本文介紹了使用Web應用防火墻日志服務發起查詢/分析時常用的監控指標及其含義。您可以將這些指標用于告警配置條件中,自定義監控業務的異常情況。本文也提供了在告警配置中建議使用的監控指標閾值和指標異常時的處理建議。
監控指標 | 釋義 | 建議閾值 | 處理建議 |
status:200 | 服務器已成功處理請求,返回了請求的數據。 | 初始化正常業務時,200狀態碼的告警監控閾值可以配置為90%,具體根據實際業務情況調整。 | 如果發現低于監控比例,需要分析比例下降的原因,例如是否因為其他錯誤狀態碼比例增加。 |
request_time_msec | 客戶端請求到返回結果的請求耗時。 | 按實際業務請求所需耗時,設置合適的超時告警監控閾值。 | 如果發現域名請求耗時較長,需要檢查客戶端-WAF-源站整體網絡鏈路質量,并排查源站響應狀態是否正常。 |
upstream_response_time | 請求回源時,源站返回數據的響應時間。 | ||
ssl_handshake_time | HTTPS協議請求時,客戶端與WAF的SSL握手時間。 | ||
status:302 and block_action:tmd/status:200 and block_action:tmd | 人機校驗JS請求狀態碼,302表示觸發默認策略,200表示觸發自定義CC防護策略。 | 初始化時,建議配置5%~10%的告警閾值比例,后續運營期間可以根據業務攔截情況靈活調整。 |
|
status:200 and block_action:antifraud | 被數據風控規則攔截。 | 測試可用后再上線,如彈出率過高,說明場景可能有問題,建議聯系阿里云研發團隊進行確認。 | |
status:404 | 服務器找不到請求的資源。 | 查詢觸發告警的IP。
| |
status:405 | 被Web應用防護規則或精準訪問控制規則攔截。 | 通過全量日志分析攔截的規則、請求行為,判斷是正常攔截還是誤攔截。 | |
status:444 | 被WAF CC自定義規則攔截。 |
| |
status:499 | 客戶端發起請求,服務端未返回數據,超過客戶端設置的等待時間后,客戶端主動斷鏈,服務端返回給客戶端該狀態碼。 |
| |
status:500 | (Internal Server Error)服務器內部錯誤,無法完成請求。 | 建議檢查源站處理資源負載、數據庫等情況。 | |
status:502 | (Bad Gateway)錯誤網關, 服務器作為網關或代理,從上游服務器收到無效響應。一般由于回源網絡質量變差、回源鏈路有訪問控制攔截回源請求導致源站無響應。 |
| |
status:503 | (Service Unavailable)服務不可用,由于超載或停機維護,服務器目前無法使用。 | 建議檢查源站是否異常。 | |
status:504 | (Gateway Timeout)網關超時,服務器作為網關或代理,但是沒有及時從上游服務器收到請求。 | 根據以下可能的原因進行排查:
|