阿里云国际设置DDoS基础防护和原生防护攻击事件报警

通过事件报警您能够获知业务遭受的DDoS攻击事件，及时发现并修复问题，缩短故障处理时间，以便尽快恢复业务。本文介绍如何设置DDoS基础防护和原生防护攻击事件的报警通知。

报警方式说明

阿里云DDoS原生防护提供消息中心报警、云监控报警和日志分析服务报警，您可以通过多个维度对比选择合适的报警方案。

对比项	消息中心报警		云监控报警	日志分析服务报警
支持的产品类型	DDoS基础防护	DDoS原生防护	DDoS原生防护	DDoS原生防护
使用场景	通用告警，仅需要知晓被攻击。	通用告警，仅需要知晓被攻击。	通用告警，通过简单过滤条件，过滤需要通知的重点事件。	企业级告警，支持自定义组合条件、报警方式、通知方式、通知内容，并基于过滤条件生成统计报表。
配置复杂度	简易	简易	适中	复杂
灵活性	低支持在事件开始、结束时告警。	低支持在事件开始、结束时告警。	中支持在事件开始、结束时按过滤的重点事件告警。	高支持在事件开始、结束时告警，按流量阈值告警，多种条件组合告警。
通知方式	邮件	邮件	短信邮件语音 Webhook	短信邮件语音 Webhook
可靠性与实时性	不完全保证可靠性与实时性，可能在系统并发请求极高时消息限流。说明建议您自建流量监控体系。比如针对IP地址，进行流量监控（突增突降）或者外部探测可用性用于辅助判断。	可靠性较高，告警时差一般为5分钟以内。	可靠性较高，告警时差为5~10分钟。	可靠性较高，告警时差为5~10分钟。

配置消息中心报警（DDoS基础防护、DDoS原生防护）

消息中心是阿里云账号提供的消息通知服务，支持配置与阿里云服务相关的各类消息通知。

登录消息中心控制台。
在基本接收管理页面设置邮箱通知。
1. 在左侧导航栏单击消息接收管理 > 基本接收管理。
2. 在基本接收管理页面，选中产品消息下的云盾安全信息通知，并根据需要选择邮箱。
3. 在页面下方单击添加消息接收人，然后在修改消息接收人对话框，添加消息接收人，并单击保存。

配置云监控报警（DDoS原生防护）

云监控（CloudMonitor）是一项针对阿里云资源和互联网应用进行监控的服务。云监控支持监控DDoS原生防护实例上的黑洞事件和清洗事件，事件发生时，阿里云将向报警通知联系人组中设置的联系人发送报警通知。

登录云监控控制台。
创建报警联系人。如果已有联系人，请跳过此步骤。
1. 在左侧导航栏，选择报警服务 > 报警联系人。
2. 在报警联系人页签单击创建联系人，然后在设置报警联系人面板，填写联系人信息并完成滑块验证后，单击确认。
创建报警联系人组。如果已有联系人组，请跳过此步骤。

说明

报警通知的接收对象必须是联系人组，您可以在联系人组中添加一个或多个联系人。
1. 在左侧导航栏，选择报警服务 > 报警联系人。
2. 在报警联系组页签单击新建联系组，然后在新建联系组面板，填写相关信息并选择联系人后，单击确认。
在左侧导航栏，选择事件中心 > 系统事件。
在事件报警规则页签，单击创建报警规则。

在创建/修改事件报警面板，完成报警配置，并单击确定。

类型	配置项	说明
基本信息	报警规则名称	自定义报警规则名称。
事件报警规则	产品类型	选择DDoS原生防护。
	事件类型	要通知的事件类型，可选项：DDoS攻击。
	事件等级	选择要通知的事件等级。所有DDoS告警时间均为严重等级，该参数仅支持选择严重。
	事件名称	选择要通知的事件。可选项：黑洞、清洗。
	关键词过滤	在关键词文本框输入报警规则过滤的关键词，然后在条件下拉框选择过滤方式。取值：满足包含上面任何一个关键词：当您的报警规则中包含任何一个关键词时，不发送报警通知。满足不包含上面任何一个关键词：当您的报警规则中不包含任何一个关键词时，不发送报警通知。
	SQL Filter	SQL过滤语句。
	资源范围	事件报警规则作用的资源范围。选择全部资源。全部资源：任何资源发生相关事件，都会按照配置发送通知。应用分组：只有指定应用分组内的资源发生相关事件，才会发送通知。
报警方式	联系人组	选择发送报警的联系人组。
	报警通知	事件报警的级别和通知方式。取值： Critical（邮件+WebHook） Warning（邮件+WebHook） Info（邮件+WebHook）
	消息服务队列、函数计算、URL回调和日志服务	无需设置。
	通道沉默周期	报警发生后未恢复正常，间隔多久重复发送一次报警通知。

日志分析服务报警（DDoS原生防护）

您为DDoS原生防护开启防护日志后，即可使DDoS原生防护采集防护对象的业务流量及防护日志，供您进行查询与分析。您可以在查询与分析日志的基础上，通过条件组合等方式对需要关注的业务指标自定义报警规则，使DDoS原生防护在业务指标异常时，及时向您发送报警。

登录流量安全产品控制台。
在左侧导航栏，选择网络安全 > DDoS原生防护 > 防护日志。
在顶部菜单栏左上角处，选择实例所在资源组和地域。
- 原生防护1.0实例或DDoS防护增强EIP：请选择其所在的地域。
- 原生防护2.0实例：请选择全球。
按照页面提示开通SLS日志服务并完成RAM授权。如果您之前已完成开通和授权操作，请跳过本步骤。
为实例开启防护日志功能。如果您之前已开启，请跳过本步骤。
1. 在防护日志页面，选择目标实例，单击立即升级。
2. 在变配页面设置防护日志为开启，仔细阅读并勾选服务协议。
3. 单击立即购买后，单击订购为实例开启防护日志功能。

为实例创建日志告警监控。

在防护日志页面，选择目标实例，单击页面右上角的另存为告警。

单击新版告警，并在告警监控规则页签完成配置项设置。

配置项	说明
规则名称	自定义告警监控规则名称。
检查频率	根据您配置的频率对查询和分析结果进行检查。每小时：每小时检查一次查询和分析结果。每天：在每天的某个固定时间点检查一次查询和分析结果。每周：在周几的某个固定时间点检查一次查询和分析结果。固定间隔：按照固定间隔检查查询和分析结果。 Cron：通过Cron表达式指定时间间隔，按照该指定的时间间隔检查查询和分析结果。Cron表达式的最小精度为分钟，24小时制，例如0 0/1 * * *表示从00:00开始，每隔1小时检查一次。
查询统计	单击输入框，在查询统计对话框中，设置查询和分析语句。关联报表：选择DDoS原生防护事件报表或DDoS原生清洗分析报表。高级配置：无需修改，默认选择日志库。
分组评估	日志服务支持对查询和分析结果进行分组。不分组：在每个检查周期内，满足触发条件时，只产生一条告警。标签自定义：日志服务根据您配置的字段对查询和分析结果进行分组。分组后，每个组单独评估触发条件。在每个检查周期内，查询和分析结果满足触发条件时，各个分组各自产生一条告警。
触发条件	告警的触发条件及严重度。触发条件：有数据：当查询和分析结果中存在数据时，触发告警。有特定条数据：当查询和分析结果中存在N条数据时，触发告警。有数据匹配：当查询和分析结果中存在数据满足告警表达式时，触发告警。有特定条数据匹配：当查询和分析结果中存在N条数据满足告警表达式时，触发告警。严重度：您可以将某一规则产生的告警设置为同一严重度，也可以将同一规则满足不同条件时，单击添加设置为不同的严重度。
添加标签	日志服务允许您给产生的告警添加标识性属性，键值对格式。主要用于告警降噪控制和告警通知控制，即您在创建告警策略或行动策略时，可添加关于标签的判断条件。
添加标注	日志服务允许您给产生的告警添加非标识性属性，键值对格式。主要用于告警降噪控制和告警通知控制，即您在创建告警策略或行动策略时，可添加关于标注的判断条件。您还可以打开自动添加标注开关，系统自动在告警中添加__count__等信息。
恢复通知	打开恢复通知开关后，告警恢复时，触发一条恢复告警。其严重度与触发的告警保持一致。
高级配置	连续触发阈值：当累计的触发次数达到该值时，产生一条告警。不满足触发条件时不计入统计。无数据告警：开关开启后，如果查询和分析的结果（有多个时，进行集合操作后的结果）为无数据的次数超过连续触发阈值，则产生一条告警。
告警策略	告警策略用于合并、静默和抑制已产生的告警。选择极简模式和普通模式时，您无需配置告警策略。日志服务默认使用SLS内置动态告警策略（sls.builtin.dynamic）进行告警管理。选择高级模式时，您可以选择内置的或自定义的告警策略进行告警管理。
行动组	将告警集合按配置，通过各个渠道在发送时间符合时，以内容模板发送给接收人。当告警策略选择极简模式时，您需要配置仅当告警策略选择极简模式时需要配置该参数。您也可以打开开启智能合并开关，用于将重复、冗余、相关联的告警合并为一组，每个分组中的告警在一段时间内只会通知一次，达到告警降噪的效果。
行动策略	行动策略用于控制告警通知渠道和频率等。当告警策略选择为普通模式或高级模式时，您可以选择内置的或自定义的行动策略进行告警通知。其中，告警策略选择为高级模式时，还可以开启或关闭自定义行动策略。
重复等待	在重复等待时间内，重复的告警只触发一次行动策略，即只发送一次告警通知。