通过事件报警您能够获知业务遭受的DDoS攻击事件,及时发现并修复问题,缩短故障处理时间,以便尽快恢复业务。本文介绍如何设置DDoS基础防护和原生防护攻击事件的报警通知。
阿里云DDoS原生防护提供消息中心报警、云监控报警和日志分析服务报警,您可以通过多个维度对比选择合适的报警方案。
| 对比项 | 消息中心报警 | 云监控报警 | 日志分析服务报警 | |
| 支持的产品类型 | DDoS基础防护 | DDoS原生防护 | DDoS原生防护 | DDoS原生防护 |
| 使用场景 | 通用告警,仅需要知晓被攻击。 | 通用告警,仅需要知晓被攻击。 | 通用告警,通过简单过滤条件,过滤需要通知的重点事件。 | 企业级告警,支持自定义组合条件、报警方式、通知方式、通知内容,并基于过滤条件生成统计报表。 |
| 配置复杂度 | 简易 | 简易 | 适中 | 复杂 |
| 灵活性 | 低 支持在事件开始、结束时告警。 | 低 支持在事件开始、结束时告警。 | 中 支持在事件开始、结束时按过滤的重点事件告警。 | 高 支持在事件开始、结束时告警,按流量阈值告警,多种条件组合告警。 |
| 通知方式 | 邮件 | 邮件 |
|
|
| 可靠性与实时性 | 不完全保证可靠性与实时性,可能在系统并发请求极高时消息限流。 说明 建议您自建流量监控体系。比如针对IP地址,进行流量监控(突增突降)或者外部探测可用性用于辅助判断。 | 可靠性较高,告警时差一般为5分钟以内。 | 可靠性较高,告警时差为5~10分钟。 | 可靠性较高,告警时差为5~10分钟。 |
消息中心是阿里云账号提供的消息通知服务,支持配置与阿里云服务相关的各类消息通知。
登录消息中心控制台。
在基本接收管理页面设置邮箱通知。
在左侧导航栏单击消息接收管理?>?基本接收管理。
在基本接收管理页面,选中产品消息下的云盾安全信息通知,并根据需要选择邮箱。
在页面下方单击添加消息接收人,然后在修改消息接收人对话框,添加消息接收人,并单击保存。
云监控 (CloudMonitor)是一项针对阿里云资源和互联网应用进行监控的服务。云监控支持监控DDoS原生防护实例上的黑洞事件和清洗事件,事件发生时,阿里云将向报警通知联系人组中设置的联系人发送报警通知。
创建报警联系人。如果已有联系人,请跳过此步骤。
在左侧导航栏,选择报警服务?>?报警联系人。
在报警联系人页签单击创建联系人,然后在设置报警联系人面板,填写联系人信息并完成滑块验证后,单击确认。
创建报警联系人组。如果已有联系人组,请跳过此步骤。
说明
报警通知的接收对象必须是联系人组,您可以在联系人组中添加一个或多个联系人。
在左侧导航栏,选择报警服务?>?报警联系人。
在报警联系组页签单击新建联系组,然后在新建联系组面板,填写相关信息并选择联系人后,单击确认。
在左侧导航栏,选择事件中心?>?系统事件。
在事件报警规则页签,单击创建报警规则。
在创建/修改事件报警面板,完成报警配置,并单击确定。
| 类型 | 配置项 | 说明 |
| 基本信息 | 报警规则名称 | 自定义报警规则名称。 |
| 事件报警规则 | 产品类型 | 选择DDoS原生防护。 |
| 事件类型 | 要通知的事件类型,可选项:DDoS攻击。 | |
| 事件等级 | 选择要通知的事件等级。所有DDoS告警时间均为严重等级,该参数仅支持选择严重。 | |
| 事件名称 | 选择要通知的事件。可选项:黑洞、清洗。 | |
| 关键词过滤 | 在关键词文本框输入报警规则过滤的关键词,然后在条件下拉框选择过滤方式。取值:
| |
| SQL Filter | SQL过滤语句。 | |
| 资源范围 | 事件报警规则作用的资源范围。选择全部资源。
| |
| 报警方式 | 联系人组 | 选择发送报警的联系人组。 |
| 报警通知 | 事件报警的级别和通知方式。取值:
| |
| 消息服务队列、函数计算、URL回调和日志服务 | 无需设置。 | |
| 通道沉默周期 | 报警发生后未恢复正常,间隔多久重复发送一次报警通知。 |
您为DDoS原生防护开启防护日志后,即可使DDoS原生防护采集防护对象的业务流量及防护日志,供您进行查询与分析。您可以在查询与分析日志的基础上,通过条件组合等方式对需要关注的业务指标自定义报警规则,使DDoS原生防护在业务指标异常时,及时向您发送报警。
登录流量安全产品控制台。
在左侧导航栏,选择网络安全?>?DDoS原生防护?>?防护日志。
在顶部菜单栏左上角处,选择实例所在资源组和地域。
原生防护1.0实例或DDoS防护增强EIP:请选择其所在的地域。
原生防护2.0实例:请选择全球。
按照页面提示开通SLS日志服务并完成RAM授权。如果您之前已完成开通和授权操作,请跳过本步骤。
为实例开启防护日志功能。如果您之前已开启,请跳过本步骤。
在防护日志页面,选择目标实例,单击立即升级。
在变配页面设置防护日志为开启,仔细阅读并勾选服务协议。
单击立即购买后,单击订购为实例开启防护日志功能。
为实例创建日志告警监控。
在防护日志页面,选择目标实例,单击页面右上角的另存为告警。
单击新版告警,并在告警监控规则页签完成配置项设置。
| 配置项 | 说明 |
| 规则名称 | 自定义告警监控规则名称。 |
| 检查频率 | 根据您配置的频率对查询和分析结果进行检查。
|
| 查询统计 | 单击输入框,在查询统计对话框中,设置查询和分析语句。
|
| 分组评估 | 日志服务支持对查询和分析结果进行分组。
|
| 触发条件 | 告警的触发条件及严重度。
|
| 添加标签 | 日志服务允许您给产生的告警添加标识性属性,键值对格式。主要用于告警降噪控制和告警通知控制,即您在创建告警策略或行动策略时,可添加关于标签的判断条件。 |
| 添加标注 | 日志服务允许您给产生的告警添加非标识性属性,键值对格式。主要用于告警降噪控制和告警通知控制,即您在创建告警策略或行动策略时,可添加关于标注的判断条件。 您还可以打开自动添加标注开关,系统自动在告警中添加__count__等信息。 |
| 恢复通知 | 打开恢复通知开关后,告警恢复时,触发一条恢复告警。其严重度与触发的告警保持一致。 |
| 高级配置 |
|
| 告警策略 | 告警策略用于合并、静默和抑制已产生的告警。
|
| 行动组 | 将告警集合按配置,通过各个渠道在发送时间符合时,以内容模板发送给接收人。 当告警策略选择极简模式时,您需要配置 仅当告警策略选择极简模式时需要配置该参数。 您也可以打开开启智能合并开关,用于将重复、冗余、相关联的告警合并为一组,每个分组中的告警在一段时间内只会通知一次,达到告警降噪的效果。 |
| 行动策略 | 行动策略用于控制告警通知渠道和频率等。 当告警策略选择为普通模式或高级模式时,您可以选择内置的或自定义的行动策略进行告警通知。 其中,告警策略选择为高级模式时,还可以开启或关闭自定义行动策略。 |
| 重复等待 | 在重复等待时间内,重复的告警只触发一次行动策略,即只发送一次告警通知。 |