设置DDoS基础防护和原生防护攻击事件报警

通过事件报警您能够获知业务遭受的DDoS攻击事件,及时发现并修复问题,缩短故障处理时间,以便尽快恢复业务。本文介绍如何设置DDoS基础防护和原生防护攻击事件的报警通知。

报警方式说明

阿里云DDoS原生防护提供消息中心报警、云监控报警和日志分析服务报警,您可以通过多个维度对比选择合适的报警方案。

对比项

消息中心报警

云监控报警

日志分析服务报警

支持的产品类型

DDoS基础防护

DDoS原生防护

DDoS原生防护

DDoS原生防护

使用场景

通用告警,仅需要知晓被攻击。

通用告警,仅需要知晓

被攻击。

通用告警,通过简单过滤条件,过滤需要通知的重点事件。

企业级告警,支持自定义组合条件、报警方式、通知方式、通知内容,并基于过滤条件生成统计报表。

配置复杂度

简易

简易

适中

复杂

灵活性

支持在事件开始、结束时告警。

支持在事件开始、结束时告警。

支持在事件开始、结束时按过滤的重点事件告警。

支持在事件开始、结束时告警,按流量阈值告警,多种条件组合告警。

通知方式

  • 短信

  • 邮件

  • 语音(仅在IP进入黑洞时支持)

  • Webhook

  • 站内信

  • 短信

  • 邮件

  • 语音(仅在IP进入黑洞时支持)

  • Webhook

  • 短信

  • 邮件

  • 语音

  • Webhook

  • 短信

  • 邮件

  • 语音

  • Webhook

可靠性与实时性

不完全保证可靠性与实时性,可能在系统并发请求极高时消息限流。

重要

建议您自建流量监控体系。比如针对IP地址,进行流量监控(突增突降)或者外部探测可用性用于辅助判断。

可靠性较高,告警时差一般为5分钟以内。

可靠性较高,告警时差为5~10分钟。

可靠性较高,告警时差为5~10分钟。

配置消息中心报警(DDoS基础防护、DDoS原生防护)

消息中心是阿里云账号提供的消息通知服务,支持配置与阿里云服务相关的各类消息通知。

  1. 登录消息中心控制台

  2. 设置报警通知。image

    通知方式

    配置说明

    站内信、短信、邮件

    1. 在左侧导航栏,单击消息接收管理 > 基本接收管理

    2. 选中安全消息下的云盾安全信息通知,根据需要勾选站内信短信邮件

    3. 单击修改,修改消息接收人。

    语音(仅在IP进入黑洞时支持)

    1. 在左侧导航栏,单击消息接收管理 > 语音接收管理

    2. 选中安全消息下的DDoS黑洞通知,开启语音消息通知。

    3. 您可以在操作列,单击修改,修改消息接收人。

    Webhook

    1. 在左侧导航栏,单击消息接收管理 > 机器人接收管理

    2. 安全消息下找到云盾安全信息通知,单击修改,增加或删除机器人。

配置云监控报警(DDoS原生防护)

云监控 (CloudMonitor)是一项针对阿里云资源和互联网应用进行监控的服务。云监控支持监控DDoS原生防护实例上的黑洞事件和清洗事件,事件发生时,阿里云将向报警通知联系人组中设置的联系人发送报警通知。

  1. 登录云监控控制台
  2. 创建您要接收通知的报警联系人组。

    1. 创建报警联系人。如果已有联系人,请跳过此步骤。

      1. 在左侧导航栏,选择报警服务 > 报警联系人

      2. 报警联系人页签单击创建联系人,然后在设置报警联系人面板,填写联系人信息并完成滑块验证后,单击确认

    2. 创建报警联系人组。如果已有联系人组,请跳过此步骤。

      说明

      报警通知的接收对象必须是联系人组,您可以在联系人组中添加一个或多个联系人。

      1. 在左侧导航栏,选择报警服务 > 报警联系人

      2. 报警联系组页签单击新建联系人组,然后在新建联系组面板,填写相关信息并选择联系人后,单击确认

  3. 在左侧导航栏,选择事件中心 > 事件订阅,单击创建订阅策略,单击提交完成报警配置。

    区域

    配置项

    说明

    基本信息

    名称

    订阅策略的名称。

    描述

    订阅策略的描述信息。

    报警订阅

    订阅类型

    选择系统事件

    产品

    选择DDoS原生防护

    事件类型

    选择DDoS攻击

    事件名称

    选择要通知的事件。可选项:黑洞清洗

    事件等级

    选择要通知的事件等级。所有DDoS告警事件均为严重等级,该参数仅支持选择严重(Critical)

    应用分组

    只有指定应用分组内的资源发生相关事件,才会发送通知。

    事件内容

    上报的事件中包含该内容才会上报告警。

    事件资源

    上报的事件中包含该资源才会上报告警。

    合并降噪

    合并内容

    订阅类型订阅范围中选择合并维度。

    降噪

    降低报警通知的频率。请根据需要设置。

    通知

    通知配置

    当系统事件或阈值事件达到报警条件后,直接通知报警联系人或根据报警级别通知不同的报警联系人。

    您可以选择已有通知配置,也可以单击创建通知配置,新创建一个通知配置。

    关于如何设置通知配置策略的相关参数,请参见管理通知配置

    自定义通知方式

    自定义报警通知方式。

    单击某种通知方式后面的修改,修改通知模板报警级别

    推送与集成

    推送渠道

    报警通知的推送渠道。创建推送渠道的具体操作如下:

    1. 单击创建新推送

    2. 选择已有推送渠道,或单击添加渠道,新创建一个推送渠道。

      关于如何设置推送渠道的相关参数,请参见管理推送渠道

日志分析服务报警(DDoS原生防护)

您为DDoS原生防护开启防护日志后,即可使DDoS原生防护采集防护对象的业务流量及防护日志,供您进行查询与分析。您可以在查询与分析日志的基础上,通过条件组合等方式对需要关注的业务指标自定义报警规则,使DDoS原生防护在业务指标异常时,及时向您发送报警。

  1. 登录流量安全产品控制台

  2. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护日志

  3. 在顶部菜单栏左上角处,选择实例所在资源组和地域。

    • 原生防护1.0(包年包月)实例:请选择实例所在地域。

    • 原生防护2.0(包年包月)实例、原生防护2.0(后付费)实例:请选择全球。

  4. 按照页面提示开通SLS日志服务并完成RAM授权。如果您之前已完成开通和授权操作,请跳过本步骤。

  5. 为实例开启防护日志功能。如果您之前已开启,请跳过本步骤。

    1. 防护日志页面,选择目标实例,单击立即升级

    2. 变配页面设置防护日志开启,仔细阅读并勾选服务协议

    3. 单击立即购买后,单击订购为实例开启防护日志功能。

  6. 为实例创建日志告警监控。

    1. 防护日志页面,选择目标实例,单击页面右上角image图标。

    2. 单击新版告警,并在告警监控规则页签完成配置项设置。

      配置项

      说明

      规则名称

      自定义告警监控规则名称。

      检查频率

      根据您配置的频率对查询和分析结果进行检查。

      • 每小时:每小时检查一次查询和分析结果。

      • 每天:在每天的某个固定时间点检查一次查询和分析结果。

      • 每周:在周几的某个固定时间点检查一次查询和分析结果。

      • 固定间隔:按照固定间隔检查查询和分析结果。

      • Cron:通过Cron表达式指定时间间隔,按照该指定的时间间隔检查查询和分析结果。Cron表达式的最小精度为分钟,24小时制,例如0 0/1 * * *表示从00:00开始,每隔1小时检查一次。

      查询统计

      单击输入框,在查询统计对话框中,设置查询和分析语句。

      • 关联报表:选择DDoS原生防护事件报表DDoS原生清洗分析报表

      • 高级配置:无需修改,默认选择日志库

      分组评估

      日志服务支持对查询和分析结果进行分组。更多信息,请参见设置分组评估

      • 不分组:在每个检查周期内,满足触发条件时,只产生一条告警。

      • 标签自定义:日志服务根据您配置的字段对查询和分析结果进行分组。分组后,每个组单独评估触发条件。在每个检查周期内,查询和分析结果满足触发条件时,各个分组各自产生一条告警。

      触发条件

      告警的触发条件及严重度。

      • 触发条件

        • 有数据:当查询和分析结果中存在数据时,触发告警。

        • 有特定条数据:当查询和分析结果中存在N条数据时,触发告警。

        • 有数据匹配:当查询和分析结果中存在数据满足告警表达式时,触发告警。

        • 有特定条数据匹配:当查询和分析结果中存在N条数据满足告警表达式时,触发告警。

      • 严重度:您可以将某一规则产生的告警设置为同一严重度,也可以将同一规则满足不同条件时,单击添加设置为不同的严重度。

      添加标签

      日志服务允许您给产生的告警添加标识性属性,键值对格式。主要用于告警降噪控制和告警通知控制,即您在创建告警策略或行动策略时,可添加关于标签的判断条件。更多信息,请参见添加标签和标注

      添加标注

      日志服务允许您给产生的告警添加非标识性属性,键值对格式。主要用于告警降噪控制和告警通知控制,即您在创建告警策略或行动策略时,可添加关于标注的判断条件。更多信息,请参见添加标签和标注

      您还可以打开自动添加标注开关,系统自动在告警中添加__count__等信息。更多信息,请参见自动标注

      恢复通知

      打开恢复通知开关后,告警恢复时,触发一条恢复告警。其严重度与触发的告警保持一致。

      高级配置

      • 连续触发阈值:当累计的触发次数达到该值时,产生一条告警。不满足触发条件时不计入统计。

      • 无数据告警:开关开启后,如果查询和分析的结果(有多个时,进行集合操作后的结果)为无数据的次数超过连续触发阈值,则产生一条告警。更多信息,请参见无数据告警

      输出目标

      输出目标用于配置告警事件的输出位置,可以配置一个或多个输出目标。本文以SLS通知为例。

      • 事件库:将告警事件写入到EventStore。

      • 云监控事件中心:将告警事件写入到云监控系统事件中心,通过云监控对告警进行管理和通知。

      • SLS通知:将告警事件输出到SLS的通知服务,通过告警策略、行动策略等对告警进行管理和通知。

      告警策略

      告警策略用于合并、静默和抑制已产生的告警。

      • 选择极简模式普通模式时,您无需配置告警策略。日志服务默认使用SLS内置动态告警策略(sls.builtin.dynamic)进行告警管理。

      • 选择高级模式时,您可以选择内置的或自定义的告警策略进行告警管理。如何创建告警策略,请参见创建告警策略

      行动组

      仅当告警策略选择极简模式时需要配置该参数。

      您配置行动组后,日志服务自动为您创建一个名为规则名称-行动策略的行动策略。由该告警监控规则触发的所有告警都通过该行动策略发送通知。如何配置,请参见通知渠道说明

      重要

      您可以在行动策略管理页面,修改该行动策略。具体操作,请参见行动策略。如果您在修改行动策略时添加了判断条件,则此处的告警策略将自动变更为普通模式

      行动策略

      行动策略用于控制告警通知渠道和频率等。

      告警策略选择为普通模式高级模式时,您可以选择内置的或自定义的行动策略进行告警通知。如何创建行动策略,请参见行动策略

      其中,告警策略选择为高级模式时,还可以开启或关闭自定义行动策略。更多信息,请参见动态行动策略机制

      重复等待

      在重复等待时间内,重复的告警只触发一次行动策略,即只发送一次告警通知。