本文介绍SLB(阿里云负载均衡)流量安全的告警规则。通过设置并开启告警规则,可及时触发告警,有助于您快速发现SLB流量安全问题。
告警规则列表
支持的告警规则列表如下所示。设置告警参数、设置白名单等相关操作,请参见管理告警规则。
负载均衡响应报文长度异常检测
告警ID | sls_app_audit_dataflow_at_slb_resp_detc |
告警名称 | 负载均衡响应报文长度异常检测 |
版本号 | 1 |
类别 | 云平台、阿里云、流量安全、SLB流量安全 |
作用 | 检测负载均衡(SLB)响应报文长度异常。响应报文长度的异常点个数大于等于规则参数异常点个数的阈值时,会触发告警。 |
执行频率 | 固定时间间隔:4小时 |
查询范围 | 过去4小时 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 检查响应报文长度异常点过多的负载均衡实例是否存在异常。 |
确保已在日志审计服务中的7层访问日志的开关。 | 中打开SLB
负载均衡请求报文长度异常检测
告警ID | sls_app_audit_dataflow_at_slb_req_detc |
告警名称 | 负载均衡请求报文长度异常检测 |
版本号 | 1 |
类别 | 云平台、阿里云、流量安全、SLB流量安全 |
作用 | 检测负载均衡(SLB)请求报文长度异常。请求报文长度的异常点个数大于等于规则参数异常点个数的阈值时,会触发告警。 |
执行频率 | 固定时间间隔:4小时 |
查询范围 | 过去4小时 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 检查请求报文长度异常点过多的负载均衡实例是否存在异常。 |
前提条件 | 确保已在日志审计服务中的7层访问日志的开关。 | 中打开SLB
负载均衡平均响应延迟过高告警
告警ID | sls_app_audit_dataflow_at_slb_latency |
告警名称 | 负载均衡平均响应延迟过高告警 |
版本号 | 1 |
类别 | 云平台、阿里云、流量安全、SLB流量安全 |
作用 | 检测负载均衡(SLB)实例平均响应延迟过高。负载均衡实例平均响应时长大于等于规则参数平均响应延迟阈值时,会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 检查平均响应延迟过高的负载均衡实例是否存在异常。 |
前提条件 | 确保已在日志审计服务中的7层访问日志的开关。 | 中打开SLB
负载均衡HTTP访问协议开启告警
告警ID | sls_app_audit_dataflow_at_slb_http |
告警名称 | 负载均衡HTTP访问协议开启告警 |
版本号 | 1 |
类别 | 云平台、阿里云、流量安全、SLB流量安全 |
作用 | 检测负载均衡(SLB)是否通过HTTPS协议访问服务端。负载均衡通过HTTP协议访问服务端时,会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 | 严重度:严重、高、中、低、报告。默认值为高。 |
外部配置 | 允许开启HTTP访问协议的负载均衡实例白名单。白名单中的负载均衡实例开启HTTP访问协议后,不会触发告警。 |
消除方法 | 禁止白名单以外的负载均衡实例开启HTTP访问协议。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)
负载均衡访问UV异常检测
告警ID | sls_app_audit_dataflow_at_slb_uv_detc |
告警名称 | 负载均衡访问UV异常检测 |
版本号 | 1 |
类别 | 云平台、阿里云、流量安全、SLB流量安全 |
作用 | 检测负载均衡(SLB)访问UV是否异常。负载均衡实例访问UV个数大于等于规则参数UV异常点个数的阈值时,会触发告警。 |
执行频率 | 固定时间间隔:4小时 |
查询范围 | 过去4小时 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 检查UV异常点过多的负载均衡实例是否存在异常。 |
前提条件 | 确保已在日志审计服务中的7层访问日志的开关。 | 中打开SLB
负载均衡访问PV异常检测
告警ID | sls_app_audit_dataflow_at_slb_pv_detc |
告警名称 | 负载均衡访问PV异常检测 |
版本号 | 1 |
类别 | 云平台、阿里云、流量安全、SLB流量安全 |
作用 | 检测负载均衡(SLB)访问PV是否异常。负载均衡实例访问PV个数大于等于规则参数PV异常点个数的阈值时,会触发告警。 |
执行频率 | 固定时间间隔:4小时 |
查询范围 | 过去4小时 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 检查PV异常点过多的负载均衡实例是否存在异常。 |
前提条件 | 确保已在日志审计服务中的7层访问日志的开关。 | 中打开SLB