AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 Web应用防火墙 Web应用防火墙3.0 操作指南 监控与告警 安全事件通知列表

安全事件通知列表

更新时间:
产品详情
我的收藏

本文介绍WAF 3.0防护对象的安全事件列表。您可以使用云监控,对安全事件进行监控和报警。

Web 核心防护事件

以下Web核心防护的防护模块将根据事件触发逻辑产生安全事件:

Web核心防护事件触发逻辑

选择一个长度为10分钟的滚动窗口,并且以每分钟一个统计值的频率进行更新。每分钟的统计值表示该分钟的拦截量。

事件开始条件:

  • 当前拦截量大于600。

  • 当前拦截量与过去11分钟的平均拦截量相比,高出超过3倍的标准差。

事件结束条件:

  • 当前拦截量低于过去11分钟的平均拦截量。

事件名称

事件对应的防护模块

访问控制事件V3

自定义规则

CC攻击事件V3

CC防护

Web攻击事件V3

Web核心防护规则

防扫描事件V3

扫描防护

访问控制事件V3

事件通知的JSON格式: 

{
    "product": "WAF",
    "resourceId": "acs:waf:cn-hangzhou:160***904:instanceId/<resource-id>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "wafv3_event_aclattack",
    "content": {
        "start_time": "2025-08-22 09:30:00",
        "product": "***",
        "instance_id": "waf***b03",
        "attack_type": "***",
        "resource": "epa***ecs",
        "end_time": "2025-08-22 09:32:00",
        "action": "***",
        "aliuid": "100***717"
    },
    "status": "acl"
}

content字段解释:

字段

说明

示例值

start_time

事件开始时间

2025-08-22 09:30:00

product

产品。取值:WAF

***

instance_id

WAF实例ID

waf***b03

attack_type

攻击类型。取值:acl

***

resource

资源

epa***ecs

end_time

事件结束时间

2025-08-22 09:32:00

action

事件开始或结束。取值范围:

  • start

  • end

***

aliuid

阿里云账号ID

100***717

CC攻击事件V3

事件通知的JSON格式: 

{
    "product": "WAF",
    "resourceId": "acs:waf:cn-hangzhou:128***596:instanceId/<resource-id>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "wafv3_event_ccattack",
    "content": {
        "start_time": "2025-08-22 09:38:00",
        "product": "***",
        "instance_id": "waf***301",
        "attack_type": "***",
        "resource": "qrc***waf",
        "end_time": "2025-08-22 09:50:00",
        "action": "***",
        "aliuid": "114***469"
    },
    "status": "cc"
}

content字段解释:

字段

说明

示例值

start_time

事件开始时间

2025-08-22 09:38:00

product

产品。取值:WAF

***

instance_id

WAF实例ID

waf***301

attack_type

攻击类型。取值:cc

***

resource

资源

qrc***waf

end_time

事件结束时间

2025-08-22 09:50:00

action

事件开始或结束。取值范围:

  • start

  • end

***

aliuid

阿里云账号ID

114***469

Web攻击事件V3

事件通知的JSON格式: 

{
    "product": "WAF",
    "resourceId": "acs:waf:ap-southeast-1:128***596:instanceId/<resource-id>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "wafv3_event_webattack",
    "content": {
        "start_time": "2025-08-22 09:53:00",
        "product": "***",
        "instance_id": "waf***e03",
        "attack_type": "***",
        "resource": "alb***alb",
        "end_time": "2025-08-22 09:56:00",
        "action": "***",
        "aliuid": "107***523"
    },
    "status": "web"
}

content字段解释:

字段

说明

示例值

start_time

事件开始时间

2025-08-22 09:53:00

product

产品。取值:WAF

***

instance_id

WAF实例ID

waf***e03

attack_type

攻击类型。取值:web

***

resource

资源

alb***alb

end_time

事件结束时间

2025-08-22 09:56:00

action

事件开始或结束。取值范围:

  • start

  • end

***

aliuid

阿里云账号ID

107***523

防扫描事件V3

事件通知的JSON格式: 

{
    "product": "WAF",
    "resourceId": "acs:waf:cn-hangzhou:128***596:instanceId/<resource-id>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "wafv3_event_webscan",
    "content": {
        "start_time": "2025-08-22 09:55:00",
        "product": "***",
        "instance_id": "waf***t08",
        "attack_type": "we***an",
        "resource": "www***waf",
        "end_time": "2025-08-22 09:57:00",
        "action": "***",
        "aliuid": "160***699"
    },
    "status": "webscan"
}

content字段解释:

字段

说明

示例值

start_time

事件开始时间

2025-08-22 09:55:00

product

产品。取值:WAF

***

instance_id

WAF实例ID

waf***t08

attack_type

攻击类型。取值:webscan

we***an

resource

资源

www***waf

end_time

事件结束时间

2025-08-22 09:57:00

action

事件开始或结束。取值范围:

  • start

  • end

***

aliuid

阿里云账号ID

100***717

API安全事件V3

API安全风险检测模块出现高危风险,或者安全事件模块出现高危事件时,会触发以下事件。

事件通知的JSON格式: 

{
    "product": "WAF",
    "resourceId": "acs:waf:cn-hangzhou:160***904:instanceId/<resource-id>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "wafv3_event_apisec",
    "content": {
        "api_id": "b85***491",
        "risk_id": "9e3***6f1",
        "risk_type": "内部***登录(We*** Pas***sed Lo*** *** In***al ",
        "api_format": "/in***hp/ad***/Lo***/ch***in",
        "discover_time": "2025-08-22 09:31:54",
        "matched_host": "pop***com"
    },
    "status": "overrun"
}

content字段解释:

字段

说明

示例值

api_id

API资产的ID

b85***491

risk_id

风险的ID

9e3***6f1

risk_type

风险或安全事件的类型

内部***登录(We*** Pas***sed Lo*** *** In***al

api_format

API格式

/in***hp/ad***/Lo***/ch***in

discover_time

风险或事件的首次发现时间

2025-08-22 09:31:54

matched_host

域名或IP

pop***com

计费保护触发事件V3

流量计费保护功能默认给按量付费实例设定一个QPS流量的阈值,当一小时内的峰值QPS流量超过该阈值时,WAF实例将进入沙箱,并会触发以下事件。更多信息,请参见流量计费保护

事件通知的JSON格式: 

{
    "product": "WAF",
    "resourceId": "acs:waf:ap-southeast-1:128***596:instanceId/<resource-id>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "xray_wafv3_event_cost_protection",
    "content": {
        "instance": "waf***h36",
        "qps": "12***",
        "startTime": "2025-08-22 10:00:00.0",
        "endTime": "2025-08-22 10:00:00.0",
        "spec": "10***",
        "status": "Sa***ox"
    },
    "status": "overrun"
}

content字段解释:

字段

说明

示例值

instance

WAF实例ID

waf***h36

qps

QPS峰值

12***

startTime

事件开始时间

2025-08-22 10:00:00.0

endTime

事件结束时间

2025-08-22 10:00:00.0

spec

QPS规格

10***

status

状态

Sa***ox

日志容量超用事件V3

当包年包月实例开通日志服务后,日志存储空间使用率超过80%时,会触发以下事件,建议您及时升级容量。

事件通知的JSON格式: 

{
    "product": "WAF",
    "resourceId": "-",
    "level": "CRITICAL",
    "regionId": "cn-hangzhou",
    "instanceName":"-",
    "name": "xray_wafv3_event_log_exceed",
    "content": {
        "storageUsed": "2.5T",
	"storageQuota": "3.0T",
	"logstoreName": "***",
	"projectName": "wafng-***-hangzhou",
	"region": "cn-hangzhou",
	"percent": "84.6",
	"ds": 1756346411092
    },
    "status": "overrun"
}

content字段解释:

字段

说明

示例值

storageUsed

日志存储已使用量

2.5T

storageQuota

日志存储容量

3.0T

logstoreName

logstore名称。取值:wafng-logstore

***

projectName

project名称

wafng-***-hangzhou

region

地域

cn-hangzhou

percent

存储容量使用率

84.6

ds

时间戳

1756346411092

QPS超用事件V3

当包年包月实例的实际峰值QPS超过已购QPS流量规格,或按量付费实例的实际峰值QPS超过指定阈值时,实例可能会进入沙箱,并会触发以下事件。更多信息,请参见沙箱说明

事件通知的JSON格式: 

{
    "product": "WAF",
    "resourceId": "acs:waf:ap-southeast-1:128***596:instanceId/<resource-id>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "xray_wafv3_event_qps_exceed",
    "content": {
        "times": "8",
        "instance": "waf***a08",
        "qps": "***",
        "cause": "因累计***入沙箱",
        "startTime": "2025-08-22 10:10:00.0",
        "endTime": "2025-08-22 10:14:00.0",
        "spec": "***",
        "status": "***"
    },
    "status": "overrun"
}

content字段解释:

字段

说明

示例值

times

超用次数

8

instance

WAF实例ID

waf***a08

qps

QPS峰值

***

cause

原因

因累计***入沙箱

startTime

事件开始时间

2025-08-22 10:10:00.0

endTime

事件结束时间

2025-08-22 10:14:00.0

spec

QPS规格

***

status

状态

***

WAFv3迁移前到期告警

WAF2.0WAF3.0迁移时,有共计15天的升级窗口期,当剩余5、3、1天时,会触发以下事件。若到期后您仍未确认升级完成,实例及其配置会回滚到WAF 2.0,WAF 3.0实例会被释放。更多信息,请参见如何将WAF 2.0实例升级到WAF 3.0

事件通知的JSON格式: 

{
    "product": "WAF",
    "resourceId": "acs:waf:ap-southeast-1:128***596:instanceId/<resource-id>",
    "level": "CRITICAL",
    "regionId": "cn-hangzhou",
    "instanceName":"instanceName",
    "name": "xray_wafv3_evnet_migrate_lost_days",
    "content": {
        "remainDays": 3
    },
    "status": "overrun"
}

content字段解释:

字段

说明

示例值

remainDays

迁移窗口期剩余时间

3

上一篇:配置云监控通知下一篇:配置日志服务告警