设置DDoS原生防护（基础版和企业版）攻击事件报警

报警方式说明

配置消息中心报警（基础版、企业版实例）

当您的DDoS原生防护实例上发生DDoS攻击事件时，阿里云会向您设置的消息接收人发送相关通知。

1. 登录消息中心控制台。
2. 在基本接收管理页面设置邮箱或短信通知。
   1. 在左侧导航栏单击消息接收管理 > 基本接收管理。
   2. 在基本接收管理页面，选中安全消息下的云盾安全信息通知，并根据需要选择邮箱或短信。
   3. 在页面下方单击添加消息接收人，然后在修改消息接收人对话框，添加消息接收人，并单击保存。
3. 在语音接收管理页面设置语音报警通知。
   1. 在左侧导航栏，单击消息接收管理 > 语音接收管理。
   2. 在语音接收管理页面，为DDoS黑洞通知开启语音消息通知。
   3. 单击DDoS黑洞通知操作列下的修改，然后在修改消息接收人对话框，修改语音消息的消息接收人，并单击保存。

配置云监控报警（企业版实例）

当DDoS原生防护企业版实例上发生DDoS攻击事件（黑洞、清洗）时，阿里云将向报警通知联系人组中设置的联系人发送报警通知。

1. 登录云监控控制台。
2. 创建报警联系人。如果已有联系人，请跳过此步骤。
   1. 在左侧导航栏，选择报警服务 > 报警联系人。
   2. 在报警联系人页签单击新建联系人，然后在设置报警联系人面板，填写联系人信息并完成滑块验证后，单击确认。
3. 创建报警联系人组。如果已有联系人组，请跳过此步骤。
   说明 报警通知的接收对象必须是联系人组，您可以在联系人组中添加一个或多个联系人。
   1. 在左侧导航栏，选择报警服务 > 报警联系人。
   2. 在报警联系组页签单击新建联系组，然后在新建联系组面板，填写相关信息并选择联系人后，单击确认。
4. 在左侧导航栏，选择事件监控 > 系统事件。
5. 在事件报警规则页签，单击创建报警规则。
6. 在创建/修改事件报警面板，完成报警配置，并单击确定。

   类型	配置项	说明
   基本信息	报警规则名称	自定义报警规则名称。
   事件报警规则	产品类型	选择DDoS原生防护。
   	事件类型	要通知的事件类型，可选项：DDoS攻击。
   	事件等级	选择要通知的事件等级。所有DDoS告警时间均为严重等级，该参数仅支持选择严重。
   	事件名称	选择要通知的事件。可选项：黑洞、清洗。
   	关键词过滤	在关键词文本框输入报警规则过滤的关键词，然后在条件下拉框选择过滤方式。取值： 满足包含上面任何一个关键词：当您的报警规则中包含任何一个关键词时，不发送报警通知。 满足不包含上面任何一个关键词：当您的报警规则中不包含任何一个关键词时，不发送报警通知。
   	SQL Filter	SQL过滤语句。
   	资源范围	事件报警规则作用的资源范围。选择全部资源。 全部资源：任何资源发生相关事件，都会按照配置发送通知。 应用分组：只有指定应用分组内的资源发生相关事件，才会发送通知。
   报警方式	联系人组	选择发送报警的联系人组。
   	报警通知	事件报警的级别和通知方式。取值： Critical（电话+短信+邮件+WebHook） Warning（短信+邮件+WebHook） Info（邮件+WebHook）
   	消息服务队列、函数计算、URL回调和日志服务	无需设置。
   	通道沉默周期	报警发生后未恢复正常，间隔多久重复发送一次报警通知。

日志分析服务报警（企业版实例）

DDoS原生防护提供防护日志功能，供您查询与分析DDoS原生防护实例的防护日志。您可以基于日志查询与分析结果，为您关注的数据指标自定义告警规则。

1. 登录流量安全产品控制台。
2. 在左侧导航栏，选择网络安全 > DDoS原生防护 > 防护日志。
3. 在顶部菜单栏左上角处，选择实例所在资源组和地域。
4. 按照页面提示开通SLS日志服务并完成RAM授权。如果您之前已完成开通和授权操作，请跳过本步骤。
5. 为实例开启防护日志功能。如果您之前已开启，请跳过本步骤。
   1. 在防护日志页面，选择目标实例，单击立即升级。
   2. 在变配页面设置防护日志为开启，仔细阅读并勾选服务协议。
   3. 单击立即购买后，单击订购为实例开启防护日志功能。
6. 为实例创建日志告警监控。
   1. 在防护日志页面，选择目标实例，单击页面右上角的另存为告警。
   2. 单击新版告警，并在告警监控规则页签完成配置项设置。

      配置项	说明
      规则名称	自定义告警监控规则名称。
      检查频率	根据您配置的频率对查询和分析结果进行检查。 每小时：每小时检查一次查询和分析结果。 每天：在每天的某个固定时间点检查一次查询和分析结果。 每周：在周几的某个固定时间点检查一次查询和分析结果。 固定间隔：按照固定间隔检查查询和分析结果。 Cron：通过Cron表达式指定时间间隔，按照该指定的时间间隔检查查询和分析结果。Cron表达式的最小精度为分钟，24小时制，例如0 0/1 * * *表示从00:00开始，每隔1小时检查一次。
      查询统计	单击输入框，在查询统计对话框中，设置查询和分析语句。 关联报表：选择DDoS原生防护事件报表或DDoS原生清洗分析报表。 高级配置：无需修改，默认选择日志库。
      分组评估	日志服务支持对查询和分析结果进行分组。更多信息，请参见分组评估。 不分组：在每个检查周期内，满足触发条件时，只产生一条告警。 标签自定义：日志服务根据您配置的字段对查询和分析结果进行分组。分组后，每个组单独评估触发条件。在每个检查周期内，查询和分析结果满足触发条件时，各个分组各自产生一条告警。
      触发条件	告警的触发条件及严重度。 触发条件： 有数据：当查询和分析结果中存在数据时，触发告警。 有特定条数据：当查询和分析结果中存在N条数据时，触发告警。 有数据匹配：当查询和分析结果中存在数据满足告警表达式时，触发告警。 有特定条数据匹配：当查询和分析结果中存在N条数据满足告警表达式时，触发告警。 严重度：您可以将某一规则产生的告警设置为同一严重度，也可以将同一规则满足不同条件时，单击添加设置为不同的严重度。
      添加标签	日志服务允许您给产生的告警添加标识性属性，键值对格式。主要用于告警降噪控制和告警通知控制，即您在创建告警策略或行动策略时，可添加关于标签的判断条件。更多信息，请参见标签和标注。
      添加标注	日志服务允许您给产生的告警添加非标识性属性，键值对格式。主要用于告警降噪控制和告警通知控制，即您在创建告警策略或行动策略时，可添加关于标注的判断条件。更多信息，请参见标签和标注。 您还可以打开自动添加标注开关，系统自动在告警中添加__count__等信息。更多信息，请参见自动标注。
      恢复通知	打开恢复通知开关后，告警恢复时，触发一条恢复告警。其严重度与触发的告警保持一致。
      高级配置	连续触发阈值：当累计的触发次数达到该值时，产生一条告警。不满足触发条件时不计入统计。 无数据告警：开关开启后，如果查询和分析的结果（有多个时，进行集合操作后的结果）为无数据的次数超过连续触发阈值，则产生一条告警。更多信息，请参见无数据告警。
      告警策略	告警策略用于合并、静默和抑制已产生的告警。 选择极简模式和普通模式时，您无需配置告警策略。日志服务默认使用SLS内置动态告警策略（sls.builtin.dynamic）进行告警管理。 选择高级模式时，您可以选择内置的或自定义的告警策略进行告警管理。如何创建告警策略，请参见创建告警策略。
      行动组	将告警集合按配置，通过各个渠道在发送时间符合时，以内容模板发送给接收人。 当告警策略选择极简模式时，您需要配置 仅当告警策略选择极简模式时需要配置该参数。 您也可以打开开启智能合并开关，用于将重复、冗余、相关联的告警合并为一组，每个分组中的告警在一段时间内只会通知一次，达到告警降噪的效果。更多信息，请参见告警智能分组合并。
      行动策略	行动策略用于控制告警通知渠道和频率等。 当告警策略选择为普通模式或高级模式时，您可以选择内置的或自定义的行动策略进行告警通知。如何创建行动策略，请参见创建行动策略。 其中，告警策略选择为高级模式时，还可以开启或关闭自定义行动策略。更多信息，请参见动态行动策略机制。
      重复等待	在重复等待时间内，重复的告警只触发一次行动策略，即只发送一次告警通知。