安全告警事件类型定义与详解-Web应用防火墙-阿里云

本文介绍WAF 3.0防护对象的安全事件列表。您可以使用云监控，对安全事件进行监控和报警。

Web 核心防护事件

以下Web核心防护的防护模块将根据事件触发逻辑产生安全事件：

Web核心防护事件触发逻辑

选择一个长度为10分钟的滚动窗口，并且以每分钟一个统计值的频率进行更新。每分钟的统计值表示该分钟的拦截量。

事件开始条件：

当前拦截量大于600。
当前拦截量与过去11分钟的平均拦截量相比，高出超过3倍的标准差。

事件结束条件：

当前拦截量低于过去11分钟的平均拦截量。

事件名称	事件对应的防护模块
访问控制事件V3	自定义规则
CC攻击事件V3	CC防护
Web攻击事件V3	Web核心防护规则
防扫描事件V3	扫描防护

访问控制事件V3

事件通知的JSON格式：

{
    "product": "WAF",
    "resourceId": "acs:waf:cn-hangzhou:160***904:instanceId/<resource-id>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "wafv3_event_aclattack",
    "content": {
        "start_time": "2025-08-22 09:30:00",
        "product": "***",
        "instance_id": "waf***b03",
        "attack_type": "***",
        "resource": "epa***ecs",
        "end_time": "2025-08-22 09:32:00",
        "action": "***",
        "aliuid": "100***717"
    },
    "status": "acl"
}

content字段解释：

字段	说明	示例值
start_time	事件开始时间	2025-08-22 09:30:00
product	产品。取值：WAF	***
instance_id	WAF实例ID	waf***b03
attack_type	攻击类型。取值：acl	***
resource	资源	epa***ecs
end_time	事件结束时间	2025-08-22 09:32:00
action	事件开始或结束。取值范围： start end	***
aliuid	阿里云账号ID	100***717

CC攻击事件V3

事件通知的JSON格式：

{
    "product": "WAF",
    "resourceId": "acs:waf:cn-hangzhou:128***596:instanceId/<resource-id>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "wafv3_event_ccattack",
    "content": {
        "start_time": "2025-08-22 09:38:00",
        "product": "***",
        "instance_id": "waf***301",
        "attack_type": "***",
        "resource": "qrc***waf",
        "end_time": "2025-08-22 09:50:00",
        "action": "***",
        "aliuid": "114***469"
    },
    "status": "cc"
}

content字段解释：

字段	说明	示例值
start_time	事件开始时间	2025-08-22 09:38:00
product	产品。取值：WAF	***
instance_id	WAF实例ID	waf***301
attack_type	攻击类型。取值：cc	***
resource	资源	qrc***waf
end_time	事件结束时间	2025-08-22 09:50:00
action	事件开始或结束。取值范围： start end	***
aliuid	阿里云账号ID	114***469

Web攻击事件V3

事件通知的JSON格式：

{
    "product": "WAF",
    "resourceId": "acs:waf:ap-southeast-1:128***596:instanceId/<resource-id>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "wafv3_event_webattack",
    "content": {
        "start_time": "2025-08-22 09:53:00",
        "product": "***",
        "instance_id": "waf***e03",
        "attack_type": "***",
        "resource": "alb***alb",
        "end_time": "2025-08-22 09:56:00",
        "action": "***",
        "aliuid": "107***523"
    },
    "status": "web"
}

content字段解释：

字段	说明	示例值
start_time	事件开始时间	2025-08-22 09:53:00
product	产品。取值：WAF	***
instance_id	WAF实例ID	waf***e03
attack_type	攻击类型。取值：web	***
resource	资源	alb***alb
end_time	事件结束时间	2025-08-22 09:56:00
action	事件开始或结束。取值范围： start end	***
aliuid	阿里云账号ID	107***523

防扫描事件V3

事件通知的JSON格式：

{
    "product": "WAF",
    "resourceId": "acs:waf:cn-hangzhou:128***596:instanceId/<resource-id>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "wafv3_event_webscan",
    "content": {
        "start_time": "2025-08-22 09:55:00",
        "product": "***",
        "instance_id": "waf***t08",
        "attack_type": "we***an",
        "resource": "www***waf",
        "end_time": "2025-08-22 09:57:00",
        "action": "***",
        "aliuid": "160***699"
    },
    "status": "webscan"
}

content字段解释：

字段	说明	示例值
start_time	事件开始时间	2025-08-22 09:55:00
product	产品。取值：WAF	***
instance_id	WAF实例ID	waf***t08
attack_type	攻击类型。取值：webscan	we***an
resource	资源	www***waf
end_time	事件结束时间	2025-08-22 09:57:00
action	事件开始或结束。取值范围： start end	***
aliuid	阿里云账号ID	100***717

API安全事件V3

当API安全的风险检测模块出现高危风险，或者安全事件模块出现高危事件时，会触发以下事件。

事件通知的JSON格式：

{
    "product": "WAF",
    "resourceId": "acs:waf:cn-hangzhou:160***904:instanceId/<resource-id>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "wafv3_event_apisec",
    "content": {
        "api_id": "b85***491",
        "risk_id": "9e3***6f1",
        "risk_type": "内部***登录(We*** Pas***sed Lo*** *** In***al ",
        "api_format": "/in***hp/ad***/Lo***/ch***in",
        "discover_time": "2025-08-22 09:31:54",
        "matched_host": "pop***com"
    },
    "status": "overrun"
}

content字段解释：

字段	说明	示例值
api_id	API资产的ID	b85***491
risk_id	风险的ID	9e3***6f1
risk_type	风险或安全事件的类型	内部*登录(We* Pas*sed Lo* * In*al
api_format	API格式	/in*hp/ad/Lo/ch*in
discover_time	风险或事件的首次发现时间	2025-08-22 09:31:54
matched_host	域名或IP	pop***com

计费保护触发事件V3

流量计费保护功能默认给按量付费实例设定一个QPS流量的阈值，当一小时内的峰值QPS流量超过该阈值时，WAF实例将进入沙箱，并会触发以下事件。更多信息，请参见流量计费保护。

事件通知的JSON格式：

{
    "product": "WAF",
    "resourceId": "acs:waf:ap-southeast-1:128***596:instanceId/<resource-id>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "xray_wafv3_event_cost_protection",
    "content": {
        "instance": "waf***h36",
        "qps": "12***",
        "startTime": "2025-08-22 10:00:00.0",
        "endTime": "2025-08-22 10:00:00.0",
        "spec": "10***",
        "status": "Sa***ox"
    },
    "status": "overrun"
}

content字段解释：

字段	说明	示例值
instance	WAF实例ID	waf***h36
qps	QPS峰值	12***
startTime	事件开始时间	2025-08-22 10:00:00.0
endTime	事件结束时间	2025-08-22 10:00:00.0
spec	QPS规格	10***
status	状态	Sa***ox

日志容量超用事件V3

当包年包月实例开通日志服务后，日志存储空间使用率超过80%时，会触发以下事件，建议您及时升级容量。

事件通知的JSON格式：

{
    "product": "WAF",
    "resourceId": "-",
    "level": "CRITICAL",
    "regionId": "cn-hangzhou",
    "instanceName":"-",
    "name": "xray_wafv3_event_log_exceed",
    "content": {
        "storageUsed": "2.5T",
	"storageQuota": "3.0T",
	"logstoreName": "***",
	"projectName": "wafng-***-hangzhou",
	"region": "cn-hangzhou",
	"percent": "84.6",
	"ds": 1756346411092
    },
    "status": "overrun"
}

content字段解释：

字段	说明	示例值
storageUsed	日志存储已使用量	2.5T
storageQuota	日志存储容量	3.0T
logstoreName	logstore名称。取值：wafng-logstore	***
projectName	project名称	wafng-***-hangzhou
region	地域	cn-hangzhou
percent	存储容量使用率	84.6
ds	时间戳	1756346411092

QPS超用事件V3

当包年包月实例的实际峰值QPS超过已购QPS流量规格，或按量付费实例的实际峰值QPS超过指定阈值时，实例可能会进入沙箱，并会触发以下事件。更多信息，请参见沙箱说明。

事件通知的JSON格式：

{
    "product": "WAF",
    "resourceId": "acs:waf:ap-southeast-1:128***596:instanceId/<resource-id>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "xray_wafv3_event_qps_exceed",
    "content": {
        "times": "8",
        "instance": "waf***a08",
        "qps": "***",
        "cause": "因累计***入沙箱",
        "startTime": "2025-08-22 10:10:00.0",
        "endTime": "2025-08-22 10:14:00.0",
        "spec": "***",
        "status": "***"
    },
    "status": "overrun"
}

content字段解释：

字段	说明	示例值
times	超用次数	8
instance	WAF实例ID	waf***a08
qps	QPS峰值	***
cause	原因	因累计***入沙箱
startTime	事件开始时间	2025-08-22 10:10:00.0
endTime	事件结束时间	2025-08-22 10:14:00.0
spec	QPS规格	***
status	状态	***

WAFv3迁移前到期告警

当WAF2.0向WAF3.0迁移时，有共计15天的升级窗口期，当剩余5、3、1天时，会触发以下事件。若到期后您仍未确认升级完成，实例及其配置会回滚到WAF 2.0，WAF 3.0实例会被释放。更多信息，请参见如何将WAF 2.0实例升级到WAF 3.0。

事件通知的JSON格式：

{
    "product": "WAF",
    "resourceId": "acs:waf:ap-southeast-1:128***596:instanceId/<resource-id>",
    "level": "CRITICAL",
    "regionId": "cn-hangzhou",
    "instanceName":"instanceName",
    "name": "xray_wafv3_evnet_migrate_lost_days",
    "content": {
        "remainDays": 3
    },
    "status": "overrun"
}

content字段解释：

字段	说明	示例值
remainDays	迁移窗口期剩余时间	3