设置DDoS基础防护和原生防护攻击事件报警

报警方式说明

配置消息中心报警（DDoS基础防护、DDoS原生防护）

消息中心是阿里云账号提供的消息通知服务，支持配置与阿里云服务相关的各类消息通知。

1. 登录消息中心控制台。

2. 设置报警通知。

   通知方式	配置说明
   站内信、短信、邮件	在左侧导航栏，单击消息接收管理 > 基本接收管理。 选中安全消息下的云盾安全信息通知，根据需要勾选站内信、短信或邮件。 单击修改，修改消息接收人。
   语音（仅在IP进入黑洞时支持）	在左侧导航栏，单击消息接收管理 > 语音接收管理。 选中安全消息下的DDoS黑洞通知，开启语音消息通知。 您可以在操作列，单击修改，修改消息接收人。
   Webhook	在左侧导航栏，单击消息接收管理 > 机器人接收管理。 在安全消息下找到云盾安全信息通知，单击修改，增加或删除机器人。

配置云监控报警（DDoS原生防护）

云监控 （CloudMonitor）是一项针对阿里云资源和互联网应用进行监控的服务。云监控支持监控DDoS原生防护实例上的黑洞事件和清洗事件，事件发生时，阿里云将向报警通知联系人组中设置的联系人发送报警通知。

1. 登录云监控控制台。

2. 创建您要接收通知的报警联系人组。

   1. 创建报警联系人。如果已有联系人，请跳过此步骤。

      1. 在左侧导航栏，选择报警服务 > 报警联系人。

      2. 在报警联系人页签单击创建联系人，然后在设置报警联系人面板，填写联系人信息并完成滑块验证后，单击确认。

   2. 创建报警联系人组。如果已有联系人组，请跳过此步骤。

      说明

      报警通知的接收对象必须是联系人组，您可以在联系人组中添加一个或多个联系人。

      1. 在左侧导航栏，选择报警服务 > 报警联系人。

      2. 在报警联系组页签单击新建联系人组，然后在新建联系组面板，填写相关信息并选择联系人后，单击确认。

3. 在左侧导航栏，选择事件中心 > 事件订阅，单击创建订阅策略，单击提交完成报警配置。

   区域	配置项	说明
   基本信息	名称	订阅策略的名称。
   	描述	订阅策略的描述信息。
   报警订阅	订阅类型	选择系统事件。
   	产品	选择DDoS原生防护。
   	事件类型	选择DDoS攻击。
   	事件名称	选择要通知的事件。可选项：黑洞、清洗。
   	事件等级	选择要通知的事件等级。所有DDoS告警事件均为严重等级，该参数仅支持选择严重（Critical）。
   	应用分组	只有指定应用分组内的资源发生相关事件，才会发送通知。
   	事件内容	上报的事件中包含该内容才会上报告警。
   	事件资源	上报的事件中包含该资源才会上报告警。
   合并降噪	合并内容	从订阅类型的订阅范围中选择合并维度。
   	降噪	降低报警通知的频率。请根据需要设置。
   通知	通知配置	当系统事件或阈值事件达到报警条件后，直接通知报警联系人或根据报警级别通知不同的报警联系人。 您可以选择已有通知配置，也可以单击创建通知配置，新创建一个通知配置。 关于如何设置通知配置策略的相关参数，请参见管理通知配置。
   	自定义通知方式	自定义报警通知方式。 单击某种通知方式后面的修改，修改通知模板和报警级别。
   推送与集成	推送渠道	报警通知的推送渠道。创建推送渠道的具体操作如下： 单击创建新推送。 选择已有推送渠道，或单击添加渠道，新创建一个推送渠道。 关于如何设置推送渠道的相关参数，请参见管理推送渠道。

日志分析服务报警（DDoS原生防护）

您为DDoS原生防护开启防护日志后，即可使DDoS原生防护采集防护对象的业务流量及防护日志，供您进行查询与分析。您可以在查询与分析日志的基础上，通过条件组合等方式对需要关注的业务指标自定义报警规则，使DDoS原生防护在业务指标异常时，及时向您发送报警。

1. 登录流量安全产品控制台。

2. 在左侧导航栏，选择网络安全 > DDoS原生防护 > 防护日志。

3. 在顶部菜单栏左上角处，选择实例所在资源组和地域。

   • 原生防护1.0（包年包月）实例：请选择实例所在地域。

   • 原生防护2.0（包年包月）实例、原生防护2.0（后付费）实例：请选择全球。

4. 按照页面提示开通SLS日志服务并完成RAM授权。如果您之前已完成开通和授权操作，请跳过本步骤。

5. 为实例开启防护日志功能。如果您之前已开启，请跳过本步骤。

   1. 在防护日志页面，选择目标实例，单击立即升级。

   2. 在变配页面设置防护日志为开启，仔细阅读并勾选服务协议。

   3. 单击立即购买后，单击订购为实例开启防护日志功能。

6. 为实例创建日志告警监控。

   1. 在防护日志页面，选择目标实例，单击页面右上角图标。

   2. 单击新版告警，并在告警监控规则页签完成配置项设置。

      配置项	说明
      规则名称	自定义告警监控规则名称。
      检查频率	根据您配置的频率对查询和分析结果进行检查。 每小时：每小时检查一次查询和分析结果。 每天：在每天的某个固定时间点检查一次查询和分析结果。 每周：在周几的某个固定时间点检查一次查询和分析结果。 固定间隔：按照固定间隔检查查询和分析结果。 Cron：通过Cron表达式指定时间间隔，按照该指定的时间间隔检查查询和分析结果。Cron表达式的最小精度为分钟，24小时制，例如0 0/1 * * *表示从00:00开始，每隔1小时检查一次。
      查询统计	单击输入框，在查询统计对话框中，设置查询和分析语句。 关联报表：选择DDoS原生防护事件报表或DDoS原生清洗分析报表。 高级配置：无需修改，默认选择日志库。
      分组评估	日志服务支持对查询和分析结果进行分组。更多信息，请参见设置分组评估。 不分组：在每个检查周期内，满足触发条件时，只产生一条告警。 标签自定义：日志服务根据您配置的字段对查询和分析结果进行分组。分组后，每个组单独评估触发条件。在每个检查周期内，查询和分析结果满足触发条件时，各个分组各自产生一条告警。
      触发条件	告警的触发条件及严重度。 触发条件： 有数据：当查询和分析结果中存在数据时，触发告警。 有特定条数据：当查询和分析结果中存在N条数据时，触发告警。 有数据匹配：当查询和分析结果中存在数据满足告警表达式时，触发告警。 有特定条数据匹配：当查询和分析结果中存在N条数据满足告警表达式时，触发告警。 严重度：您可以将某一规则产生的告警设置为同一严重度，也可以将同一规则满足不同条件时，单击添加设置为不同的严重度。
      添加标签	日志服务允许您给产生的告警添加标识性属性，键值对格式。主要用于告警降噪控制和告警通知控制，即您在创建告警策略或行动策略时，可添加关于标签的判断条件。更多信息，请参见添加标签和标注。
      添加标注	日志服务允许您给产生的告警添加非标识性属性，键值对格式。主要用于告警降噪控制和告警通知控制，即您在创建告警策略或行动策略时，可添加关于标注的判断条件。更多信息，请参见添加标签和标注。 您还可以打开自动添加标注开关，系统自动在告警中添加__count__等信息。更多信息，请参见自动标注。
      恢复通知	打开恢复通知开关后，告警恢复时，触发一条恢复告警。其严重度与触发的告警保持一致。
      高级配置	连续触发阈值：当累计的触发次数达到该值时，产生一条告警。不满足触发条件时不计入统计。 无数据告警：开关开启后，如果查询和分析的结果（有多个时，进行集合操作后的结果）为无数据的次数超过连续触发阈值，则产生一条告警。更多信息，请参见无数据告警。
      输出目标	输出目标用于配置告警事件的输出位置，可以配置一个或多个输出目标。本文以SLS通知为例。 事件库：将告警事件写入到EventStore。 云监控事件中心：将告警事件写入到云监控系统事件中心，通过云监控对告警进行管理和通知。 SLS通知：将告警事件输出到SLS的通知服务，通过告警策略、行动策略等对告警进行管理和通知。
      告警策略	告警策略用于合并、静默和抑制已产生的告警。 选择极简模式和普通模式时，您无需配置告警策略。日志服务默认使用SLS内置动态告警策略（sls.builtin.dynamic）进行告警管理。 选择高级模式时，您可以选择内置的或自定义的告警策略进行告警管理。如何创建告警策略，请参见创建告警策略。
      行动组	仅当告警策略选择极简模式时需要配置该参数。 您配置行动组后，日志服务自动为您创建一个名为规则名称-行动策略的行动策略。由该告警监控规则触发的所有告警都通过该行动策略发送通知。如何配置，请参见通知渠道说明。 重要 您可以在行动策略管理页面，修改该行动策略。具体操作，请参见行动策略。如果您在修改行动策略时添加了判断条件，则此处的告警策略将自动变更为普通模式。
      行动策略	行动策略用于控制告警通知渠道和频率等。 当告警策略选择为普通模式或高级模式时，您可以选择内置的或自定义的行动策略进行告警通知。如何创建行动策略，请参见行动策略。 其中，告警策略选择为高级模式时，还可以开启或关闭自定义行动策略。更多信息，请参见动态行动策略机制。
      重复等待	在重复等待时间内，重复的告警只触发一次行动策略，即只发送一次告警通知。