報警方式說明

配置消息中心報警（DDoS基礎防護、DDoS原生防護）

消息中心是阿里云賬號提供的消息通知服務，支持配置與阿里云服務相關的各類消息通知。

1. 登錄消息中心控制臺。

2. 在基本接收管理頁面設置郵箱或短信通知。

   1. 在左側導航欄單擊消息接收管理 > 基本接收管理。

   2. 在基本接收管理頁面，選中安全消息下的云盾安全信息通知，并根據需要選擇郵箱或短信。

   3. 在頁面下方單擊添加消息接收人，然后在修改消息接收人對話框，添加消息接收人，并單擊保存。

3. 在語音接收管理頁面設置語音報警通知。

   1. 在左側導航欄，單擊消息接收管理 > 語音接收管理。

   2. 在語音接收管理頁面，為DDoS黑洞通知開啟語音消息通知。

   3. 單擊DDoS黑洞通知操作列下的修改，然后在修改消息接收人對話框，修改語音消息的消息接收人，并單擊保存。

配置云監控報警（DDoS原生防護）

云監控 （CloudMonitor）是一項針對阿里云資源和互聯網應用進行監控的服務。云監控支持監控DDoS原生防護實例上的黑洞事件和清洗事件，事件發生時，阿里云將向報警通知聯系人組中設置的聯系人發送報警通知。

1. 登錄云監控控制臺。

2. 創建報警聯系人。如果已有聯系人，請跳過此步驟。

   1. 在左側導航欄，選擇報警服務 > 報警聯系人。

   2. 在報警聯系人頁簽單擊創建聯系人，然后在設置報警聯系人面板，填寫聯系人信息并完成滑塊驗證后，單擊確認。

3. 創建報警聯系人組。如果已有聯系人組，請跳過此步驟。

   說明

   報警通知的接收對象必須是聯系人組，您可以在聯系人組中添加一個或多個聯系人。

   1. 在左側導航欄，選擇報警服務 > 報警聯系人。

   2. 在報警聯系組頁簽單擊新建聯系人組，然后在新建聯系組面板，填寫相關信息并選擇聯系人后，單擊確認。

4. 在左側導航欄，選擇事件中心 > 系統事件，單擊另存為報警。

5. 在創建/修改事件報警面板，完成報警配置，并單擊確定。

   類型	配置項	說明
   基本信息	報警規則名稱	自定義報警規則名稱。
   事件報警規則	產品類型	選擇DDoS原生防護。
   	事件類型	要通知的事件類型，可選項：DDoS攻擊。
   	事件等級	選擇要通知的事件等級。所有DDoS告警時間均為嚴重等級，該參數僅支持選擇嚴重。
   	事件名稱	選擇要通知的事件?？蛇x項：黑洞、清洗。
   	關鍵詞過濾	在關鍵詞文本框輸入報警規則過濾的關鍵詞，然后在條件下拉框選擇過濾方式。取值： 滿足包含上面任何一個關鍵詞：當您的報警規則中包含任何一個關鍵詞時，不發送報警通知。 滿足不包含上面任何一個關鍵詞：當您的報警規則中不包含任何一個關鍵詞時，不發送報警通知。
   	SQL Filter	SQL過濾語句。
   	資源范圍	事件報警規則作用的資源范圍。選擇全部資源。 全部資源：任何資源發生相關事件，都會按照配置發送通知。 應用分組：只有指定應用分組內的資源發生相關事件，才會發送通知。
   報警方式	聯系人組	選擇發送報警的聯系人組。
   	報警通知	事件報警的級別和通知方式。取值： Critical（電話+短信+郵件+WebHook） Warning（短信+郵件+WebHook） Info（郵件+WebHook）
   	輕量消息隊列（原 MNS）、函數計算、URL回調和日志服務	無需設置。
   	通道沉默周期	報警發生后未恢復正常，間隔多久重復發送一次報警通知。

日志分析服務報警（DDoS原生防護）

您為DDoS原生防護開啟防護日志后，即可使DDoS原生防護采集防護對象的業務流量及防護日志，供您進行查詢與分析。您可以在查詢與分析日志的基礎上，通過條件組合等方式對需要關注的業務指標自定義報警規則，使DDoS原生防護在業務指標異常時，及時向您發送報警。

1. 登錄流量安全產品控制臺。

2. 在左側導航欄，選擇網絡安全 > DDoS原生防護 > 防護日志。

3. 在頂部菜單欄左上角處，選擇實例所在資源組和地域。

   • 原生防護1.0（包年包月）實例：請選擇實例所在地域。

   • 原生防護2.0（包年包月）實例、原生防護2.0（后付費）實例：請選擇全球。

4. 按照頁面提示開通SLS日志服務并完成RAM授權。如果您之前已完成開通和授權操作，請跳過本步驟。

5. 為實例開啟防護日志功能。如果您之前已開啟，請跳過本步驟。

   1. 在防護日志頁面，選擇目標實例，單擊立即升級。

   2. 在變配頁面設置防護日志為開啟，仔細閱讀并勾選服務協議。

   3. 單擊立即購買后，單擊訂購為實例開啟防護日志功能。

6. 為實例創建日志告警監控。

   1. 在防護日志頁面，選擇目標實例，單擊頁面右上角圖標。

   2. 單擊新版告警，并在告警監控規則頁簽完成配置項設置。

      配置項	說明
      規則名稱	自定義告警監控規則名稱。
      檢查頻率	根據您配置的頻率對查詢和分析結果進行檢查。 每小時：每小時檢查一次查詢和分析結果。 每天：在每天的某個固定時間點檢查一次查詢和分析結果。 每周：在周幾的某個固定時間點檢查一次查詢和分析結果。 固定間隔：按照固定間隔檢查查詢和分析結果。 Cron：通過Cron表達式指定時間間隔，按照該指定的時間間隔檢查查詢和分析結果。Cron表達式的最小精度為分鐘，24小時制，例如0 0/1 * * *表示從00:00開始，每隔1小時檢查一次。
      查詢統計	單擊輸入框，在查詢統計對話框中，設置查詢和分析語句。 關聯報表：選擇DDoS原生防護事件報表或DDoS原生清洗分析報表。 高級配置：無需修改，默認選擇日志庫。
      分組評估	日志服務支持對查詢和分析結果進行分組。更多信息，請參見設置分組評估。 不分組：在每個檢查周期內，滿足觸發條件時，只產生一條告警。 標簽自定義：日志服務根據您配置的字段對查詢和分析結果進行分組。分組后，每個組單獨評估觸發條件。在每個檢查周期內，查詢和分析結果滿足觸發條件時，各個分組各自產生一條告警。
      觸發條件	告警的觸發條件及嚴重度。 觸發條件： 有數據：當查詢和分析結果中存在數據時，觸發告警。 有特定條數據：當查詢和分析結果中存在N條數據時，觸發告警。 有數據匹配：當查詢和分析結果中存在數據滿足告警表達式時，觸發告警。 有特定條數據匹配：當查詢和分析結果中存在N條數據滿足告警表達式時，觸發告警。 嚴重度：您可以將某一規則產生的告警設置為同一嚴重度，也可以將同一規則滿足不同條件時，單擊添加設置為不同的嚴重度。
      添加標簽	日志服務允許您給產生的告警添加標識性屬性，鍵值對格式。主要用于告警降噪控制和告警通知控制，即您在創建告警策略或行動策略時，可添加關于標簽的判斷條件。更多信息，請參見添加標簽和標注。
      添加標注	日志服務允許您給產生的告警添加非標識性屬性，鍵值對格式。主要用于告警降噪控制和告警通知控制，即您在創建告警策略或行動策略時，可添加關于標注的判斷條件。更多信息，請參見添加標簽和標注。 您還可以打開自動添加標注開關，系統自動在告警中添加__count__等信息。更多信息，請參見自動標注。
      恢復通知	打開恢復通知開關后，告警恢復時，觸發一條恢復告警。其嚴重度與觸發的告警保持一致。
      高級配置	連續觸發閾值：當累計的觸發次數達到該值時，產生一條告警。不滿足觸發條件時不計入統計。 無數據告警：開關開啟后，如果查詢和分析的結果（有多個時，進行集合操作后的結果）為無數據的次數超過連續觸發閾值，則產生一條告警。更多信息，請參見無數據告警。
      告警策略	告警策略用于合并、靜默和抑制已產生的告警。 選擇極簡模式和普通模式時，您無需配置告警策略。日志服務默認使用SLS內置動態告警策略（sls.builtin.dynamic）進行告警管理。 選擇高級模式時，您可以選擇內置的或自定義的告警策略進行告警管理。如何創建告警策略，請參見創建告警策略。
      行動組	將告警集合按配置，通過各個渠道在發送時間符合時，以內容模板發送給接收人。 當告警策略選擇極簡模式時，您需要配置 僅當告警策略選擇極簡模式時需要配置該參數。 您也可以打開開啟智能合并開關，用于將重復、冗余、相關聯的告警合并為一組，每個分組中的告警在一段時間內只會通知一次，達到告警降噪的效果。更多信息，請參見告警智能分組合并。
      行動策略	行動策略用于控制告警通知渠道和頻率等。 當告警策略選擇為普通模式或高級模式時，您可以選擇內置的或自定義的行動策略進行告警通知。如何創建行動策略，請參見創建行動策略。 其中，告警策略選擇為高級模式時，還可以開啟或關閉自定義行動策略。更多信息，請參見動態行動策略機制。
      重復等待	在重復等待時間內，重復的告警只觸發一次行動策略，即只發送一次告警通知。