。更多信息,请参见动态行动策略机制

      重复等待 在重复等待时间内,重复的告警只触发一次行动策略,即只发送一次告警通知。