前提條件

已在接入管理頁面完成Web業務接入。具體操作，請參見接入管理概述。

創建報警聯系人和報警聯系人組

1. 登錄云監控控制臺。

2. 在左側導航欄，選擇報警服務 > 報警聯系人。

3. 創建報警聯系人。

   1. 在報警聯系人頁簽，單擊創建聯系人。

   2. 在設置報警聯系人面板，填寫報警聯系人的姓名、手機號碼、郵箱和Webhook地址，其他參數均保持默認值。

      說明

      報警通知信息語言默認為自動，表示云監控根據當前阿里云賬號注冊時的語言，自動適配報警通知信息的語言。

   3. 信息驗證無誤后，單擊確認。

4. 創建報警聯系組。

   1. 在報警聯系組頁簽，單擊新建聯系人組。

   2. 在新建聯系人組面板，填寫報警聯系組的組名，并選擇報警聯系人后，單擊確認。

5. 批量添加報警聯系人到報警聯系組。

   1. 在報警聯系人頁簽，選中要添加到報警聯系組的報警聯系人，單擊添加到報警聯系組。

   2. 在添加到報警聯系組對話框，單擊目標報警聯系組，單擊確定。

   創建報警聯系人、創建報警聯系組、批量添加報警聯系人到報警聯系組后，您配置的WAF監控和告警信息會發送給告警聯系人。告警聯系人需及時查看告警通知信息，并對告警進行相應的處理。

設置WAF安全事件的監控與告警

1. 登錄云監控控制臺。

2. 在左側導航欄，選擇事件中心 > 系統事件。

3. 在事件監控頁簽，單擊右側的舊版事件報警規則，然后單擊創建報警規則。

4. 在創建/修改事件報警面板，完成如下配置后，單擊確定。

   參數	說明
   報警規則名稱	事件報警規則的名稱。
   產品類型	事件報警規則的云產品類型，選擇Web應用防火墻。
   事件類型	事件報警規則的事件類型，取值：Attack、Exceed、Event。
   事件等級	事件報警規則的事件等級。WAF 3.0的事件等級均為嚴重。
   事件名稱	事件報警規則的事件名稱。 說明 事件名稱下拉列表中，不帶V3后綴的事件為WAF 2.0支持監控的事件，帶V3后綴的事件為WAF 3.0支持監控的事件。關于WAF 2.0支持監控的安全事件，請參見支持監控的安全事件。
   關鍵詞過濾	報警規則過濾的關鍵詞。取值： 滿足包含上面任何一個關鍵詞：當事件內容中包含任何一個關鍵詞時，云監控會發送報警通知。 滿足不包含上面任何一個關鍵詞：當事件內容中不包含任何一個關鍵詞時，云監控會發送報警通知。
   SQL Filter	SQL過濾語句。
   資源范圍	事件報警的生效范圍，取值：全部資源、應用分組。
   報警通知	報警聯系人組：選擇發送報警的聯系人組，具體操作，請參見創建報警聯系人和報警聯系人組。 通知方式：事件報警的級別和通知方式，取值： Critical（電話+短信+郵件+WebHook） Warning（短信+郵件+WebHook） Info（郵件+WebHook）
   輕量消息隊列（原 MNS）	事件報警投遞到輕量消息隊列（原 MNS）的指定隊列。
   函數計算	事件報警投遞到函數計算的指定函數。
   URL回調	公網可訪問的URL，用于接收云監控通過POST請求推送的報警信息。目前僅支持HTTP協議。關于如何設置報警回調，請參見使用系統事件報警回調（舊版）。
   日志服務	事件報警投遞到日志服務的指定日志庫。
   通道沉默周期	報警發生后未恢復正常，間隔多久重復發送一次報警通知。取值：5分鐘、15分鐘、30分鐘、60分鐘、3小時、6小時、12小時和24小時。

   成功創建報警規則后，您可以在當已接入WAF的防護對象上發生安全事件時，報警規則中設置的聯系人將會收到相關報警通知。

   您也可以在事件監控頁面，在事件監控列表上的篩選框中，選擇產品為Web應用防火墻，監控事件為WAF 3.0相關事件（帶V3后綴的事件），查詢近期發生的WAF監控事件。

設置WAF業務指標的監控與告警

1. 登錄云監控控制臺。

2. 在左側導航欄，選擇報警服務 > 報警規則。

3. 在報警規則頁面，單擊創建報警規則。

4. 在創建報警規則面板完成如下配置后，單擊確認。

   參數	說明
   產品	云監控可管理的云產品名稱，選擇Web應用防火墻3.0。
   資源范圍	報警規則作用的資源范圍。取值： 全部資源：報警規則作用于WAF 3.0的全部資源上。 應用分組：報警規則作用于WAF 3.0的指定應用分組內的全部資源上。 實例：報警規則作用于WAF 3.0的指定資源上。
   規則描述	報警規則的主體。當監控數據滿足報警條件時，觸發報警規則。規則描述的設置方法如下： 單擊添加規則。 在設置規則描述面板，設置規則名稱、監控指標類型、監控指標、閾值、報警級別和報警方式等，單擊確定。 說明 關于WAF 3.0支持監控的業務指標，請參見支持監控的業務指標。
   通道沉默周期	報警發生后未恢復正常，間隔多久重復發送一次報警通知。取值：1分鐘、5分鐘、15分鐘、30分鐘、60分鐘、3小時、6小時、12小時和24小時。 某監控指標達到報警閾值時發送報警，如果監控指標在通道沉默周期內持續超過報警閾值，在通道沉默周期內不會重復發送報警通知；如果監控指標在通道沉默周期后仍未恢復正常，則云監控再次發送報警通知。
   生效時間	報警規則的生效時間，報警規則只在生效時間內才會檢查監控數據是否需要報警。
   報警聯系人組	選擇發送報警的聯系人組。具體操作，請參見創建報警聯系人和報警聯系人組。
   報警回調	公網可訪問的URL，用于接收云監控通過POST請求推送的報警信息。目前僅支持HTTP協議。關于如何設置報警回調，請參見使用閾值報警回調。 說明 單擊高級設置，可設置該參數。
   彈性伸縮	如果您打開彈性伸縮開關，當報警發生時，會觸發相應的伸縮規則。您需要設置彈性伸縮的地域、彈性伸縮組和彈性伸縮規則。 關于如何創建彈性伸縮組，請參見配置伸縮組。 關于如何創建彈性伸縮規則，請參見配置伸縮規則。 說明 單擊高級設置，可設置該參數。
   日志服務	如果您打開日志服務開關，當報警發生時，會將報警信息寫入日志服務的日志庫。您需要設置日志服務的地域、ProjectName和Logstore。關于如何創建Project和Logstore，請參見快速入門。 說明 單擊高級設置，可設置該參數。
   輕量消息隊列（原 MNS）— topic	如果您打開輕量消息隊列（原 MNS）— topic開關，當報警發生時，會將報警信息寫入輕量消息隊列的主題。您需要設置輕量消息隊列的地域和主題。關于如何創建主題，請參見創建主題。 說明 單擊高級設置，可設置該參數。
   無數據處理方法	無監控數據時報警的處理方式。取值： 不做任何處理（默認值） 發送無數據報警 視為恢復 說明 單擊高級設置，可設置該參數。
   標簽	報警規則的標簽。包括標簽名稱和標簽值。

   成功創建規則后，您可以在報警規則列表頁面，在列表上的篩選框中，選擇產品為Web應用防火墻3.0，指標名稱為resource分頁的指標，查詢已創建的監控指標報警規則。

   說明

   WAF支持的監控指標說明如下：

   • domain分頁下的指標為WAF 2.0支持監控的指標。

   • resource分頁下的指標為WAF 3.0支持監控的指標。關于WAF 3.0支持監控的業務指標，請參見支持監控的業務指標。

   • 實例分頁下的指標為混合云WAF支持監控的指標。其中，不帶V3后綴的指標為WAF 2.0支持監控的指標，帶V3后綴的指標為WAF 3.0支持監控的指標。

支持監控的安全事件

云監控支持對接入WAF的防護對象上發生的如下安全事件進行監控和報警。具體操作，請參見設置WAF攻擊事件的監控與告警。

支持監控的業務指標

云監控支持對接入WAF的防護對象的如下系統請求數據指標設置異常監控和告警，支持自定義指標異常的判斷方法。具體操作，請參見設置WAF業務指標的監控與告警。

相關文檔

API安全只能通過云監控實現嚴重程度為高危的告警推送，如果您需要低危、中危的告警推送，請參見API安全告警推送最佳實踐。