通过事件报警您能够获知业务遭受的DDoS攻击事件,及时发现并修复问题,缩短故障处理时间,以便尽快恢复业务。本文介绍如何设置DDoS基础防护和原生防护攻击事件的报警通知。
报警方式说明
阿里云DDoS原生防护提供消息中心报警、云监控报警和日志分析服务报警,您可以通过多个维度对比选择合适的报警方案。
对比项 | 消息中心报警 | 云监控报警 | 日志分析服务报警 | |
支持的产品类型 | DDoS基础防护 | DDoS原生防护 | DDoS原生防护 | DDoS原生防护 |
使用场景 | 通用告警,仅需要知晓被攻击。 | 通用告警,仅需要知晓 被攻击。 | 通用告警,通过简单过滤条件,过滤需要通知的重点事件。 | 企业级告警,支持自定义组合条件、报警方式、通知方式、通知内容,并基于过滤条件生成统计报表。 |
配置复杂度 | 简易 | 简易 | 适中 | 复杂 |
灵活性 | 低 支持在事件开始、结束时告警。 | 低 支持在事件开始、结束时告警。 | 中 支持在事件开始、结束时按过滤的重点事件告警。 | 高 支持在事件开始、结束时告警,按流量阈值告警,多种条件组合告警。 |
通知方式 |
|
|
|
|
可靠性与实时性 | 不完全保证可靠性与实时性,可能在系统并发请求极高时消息限流。 重要 建议您自建流量监控体系。比如针对IP地址,进行流量监控(突增突降)或者外部探测可用性用于辅助判断。 | 可靠性较高,告警时差一般为5分钟以内。 | 可靠性较高,告警时差为5~10分钟。 | 可靠性较高,告警时差为5~10分钟。 |
配置消息中心报警(DDoS基础防护、DDoS原生防护)
消息中心是阿里云账号提供的消息通知服务,支持配置与阿里云服务相关的各类消息通知。
登录消息中心控制台。
设置报警通知。
通知方式
配置说明
站内信、短信、邮件
在左侧导航栏,单击
。选中安全消息下的云盾安全信息通知,根据需要勾选站内信、短信或邮件。
单击修改,修改消息接收人。
语音(仅在IP进入黑洞时支持)
在左侧导航栏,单击
。选中安全消息下的DDoS黑洞通知,开启语音消息通知。
您可以在操作列,单击修改,修改消息接收人。
Webhook
在左侧导航栏,单击
。在安全消息下找到云盾安全信息通知,单击修改,增加或删除机器人。
配置云监控报警(DDoS原生防护)
云监控 (CloudMonitor)是一项针对阿里云资源和互联网应用进行监控的服务。云监控支持监控DDoS原生防护实例上的黑洞事件和清洗事件,事件发生时,阿里云将向报警通知联系人组中设置的联系人发送报警通知。
- 登录云监控控制台。
创建您要接收通知的报警联系人组。
创建报警联系人。如果已有联系人,请跳过此步骤。
在左侧导航栏,选择
。在报警联系人页签单击创建联系人,然后在设置报警联系人面板,填写联系人信息并完成滑块验证后,单击确认。
创建报警联系人组。如果已有联系人组,请跳过此步骤。
说明报警通知的接收对象必须是联系人组,您可以在联系人组中添加一个或多个联系人。
在左侧导航栏,选择
。在报警联系组页签单击新建联系人组,然后在新建联系组面板,填写相关信息并选择联系人后,单击确认。
在左侧导航栏,选择
,单击创建订阅策略,单击提交完成报警配置。区域
配置项
说明
基本信息
名称
订阅策略的名称。
描述
订阅策略的描述信息。
报警订阅
订阅类型
选择系统事件。
产品
选择DDoS原生防护。
事件类型
选择DDoS攻击。
事件名称
选择要通知的事件。可选项:黑洞、清洗。
事件等级
选择要通知的事件等级。所有DDoS告警事件均为严重等级,该参数仅支持选择严重(Critical)。
应用分组
只有指定应用分组内的资源发生相关事件,才会发送通知。
事件内容
上报的事件中包含该内容才会上报告警。
事件资源
上报的事件中包含该资源才会上报告警。
合并降噪
合并内容
从订阅类型的订阅范围中选择合并维度。
降噪
降低报警通知的频率。请根据需要设置。
通知
通知配置
当系统事件或阈值事件达到报警条件后,直接通知报警联系人或根据报警级别通知不同的报警联系人。
您可以选择已有通知配置,也可以单击创建通知配置,新创建一个通知配置。
关于如何设置通知配置策略的相关参数,请参见管理通知配置。
自定义通知方式
自定义报警通知方式。
单击某种通知方式后面的修改,修改通知模板和报警级别。
推送与集成
推送渠道
报警通知的推送渠道。创建推送渠道的具体操作如下:
单击创建新推送。
选择已有推送渠道,或单击添加渠道,新创建一个推送渠道。
关于如何设置推送渠道的相关参数,请参见管理推送渠道。
日志分析服务报警(DDoS原生防护)
您为DDoS原生防护开启防护日志后,即可使DDoS原生防护采集防护对象的业务流量及防护日志,供您进行查询与分析。您可以在查询与分析日志的基础上,通过条件组合等方式对需要关注的业务指标自定义报警规则,使DDoS原生防护在业务指标异常时,及时向您发送报警。
登录流量安全产品控制台。
在左侧导航栏,选择 。
在顶部菜单栏左上角处,选择实例所在资源组和地域。
原生防护1.0(包年包月)实例:请选择实例所在地域。
原生防护2.0(包年包月)实例、原生防护2.0(后付费)实例:请选择全球。
按照页面提示开通SLS日志服务并完成RAM授权。如果您之前已完成开通和授权操作,请跳过本步骤。
为实例开启防护日志功能。如果您之前已开启,请跳过本步骤。
在防护日志页面,选择目标实例,单击立即升级。
在变配页面设置防护日志为开启,仔细阅读并勾选服务协议。
单击立即购买后,单击订购为实例开启防护日志功能。
为实例创建日志告警监控。
在防护日志页面,选择目标实例,单击页面右上角
图标。
单击新版告警,并在告警监控规则页签完成配置项设置。
配置项
说明
规则名称
自定义告警监控规则名称。
检查频率
根据您配置的频率对查询和分析结果进行检查。
每小时:每小时检查一次查询和分析结果。
每天:在每天的某个固定时间点检查一次查询和分析结果。
每周:在周几的某个固定时间点检查一次查询和分析结果。
固定间隔:按照固定间隔检查查询和分析结果。
Cron:通过Cron表达式指定时间间隔,按照该指定的时间间隔检查查询和分析结果。Cron表达式的最小精度为分钟,24小时制,例如0 0/1 * * *表示从00:00开始,每隔1小时检查一次。
查询统计
单击输入框,在查询统计对话框中,设置查询和分析语句。
关联报表:选择DDoS原生防护事件报表或DDoS原生清洗分析报表。
高级配置:无需修改,默认选择日志库。
分组评估
日志服务支持对查询和分析结果进行分组。更多信息,请参见设置分组评估。
不分组:在每个检查周期内,满足触发条件时,只产生一条告警。
标签自定义:日志服务根据您配置的字段对查询和分析结果进行分组。分组后,每个组单独评估触发条件。在每个检查周期内,查询和分析结果满足触发条件时,各个分组各自产生一条告警。
触发条件
告警的触发条件及严重度。
触发条件:
有数据:当查询和分析结果中存在数据时,触发告警。
有特定条数据:当查询和分析结果中存在N条数据时,触发告警。
有数据匹配:当查询和分析结果中存在数据满足告警表达式时,触发告警。
有特定条数据匹配:当查询和分析结果中存在N条数据满足告警表达式时,触发告警。
严重度:您可以将某一规则产生的告警设置为同一严重度,也可以将同一规则满足不同条件时,单击添加设置为不同的严重度。
添加标签
日志服务允许您给产生的告警添加标识性属性,键值对格式。主要用于告警降噪控制和告警通知控制,即您在创建告警策略或行动策略时,可添加关于标签的判断条件。更多信息,请参见添加标签和标注。
添加标注
日志服务允许您给产生的告警添加非标识性属性,键值对格式。主要用于告警降噪控制和告警通知控制,即您在创建告警策略或行动策略时,可添加关于标注的判断条件。更多信息,请参见添加标签和标注。
您还可以打开自动添加标注开关,系统自动在告警中添加__count__等信息。更多信息,请参见自动标注。
恢复通知
打开恢复通知开关后,告警恢复时,触发一条恢复告警。其严重度与触发的告警保持一致。
高级配置
连续触发阈值:当累计的触发次数达到该值时,产生一条告警。不满足触发条件时不计入统计。
无数据告警:开关开启后,如果查询和分析的结果(有多个时,进行集合操作后的结果)为无数据的次数超过连续触发阈值,则产生一条告警。更多信息,请参见无数据告警。
输出目标
输出目标用于配置告警事件的输出位置,可以配置一个或多个输出目标。本文以SLS通知为例。
事件库:将告警事件写入到EventStore。
云监控事件中心:将告警事件写入到云监控系统事件中心,通过云监控对告警进行管理和通知。
SLS通知:将告警事件输出到SLS的通知服务,通过告警策略、行动策略等对告警进行管理和通知。
告警策略
告警策略用于合并、静默和抑制已产生的告警。
选择极简模式和普通模式时,您无需配置告警策略。日志服务默认使用SLS内置动态告警策略(sls.builtin.dynamic)进行告警管理。
选择高级模式时,您可以选择内置的或自定义的告警策略进行告警管理。如何创建告警策略,请参见创建告警策略。
行动组
仅当告警策略选择极简模式时需要配置该参数。
您配置行动组后,日志服务自动为您创建一个名为
规则名称-行动策略
的行动策略。由该告警监控规则触发的所有告警都通过该行动策略发送通知。如何配置,请参见通知渠道说明。重要您可以在行动策略管理页面,修改该行动策略。具体操作,请参见行动策略。如果您在修改行动策略时添加了判断条件,则此处的告警策略将自动变更为普通模式。
行动策略
行动策略用于控制告警通知渠道和频率等。
当告警策略选择为普通模式或高级模式时,您可以选择内置的或自定义的行动策略进行告警通知。如何创建行动策略,请参见行动策略。
其中,告警策略选择为高级模式时,还可以开启或关闭自定义行动策略。更多信息,请参见动态行动策略机制。
重复等待
在重复等待时间内,重复的告警只触发一次行动策略,即只发送一次告警通知。