新增告警规则
更新时间:2025-08-15 15:55:27
用户可根据自身业务特点,选择开启系统定义告警规则,或配置自定义告警规则。本文将介绍规则相关的基本概念,并指导您新建告警规则。
进入网站安全态势页面:
- 登录CDNetworks控制台,在已开通产品下,找到正在使用的安全产品并点击进入。
- 前往 安全运营>告警管理>告警规则。
基本概念
系统定义规则和自定义规则
系统定义规则为安全运营专家制定,持续检测全部已接入防护的域名并记录告警历史。用户可以选择是否接受告警通知,但不可对规则进行编辑或删除。目前所支持的三类系统定义告警如下:
| 规则类型 | 规则名称 |
|---|---|
| 攻击感知通知 | 网站遭受网络层DDoS攻击 |
| 紧急响应通知 | 应用层DDoS攻击网站可用性下降 |
| 服务切换通知 | 高性能链路IP被黑洞 |
默认情况下,每个客户可自定义配置20条告警规则。
告警周期
一个完整的告警周期包括告警触发阶段(条件满足→产生告警),告警持续阶段(条件维持→告警通知),和告警恢复阶段(条件解除→告警恢复)。
告警触发阶段
告警触发条件依赖两大核心配置:统计周期和自定义统计指标。详细说明如下:
统计周期
| 说明 | 配置项 | 可配选项 |
|---|---|---|
| 一个统计周期包括:统计粒度和持续统计点数量。 统计粒度:定义指标检测间隔 持续统计点数量:定义检测持续时间 例如,选择1分钟粒度,持续3个统计点,系统将会在每一分钟进行一次指标检测,若3次都达到统计指标对应的配置阈值,则触发告警。 |
N分钟统计粒度 | 1分钟统计粒度 2分钟统计粒度 5分钟统计粒度 10分钟统计粒度 |
| 持续N个统计点 | 持续1个统计点 持续2个统计点 持续3个统计点 持续4个统计点 持续5个统计点 |
统计指标
| 说明 | 监控对象 | 配置项 | 可配选项 | 指标计算逻辑示例 |
|---|---|---|---|---|
| 统计指标设定待计算的监控表达式。一个统计指标包括:基础指标和过滤条件,两者组合以筛选出符合过滤条件的指标进行统计。 | 应用层防护 | 基础指标 | 请求数 QPS 回源请求数 回源QPS |
配置: 基础指标:请求数 过滤字段:1. WAF-规则类型 = XSS, SQL;2. 处理动作 = Deny 即统计: 处理动作等于Deny 且 触发WAF-规则类型等于XSS 或 SQL的 请求数 注意:请选择已启用防护服务的过滤字段,确保系统可以监控相关数据,发送告警。 |
| 过滤条件 | 策略:策略类型、处理动作 请求:路径、请求方法、状态码 DDoS防护:策略名称 WAF:规则类型 |
|||
| 网络层防护 | 基础指标 | 攻击带宽峰值 | 基础指标:DDoS攻击带宽峰值 过滤字段:DDoS攻击类型 = SYN, ACK 即统计: SYN Flood和ACK Flood攻击带宽峰值的总和 CPS黑洞的告警逻辑:资源组中的任意一个CPS IP被黑洞,即会触发告警;当黑洞被解除时,则消警。 |
|
| 过滤条件 | CPS黑洞 |
阈值运算符
| 运算符类型 | 运算符 | 示例 |
|---|---|---|
| 数值比较 | > , >= | 示例:请求数 > 100 次 |
| <,<= | 示例:请求数 < 100 次 | |
| =, != | 示例:请求数 = 100 次 | |
| 跨期波动 | 同比昨天上升,同比昨天下降 | 示例:回源请求数 同比昨天上升 30% 同比计算规则处理机制 |
| 比例计算 | 占比大于等于,占比小于 | 示例:回源5xx错误请求 占比大于等于 20% 基础指标:回源请求数 占比大于等于 20%过滤条件:状态码 等于 5xx 注意:占比计算必须添加过滤条件,用来计算符合条件的占比。 |
告警持续阶段
在告警持续阶段,用户可自定义告警通知的发送频率。告警通知频率由 每N分钟告警一次 ,和 是否需要消警通知 决定。详细说明如下:
| 配置项 | 可配选项 | 示例 |
|---|---|---|
| 每N分钟告警一次 | 仅首次告警 每5分钟告警一次 每10分钟告警一次 每15分钟告警一次 每30分钟告警一次 每1小时告警一次 每2小时告警一次 每6小时告警一次 每12小时告警一次 每24小时告警一次 |
场景: 告警持续时间为12分钟,配置每5分钟告警一次,且需要消警通知。 则表示触发告警后,告警频率为:触发时即时推送首次告警通知、间隔 5 分钟推送第二次告警通知、间隔 10 分钟推送第三次告警通知,第12分钟告警消除时,将推送告警恢复通知。 |
| 是否需要消警通知 | 是:接受通知 否:不接受通知 |
告警延迟说明:
- 首次告警通知为触发告警后的即时推送通知,告警从产生到推送到终端的时延如下:
应用层防护告警时延:约2分钟
网络层防护告警时延:约4~5分钟
CPS服务线路切换通知告警: 约2分钟- 告警持续阶段的告警通知会在每分钟的 30秒 启动执行。例如,05:50 的监控数据,将在 05:30 开始处理流程,实际通知可能产生 秒级时间浮动(±30秒)。
告警恢复阶段
当触发告警的指标数据 持续N个统计周期 未达到阈值时,系统将恢复告警。其执行逻辑如下:
- 系统从 首次检测到指标低于阈值的时间点 开始计时。
- 以 统计周期 为间隔,持续校验指标状态。
- 连续 N 次检测均满足恢复条件,即触发告警恢复。
例如配置:统计周期为2分钟(统计粒度为1分钟,持续2个统计点),持续2个统计周期 恢复。系统将会从请求数不超过阈值的那一分钟开始,每一分钟进行一次指标检测,若请求数连续4次都不超过阈值,则消警。
配置告警规则
在告警管理页面,点击新增告警规则进行规则配置。配置项以及相关说明如下:
| 配置项 | 说明 | |
|---|---|---|
| 基本信息 | 规则名称 | 自定义规则名称,最多50个字符。 |
| 规则描述 | 自定义规则描述,最多200个字符。 | |
| 告警规则 | 告警等级 | 设置告警触发时所对应的等级,可根据此等级判断告警处理的优先级。可选等级为:紧急、严重、警告。 |
| 监控对象 | 设置此条告警规则所监控的对象。可选监控对象为: 应用层防护:监控域名。 应用层防护:监控资源组。 注意:应用层防护中可供选择的监控域名,均为已接入安全防护的域名。 |
|
| 统计方式 | 设置此条告警规则对监控对象的统计方式。可选统计方式为: 逐一统计:对监控对象中的每一个对象数据进行监控。 合并统计:对监控对象中的汇总数据进行监控。最多支持1000个监控对象,超出上限则自动截取前1000个进行合并统计。 |
|
| 统计指标 | 设置此条告警规则的告警触发逻辑。详细内容见文档上方,告警触发阶段。 | |
| 告警频率 | 设置此条告警规则的告警通知频率。详细内容见文档上方,告警持续阶段。 | |
| 告警通知 | 消警通知 | 告警恢复时,选择是否接受消警通知。详细内容见文档上方,告警持续阶段。 |
| 通知时段 | 设置接受告警通知的时间段。若通知时间段外告警被触发,则不发送通知,只记录告警历史。配置项如下: 设置时间范围:开始时间和结束时间。 确认时区 选择生效星期:周一至周日 注意:通知时间的开始时间可以大于结束时间,告警通知将在通知周期的开始时间被发送,直到当天或跨天的结束时间停止。比如配置23:00-02:00,则接受告警通知的时间段为当日的23:00 到 次日凌晨2:00。 |
|
| 通知语言 | 设置告警通知的语言,支持以下语言选项:简体中文、英文。 | |
| 通知方式 | 设置接受告警通知的方式,支持以下渠道: 邮件:需要在账号管理 > 联系人管理 处新增联系人或联系组。详细操作步骤见:联系人管理。 机器人:需要在信息中心 > 机器人管理 处添加机器人。当前支持以下机器人选项:企业微信、钉钉、Telegram、飞书、Lark、Slack。 |
|
完成新规则的创建后,告警状态默认为启用,数据分析中心将开启告警监控。如需编辑/删除自定义告警规则,需要首先将规则状态设置为禁用。
场景示例
场景一:检测CC攻击发生时,AI智能防护是否下发规则对流量进行拦截
场景描述
当发生新型CC攻击时,AI智能防护将根据已学习到的具体攻击特征,定位攻击并下发对应的 AI 防护规则。此时通过告警,用户可以快速感知规则的下发情况和对流量的处理动作,及时接入分析是否存在误拦截等风险。
操作步骤
- 在 告警管理 页面,点击 新增告警规则,进入告警规则配置页面。
- 配置规则基本信息:规则名称和规则描述(可选)。
- 配置规则详情:
- 选择告警等级。
- 选择监控对象:应用层防护 - 全部域名
- 选择统计方式:逐一统计
- 配置统计指标:配置统计周期,例如 1分钟粒度 - 持续3个统计点,且满足以下 所有 条件时,触发告警;选择基础指标表达式,例如 请求数 > 100,添加过滤条件 处理动作 等于 拦截,DDoS防护-策略名称 等于 AI智能防护。
- 配置告警频率:例如 每5分钟告警一次,因为AI智能防护规则会在攻击停止15分钟后被自动删除,可配置当 持续5个统计周期 未达到触发条件时,告警消除。
- 配置告警通知:消警通知选择 是、配置通知时段保持默认(全时段)、通知语言、通知方式。
本篇文档内容对您是否有帮助?
有帮助
我要反馈