配置云监控通知

前提条件

已在接入管理页面完成Web业务接入。

创建报警联系人和报警联系人组

1. 登录云监控控制台。

2. 在左侧导航栏，选择报警服务 > 报警联系人。

3. 创建报警联系人。

   1. 在报警联系人页签，单击创建联系人。

   2. 在设置报警联系人面板，设置报警联系人的相关参数。

      设置参数	说明
      姓名	报警联系人的姓名，请以中英文字符开始，且长度大于2位，小于40位，由中文、英文字母、数字、".”、下划线组成。
      报警通知服务的区域	报警通知服务提供的数据（如姓名、电子邮件地址）将在所选区域存储和处理。
      手机	仅国际电话区号为86的手机号码支持短信报警。
      邮箱	设置报警联系邮箱地址
      描述	自定义描述信息。
      钉钉 | 飞书 | 企微 | Slack Webhook(http|https)	自定义设置Webhook地址，以http:// 或 https:// 开头。 说明 当您需要测试Webhook地址的连通性时，可以单击Webhook地址正后方的测试。 在WebHook测试面板，您可以通过Webhook返回的状态码和测试结果详情对Webhook地址的连通性进行判断和排查。 您还可以设置Webhook的回调模板类型和语言，再次单击测试，获取对应的测试结果详情。
      报警通知信息语言	默认为自动，表示云监控根据当前阿里云账号注册时的语言，自动适配报警通知信息的语言。

   3. 信息验证无误后，单击确认。

4. 创建报警联系组。

   1. 在报警联系组页签，单击新建联系人组。

   2. 在新建联系人组面板，填写报警联系组的组名，并选择报警联系人后，单击确认。

5. 批量添加报警联系人到报警联系组。

   1. 在报警联系人页签，选中要添加到报警联系组的报警联系人，单击添加到报警联系组。

   2. 在添加到报警联系组对话框，单击目标报警联系组，单击确定。

   创建报警联系人、创建报警联系组、批量添加报警联系人到报警联系组后，您配置的WAF监控和告警信息会发送给告警联系人。告警联系人需及时查看告警通知信息，并对告警进行相应的处理。

设置WAF安全事件的监控与告警

1. 在左侧导航栏，选择事件中心 > 事件订阅。

2. 在订阅策略页签，单击创建订阅策略。

3. 在创建订阅策略页面，设置如下信息。

   区域	参数	说明
   基本信息	名称	订阅策略的名称。
   	描述	订阅策略的描述信息。
   报警订阅	订阅类型	报警订阅的类型。选择系统事件，并在订阅范围区域，完成如下配置。 产品：选择Web应用防火墙。 事件类型：取值：Attack、Exceed、事件。 事件名称：下拉列表中，不带V3后缀的事件为WAF 2.0支持监控的事件，带V3后缀的事件为WAF 3.0支持监控的事件。 事件等级：WAF 3.0的事件等级均为严重。 其余未提及的参数保持默认值即可，详细信息请参见管理事件订阅（推荐）。
   合并降噪	合并内容	从订阅类型的订阅范围中选择合并维度。
   	降噪	降低报警通知的频率。包括以下三种： 条件触发，触发后抑制通知：表示某段时间（默认5分钟）内连续触发几次（默认5次）通知后，进入某段时间（默认5分钟）的沉默期，沉默期内不再重复通知，沉默期结束后重复此流程。 直接触发，触发后抑制通知：表示触发报警后直接通知，通知后进入某段时间（默认5分钟）的沉默期，沉默期不再重复通知，沉默期结束后重复此流程。 直接触发，不抑制（使用系统默认的防风暴设定）：表示触发报警后，直接发送通知。 说明 默认防风暴设定规则如下： 短信：2分钟5条。 电话：2分钟3通。 邮件：5分钟最多50封。
   通知	通知配置	单击下拉列表的创建通知配置，新创建一个通知配置，选择上一步创建的报警联系组。 名称：通知配置的名称。 通知设置： 直接设置通知组：直接选择报警通知组。 按照严重级别设置通知组：按照报警级别严重（Critical）、告警（Warn）、通知（Info）和恢复选择报警通知组。
   	自定义通知方式	自定义报警通知方式。 单击某种通知方式后面的修改，修改通知模板和报警级别。
   推送与集成	推送渠道	报警通知的推送渠道。创建推送渠道的具体操作如下： 单击创建新推送。 选择已有推送渠道，或单击添加渠道，新创建一个推送渠道。 关于如何设置推送渠道的相关参数，请参见通知推送渠道参数说明。

设置WAF业务指标的监控与告警

1. 登录云监控控制台。

2. 在左侧导航栏，选择报警服务 > 报警规则。

3. 在报警规则页面，单击创建报警规则。

4. 在创建报警规则面板完成如下配置后，单击确认。

   参数	说明
   产品	云监控可管理的云产品名称，选择Web应用防火墙3.0。
   资源范围	报警规则作用的资源范围。取值： 全部资源：报警规则作用于WAF 3.0的全部资源上。 应用分组：报警规则作用于WAF 3.0的指定应用分组内的全部资源上。 实例：报警规则作用于WAF 3.0的指定资源上。
   规则描述	报警规则的主体。当监控数据满足报警条件时，触发报警规则。规则描述的设置方法如下： 单击添加规则。 在设置规则描述面板，设置规则名称、监控指标类型、监控指标、阈值、报警级别和报警方式等，单击确定。 说明 关于WAF 3.0支持监控的业务指标，请参见支持监控的业务指标。
   通道沉默周期	报警发生后未恢复正常，间隔多久重复发送一次报警通知。取值：1分钟、5分钟、15分钟、30分钟、60分钟、3小时、6小时、12小时和24小时。 某监控指标达到报警阈值时发送报警，如果监控指标在通道沉默周期内持续超过报警阈值，在通道沉默周期内不会重复发送报警通知；如果监控指标在通道沉默周期后仍未恢复正常，则云监控再次发送报警通知。
   生效时间	报警规则的生效时间，报警规则只在生效时间内才会检查监控数据是否需要报警。
   报警联系人组	选择发送报警的联系人组。具体操作，请参见创建报警联系人和报警联系人组。
   报警回调	公网可访问的URL，用于接收云监控通过POST请求推送的报警信息。目前仅支持HTTP协议。关于如何设置报警回调，请参见使用阈值报警回调。 说明 单击高级设置，可设置该参数。
   弹性伸缩	如果您打开弹性伸缩开关，当报警发生时，会触发相应的伸缩规则。您需要设置弹性伸缩的地域、弹性伸缩组和弹性伸缩规则。 关于如何创建弹性伸缩组，请参见配置伸缩组。 关于如何创建弹性伸缩规则，请参见配置伸缩规则。 说明 单击高级设置，可设置该参数。
   日志服务	如果您打开日志服务开关，当报警发生时，会将报警信息写入日志服务的日志库。您需要设置日志服务的地域、ProjectName和日志Logstore。关于如何创建Project和Logstore，请参见使用LoongCollector采集并分析ECS文本日志。 说明 单击高级设置，可设置该参数。
   轻量消息队列（原 MNS）— topic	如果您打开轻量消息队列（原 MNS）— topic开关，当报警发生时，会将报警信息写入轻量消息队列的主题。您需要设置轻量消息队列的地域和主题。关于如何创建主题，请参见创建主题。 说明 单击高级设置，可设置该参数。
   无数据处理方法	无监控数据时报警的处理方式。取值： 不做任何处理（默认值） 发送无数据报警 视为恢复 说明 单击高级设置，可设置该参数。
   标签	报警规则的标签。包括标签名称和标签值。

   成功创建规则后，您可以在报警规则列表页面，在列表上的筛选框中，选择产品为Web应用防火墙3.0，指标名称为resource分页的指标，查询已创建的监控指标报警规则。

   说明

   WAF支持的监控指标说明如下：

   • domain分页下的指标为WAF 2.0支持监控的指标。

   • resource分页下的指标为WAF 3.0支持监控的指标。关于WAF 3.0支持监控的业务指标，请参见支持监控的业务指标。

   • 实例分页下的指标为混合云WAF支持监控的指标。其中，不带V3后缀的指标为WAF 2.0支持监控的指标，带V3后缀的指标为WAF 3.0支持监控的指标。

支持监控的安全事件

云监控支持对接入WAF的防护对象上发生的如下安全事件进行监控和报警。

支持监控的业务指标

云监控支持对接入WAF的防护对象的如下系统请求数据指标设置异常监控和告警，支持自定义指标异常的判断方法。

相关文档

API安全只能通过云监控实现严重程度为高危的告警推送，如果您需要低危、中危的告警推送，请参见API安全告警推送最佳实践。