2. 告警配置_告警规则
什么是“告警规则”?
藉由创建告警规则,当异常事件发生时,您可以收到异常事件的通知,提高事件监督的效率。
① 侧边栏:
单击告警配置下拉按钮后,选择“告警规则”。
② 告警规则介绍区:
在侧边栏导航中选择“告警规则”后,相关操作介面将显示于页面中央的内容区域。您将在顶部看到“告警规则介绍区”说明告警规则的功能、告警规则当前已添加数量与最多可添加数量。
③ 告警规则管理区:
告警规则管理页面显示于内容区域第二排。在这里,您可以查看、创建、编辑、删除、搜寻告警规则,并输出搜寻结果。
1. 针对异常访问设置告警规则
① 选择群组。
② 单击侧边栏导航“告警配置”下的“告警规则”。
③ 单击“Add”按钮,设置页面会出现于右侧。
④ 在设置页面的顶部,您将看到“Choose from Our Examples”下拉按钮,单击后您可看到规则示例选项。查看下方 [告警规则示例] 了解更多详细信息。
⑤ 在“Choose from Our Examples”下方,您将看到一个“基础”类别下拉按钮。请单击“基础”类别下拉按钮展开设置内容后,填写栏位。如果已从 Choose from Our Examples 选择示例,相关栏位将会自动填入,您可直接应用或根据需求自定义。详情请参见下方 [添加告警规则]。
⑥ 单击“储存”按钮保存告警规则设置。
⑦ 单击“✕”关闭设置页面。
⑧ 成功添加的告警规则将显示在于列表中。您可自定义列表的显示项目。详情请参见下方的 [告警规则列表]。
*注:下表為CDN上告警規則內的告警訊息可獲取變數
变数
说明
{{ruleName}}
告警規則名稱
{{alertRuleQuery}}
規則中的query欄位內容
{{currentValue}}
近期的值
{{alertWhen}}
觸發條件 above / below
{{alertValue}}
告警閥值
{{alertValueUnit}}
閥值單位
{{isAlerting}}
是否
{{timestamp}}
發送告警當下的時間戳記
2. 告警规则示例
① My_site_goes_viral_check
动作解释 : 这个代表我的某个网站在 10 分钟内高于 10000 次访问,可以作为通知访问量变高,或是疑似刷量攻击打来的提醒。
Query
server_name: www.mydomain.com AND timestamp: [now-10m TO now]
高于/低于
above
告警阀值
10000
阀值单位
Count
② origin_unhealthy_check
动作解释 : 当回源出现 5xx 错误 (500 系列错误,例如 502 bad gateway 等等),并于 10 分钟内高于五次以上者,可以用于提醒回源是否异常。
Query
upstream_status: 5* AND timestamp: [now-10m TO now]
高于/低于
above
告警阀值
5
阀值单位
Count
③ directory_scanner_check
动作解释 : 当回源出现 404 错误,并于 10 分钟内高于五次以上者发出警告,这样可以监控是否有人在尝试随机扫描底下的路径,有可能会是想要找出有弱点的路径攻击。
Query
upstream_status: 404 AND timestamp: [now-10m TO now]
高于/低于
above
告警阀值
10
阀值单位
Count
④ forbidden_check
动作解释 : 当访问出现 403 错误 (这个 403 可能是 CDN 这里透过 waf 阻挡的,也有可能是被源站阻挡的,因为源站阻挡后也会把错误代码回传给客户),并于 10 分钟内高于五次以上者发出警告,这样可以监控是否有人在针对你群组底下的域名进行攻击并且遭到阻挡。
Query
status: 403 AND timestamp: [now-10m TO now]
高于/低于
above
告警阀值
10
阀值单位
Count
⑤ spider_is_coming_check
动作解释 : 当进来访问的 UA 带有*bot* OR *crawl* OR *spider* 这些特征时,并于 10 分钟内高于 20 次以上,代表应该是有爬虫机器人 (例如 google 或是百度的) 来访问,这使得您的网站有机会被收录到搜寻引擎的列表中,设置这个告警规则您就可以更实时的获得通知。
Query
req_headers.user-agent: (bot OR crawl OR spider) AND timestamp: [now-10m TO now]
高于/低于
above
告警阀值
20
阀值单位
Count
⑥ using_too_much_data_check
动作解释 : 侦测在一小时内是否超过 1GB 的使用量,如果超过则跳出警告,来提醒这个站点使用了过多资料传输量。
Query
servicegroup: myservicegroup AND timestamp: [now-1h TO now]
高于/低于
above
告警阀值
1
阀值单位
Sum GB
⑦ need_accelaration_check
动作解释 : 侦测在一小时内侦测没有快取到的资料超过 10MB 时,如果触发则跳出警告,来提醒这个群组在资源上的缓存能力需要加强,例如确认允许的静态资源是否都被缓存。
Query
servicegroup: myservicegroup AND !upstream_cache_status: HIT AND timestamp: [now-1h TO now]
高于/低于
above
告警阀值
10
阀值单位
Sum MB
⑧ slow_reuqest_check
动作解释 : 侦测在 10 分钟内 request_time 超过 1 秒钟的请求耗时是否超过 10 次,如果超过则跳出警告,来提醒这个域名访问时的耗时过长,需要检查网页中的物件不必要的资源是否档案过大,或着源站耗时过长。
Query
server_name: *mydomain.com AND request_time: [1 TO *] AND timestamp: [now-10m TO now]
高于/低于
above
告警阀值
10
阀值单位
Count
⑨ honey_pot_check
动作解释 : 这个功能可以侦测是否有人访问指定的 URI,案例为侦测/admin,借此来侦测疑似的蜜罐攻击,预设有包含 cus_realy_addr 这个项目,是侦测 IP 开头用的,IP 为 59.x.x.x 方能符合,如果你不要限制来源 IP,也可以将这段拿掉。
Query
server_name: www.mydomain.com AND uri: "/admin" AND !cus_realy_addr: 59* AND timestamp: [now-10m TO now]
高于/低于
above
告警阀值
5
阀值单位
Count
⑩ my_site_not_popular_check
动作解释 : 侦测在一小时内的请求是否低于 100 次,如果超过则跳出警告,来提醒这个域名的访问量下降了,这时候就要注意是否网站被墙被封锁、或是被劫持,导致流量下滑,影响业务。
Query
server_name: *mydomain.com AND timestamp: [now-1h TO now]
高于/低于
below
告警阀值
100
阀值单位
Count
3. 添加告警规则
① 群组
选择要应用告警规则的群组。
② 规则名称
输入告警规则以便于区分与搜寻。
③ Query
查询事件中的任何内容以设置规则的条件。
④ 高于/低于
定义查询内容的基准。
⑤ 告警阀值
为“高于/低于”栏位设置一个值,以定义告警规则的条件。
⑥ 阀值单位
选择告警阀值的单位。
⑦ 通知对象
从通知对象列表中选择告警讯息的发送对象。(添加通知对象,请参见7.3.3到7.3.4的说明)
⑧ 告警讯息
当事件符合告警规则的条件时,将发送标准告警讯息给通知对象。
⑨ 启用状态
滑动按钮到“On”以启用告警规则。
4. 告警规则列表
① 操作
可“修改”或“移除”已添加的告警规则。
② 创建者
添加告警规则的管理员。
③ 触发状态
“
”图标表示该告警规则未被触发,因为当前尚未有匹配的事件情况。“
”图标表示告警规则已触发,已发生达到告警规则标准的事件情况。
④ 测试
单击“
”图标能测试规则是否正常运行。
⑤ Logs
与告警规则有关的事件。
⑥ 状态
“运行中”表示告警规则正在运行;“部署中”表示告警规则的修改操作正在处理中;“删除中”表示告警规则的删除操作正在处理中。
Last updated