概述
告警配置是云防火墙日志分析模块提供的主动监控能力,支持用户基于日志数据自定义告警策略,对安全事件和异常流量进行持续监测或定期监测。当触发条件满足时,系统将自动发送告警通知,帮助用户及时发现并响应潜在的安全威胁。
操作场景
本文介绍如何在云防火墙控制台配置和管理告警策略,以及如何查看历史告警记录。适用于以下场景:
需要对特定类型的安全事件(如入侵防御告警、异常外联行为)进行实时监控和告警通知。
需要基于日志数据设置阈值告警,例如单位时间内某类事件超过指定次数时触发告警。
需要查看和管理历史告警记录,进行安全事件回溯分析。
前提条件
已购买云防火墙高级版及以上版本。详情请参见 计费概述。
已开通日志分析功能。如需开通,请在 云防火墙控制台 的日志分析页面进行购买。
使用限制
限制项 | 限制值 | 说明 |
告警策略数量上限 | 100条/用户 | 单个用户最多可创建 100条告警策略 |
操作步骤
步骤一:进入告警配置页面
1. 登录 云防火墙控制台,在左侧导航栏中,单击日志分析。
2. 在日志分析页面,单击告警配置,进入告警配置页面。
3. 告警配置页面包含两个页签:
告警策略:管理告警策略的创建、编辑、启停和删除。
告警历史:查看历史告警记录和告警详情。
步骤二:新建告警策略
1. 在告警策略页面,单击新建。
3. 配置完告警策略后,单击确定,完成告警策略的创建。
4. 创建成功后,告警策略将按照设定的执行周期自动执行监控。可以在告警策略列表中查看和管理已创建的策略。
告警名称与启用状态
配置项 | 说明 |
告警名称 | 输入告警策略的名称,用于在告警策略列表和告警通知中标识该策略 |
启用状态 | 控制告警策略是否生效。开启后策略将按照执行周期自动运行,关闭后策略暂停执行 |
监控对象
监控对象用于指定告警策略监控的日志来源。单击日志主题,从下拉列表中选择需要监控的日志主题。
说明:
日志主题列表根据实际开通的云防火墙功能动态展示。例如,NDR 流量日志仅在已购买全流量检测与响应功能时可见。
也可以不在此处统一选择日志主题,而是在每个执行语句中单独选择监控对象。
监控任务
执行语句
监控任务定义了告警策略的执行语句,用于从日志中提取监控数据。
配置项 | 说明 |
执行语句 | 示例: level:error | select count(*) as errCount(统计错误级别日志的数量) |
查询时间范围 | 选择执行语句的查询时间窗口,如近 15 分钟、近 1 小时等。每次执行时,系统将在该时间范围内的日志数据上运行执行语句 |
预览结果 | 配置执行语句后,可在此区域预览原始日志的查询结果,验证语句是否正确 |
单击+ 添加执行语句可添加多条执行语句,每条语句可独立选择监控的日志主题和查询时间范围。
多条执行语句的结果可在触发条件中组合使用。
触发条件
触发条件用于判断监控任务的执行结果是否需要产生告警,支持两种配置模式:
交互模式:通过可视化界面配置触发条件。每条触发条件包含以下配置项:
配置项 | 说明 |
告警等级 | 选择该条件触发时的告警等级,可选:紧急、警告、提醒 |
执行语句 | 选择关联的执行语句(如执行语句 1) |
判断指标 | 选择判断依据,如"结果条数" |
比较运算符 | 选择比较方式,如"大于""小于""等于"等 |
阈值 | 输入触发告警的阈值 |
单击添加条件或添加分组可添加多条触发条件,满足任一条件即触发告警。
说明:
同一分组内的条件为与(AND)关系,不同分组之间为或(OR)关系。单击添加条件可在当前分组内新增条件,单击添加分组可新增一个独立的条件分组。
语句模式:通过条件表达式直接编写触发条件,适用于复杂的判断逻辑。
分组触发
分组触发默认关闭。开启后,可按某个字段对监控数据进行分组,每组独立判断触发条件。例如,按源 IP 分组后,可以实现"当某个源 IP 的错误日志数量超过阈值时单独告警"。
执行周期
设置告警策略的执行频率,支持以下方式:
固定频率:每隔指定分钟数执行一次,例如"每 1 分钟"。取值范围为 1-1440 分钟。
固定时间:设定任务每日执行的具体时间。格式:HH:MM(例如 02:14),取值范围:00:00-23:59。
Cron 表达式:通过 Cron 表达式自定义执行时间,适用于需要在特定时间点执行的场景。
配置完监控任务后,可单击测试监控任务按钮,验证执行语句和触发条件是否符合预期。
多维分析
多维分析用于在告警触发时附带辅助分析信息,帮助快速定位问题根因。
分析类型 | 说明 |
相关原始日志 | 获取符合执行语句检索条件的原始日志。例如当 Error 日志过多触发告警时,在告警中查看对应的详细日志 |
字段 TOP5 及占比统计 | 针对触发告警时间范围内的全部日志,按指定字段分组统计日志条数,获取前 5 项字段值及其占比。例如获取 Top5 URL、Top5 响应状态码等 |
自定义检索分析 | 针对触发告警时间范围内的全部日志,执行自定义检索分析语句。例如:通过 * | select avg(timeCost) as time, URL group by URL 获取每个接口请求耗时,通过 status > 499 获取错误日志 |
单击效果示意可查看示例效果。
单击+ 添加多维分析可添加多条多维分析。
告警通知
告警通知用于配置告警触发后的通知策略。
配置项 | 说明 |
告警频率 | 设置告警通知的发送频率。格式为"持续 N 个监控周期满足触发条件,则每 M 分钟告警一次。" |
通知方式 | 选择可观测平台通知模板,通过腾讯云可观测平台管理告警通知的接收人和接收方式 |
通知模板 | 单击添加通知模板,从可观测平台中选择已创建的通知模板或新建通知模板。每条告警策略最多可选择 5 个通知模板。通知模板中定义了告警等级、通知渠道(短信、邮件、企业微信等)和接收人 |
附加分类字段 | (可选)单击+ 添加分类字段,为告警通知附加自定义分类标签,便于对告警进行分类管理 |
附加通知内容 | (可选)自定义告警通知中附加的内容信息,默认值为 {{ .Label}},即附带告警的标签信息 |
说明:
使用可观测平台通知模板时,如果告警超过 24 小时仍未恢复,系统将自动降低通知频率为每天仅告警一次。
步骤三:管理告警策略
在告警策略列表中,可以对已创建的告警策略进行以下管理操作:
操作 | 说明 |
编辑 | 修改告警策略的监控对象、执行语句、触发条件、通知方式等配置 |
启用/停用 | 控制告警策略的运行状态。停用后策略将暂停执行,不再触发告警 |
复制 | 基于现有策略快速创建一条新的告警策略 |
删除 | 删除不再需要的告警策略。删除后不可恢复,请谨慎操作 |
注意:
停用或删除告警策略后,该策略将不再执行监控和告警通知。如果该策略用于监控关键安全事件,请确认已有其他监控手段覆盖后再进行操作。
步骤四:查看告警历史
1. 在告警配置页面,单击告警历史。
2. 告警历史页面包含两个页签:
告警历史:查看所有已触发的告警记录。单击查看详情可查看告警策略详情和执行详情。
告警执行统计:按自定义统计方式查看告警执行统计。单击告警可查看告警策略详情和执行详情。
操作日志
记录的操作类型包括:
操作行为 | 危险等级 | 说明 |
新建告警策略 | 提示 | 创建新的告警策略 |
启用告警策略 | 提示 | 启用已停用的告警策略 |
编辑告警策略 | 低危 | 修改告警策略配置 |
停用告警策略 | 低危 | 停用正在运行的告警策略 |
删除告警策略 | 低危 | 删除告警策略 |
说明:
提示:新建、启用属于正向操作,对现有告警能力无负面影响。
低危:编辑、停用、删除可能影响已有的告警监控能力,建议操作前确认影响范围。
相关文档
如需了解更多关于日志分析、日志投递及告警能力的信息,请参见以下文档:
计费概述
日志分析
日志投递
