前提條件

• 已在接入管理頁面完成Web業務接入。具體操作，請參見接入管理概述。

• 已開通日志服務。具體操作，請參見開啟或關閉日志服務。

  開啟日志服務后，阿里云日志服務 SLS（Simple Log Service）將自動創建project和logstore，并采集您指定防護對象的日志字段投遞到該logstore中。因此，您可以在日志服務配置自定義WAF監控與告警。

操作步驟

1. 在WAF控制臺，為防護對象開啟日志采集。

   1. 登錄Web應用防火墻3.0控制臺。在頂部菜單欄，選擇WAF實例的資源組和地域（中國內地、非中國內地）。

   2. 在左側導航欄，選擇檢測與響應 > 日志服務

   3. 在日志服務頁面上方，選擇要查詢日志的防護對象，開啟日志采集狀態開關。

      開啟后，分鐘級別生效。

2. 在日志服務控制臺，配置告警。

   1. 創建日志分析儀表盤。

      1. 登錄日志服務控制臺。

      2. 在Project列表中，定位到要操作的WAF日志項目，單擊Project名稱。

      3. 輸入查詢語句，并單擊查詢/分析。具體操作，請參見步驟4。

         說明

         關于對監控指標進行查詢/分析時用到的SQL查詢語句，請參見查詢與分析語句。

      4. 查詢結束后，在統計圖表頁簽，單擊添加到儀表盤。

      5. 在添加到儀表盤對話框，完成以下配置，并單擊確認。

         配置項	說明
         操作類型	選擇新建儀表盤。
         布局模式	選擇儀表盤布局模式。
         儀表盤名稱	為當前查詢語句對應的儀表盤命名。

         成功創建儀表盤后，頁面跳轉到新建的儀表盤。儀表盤默認包含步驟iii使用的查詢語句對應的圖表，您可以根據需要在儀表盤編輯當前圖表或添加更多的圖表。

   2. 配置日志圖表。

      1. 在日志服務控制臺左側導航欄，選擇 > 儀表盤列表，單擊目標儀表盤。

      2. 在儀表盤頁面，單擊編輯。

      3. 在儀表盤編輯模式下，根據需要編輯、刪除當前儀表盤中已有圖表或通過復制添加新的圖表。

         說明

         您可以先通過復制添加圖表，然后再編輯圖表的配置。通過該方式在儀表盤里添加多個圖表，實現多樣化的數據展示以及告警配置。

         • 通過復制添加新的圖表

           1. 定位到要復制的圖表，將光標懸置在圖表右上角的圖標上，單擊復制。

              成功復制圖表后，當前圖表旁邊出現一個相同的圖表。

           2. 用光標拖動復制生成的圖表到儀表盤上的合適位置。

         • 編輯已有圖表

           1. 定位到要編輯的圖表，將光標懸置在圖表右上角的圖標上，單擊編輯。

           2. 在編輯頁面，根據需要修改當前圖表的配置，例如圖表名稱、SQL查詢語句、相對統計時間、圖表類型等，并單擊確定。

         • 刪除已有圖表

           定位到要刪除的圖表，將光標懸置在圖表右上角的圖標上，單擊刪除。

   3. 配置日志告警。

      1. 在儀表盤頁面，選擇告警 > 創建告警。

      2. 在新建告警面板中，配置如下參數，然后單擊確定。

         必要參數說明和配置示例如下所示：

         

         參數	描述	示例
         規則名稱	配置告警監控規則名稱。	網站日志告警監控規則
         檢查頻率	根據您配置的頻率對查詢和分析結果進行檢查。 固定間隔：按照固定間隔檢查查詢和分析結果。 Cron：通過Cron表達式指定時間間隔，按照該指定的時間間隔檢查查詢和分析結果。 Cron表達式的最小精度為分鐘，24小時制，例如0 0/1 * * *表示從00:00開始，每隔1小時檢查一次。	固定間隔，15，分鐘
         查詢統計	單擊輸入框，在查詢統計對話框中，設置查詢和分析語句。關于查詢分析的使用限制，請參見查詢和分析。 關聯報表：您可以選擇監控儀表盤。 高級配置：在高級配置頁簽下，您可以選擇監控日志庫、指標庫和資源數據。 日志庫：用于存儲日志，相關的查詢分析配置請參見查詢和分析日志。 指標庫：用于存儲時序數據，相關的查詢分析配置請參見查詢和分析時序數據。 資源數據：用于配置特定告警監控規則所關聯的外部數據。更多信息，請參見創建資源數據。 配置多個查詢統計時，您可以指定集合操作關聯多個查詢結果。更多信息，請參見設置查詢統計語句。	0：選擇網站審計中心儀表盤中的請求成功率圖表。 1：選擇網站審計中心儀表盤中的響應時間趨勢圖表。 集合操作配置為笛卡爾積。
         分組評估	日志服務支持對查詢和分析結果進行分組。 標簽自定義：日志服務根據您配置的字段對查詢和分析結果進行分組。分組后，每個組單獨評估觸發條件。在每個檢查周期內，查詢和分析結果滿足觸發條件時，各個分組各自產生一條告警。 支持設置多個字段的配置。 不分組：在每個檢查周期內，滿足觸發條件時，只產生一條告警。	不分組
         觸發條件	配置觸發條件及嚴重度。 觸發條件 有數據：當查詢和分析結果中存在數據時，觸發告警。 有特定條數據：當查詢和分析結果中存在N條數據時，觸發告警。 有數據匹配：當查詢和分析結果中存在數據滿足告警表達式時，觸發告警。 有特定條數據匹配：當查詢和分析結果中存在N條數據滿足告警表達式時，觸發告警。 嚴重度 主要用于告警降噪控制和告警通知控制，即您在創建告警策略或行動策略時，可添加關于告警嚴重度的判斷條件。更多信息，請參見設置告警嚴重度。 簡單配置：直接選擇告警嚴重度，則表示通過該規則產生的告警都為同一嚴重度。 分條件配置：單擊添加，分條件設置告警嚴重度。 告警條件表達式的相關語法，請參見告警條件表達式語法。	有數據匹配 $0.success_ratio <90&&$1.平均響應時間\(s\) >60 嚴重度：中 說明 當字段中存在括號()時，需使用反斜線（\）進行轉義。
         添加標注	日志服務允許您給產生的告警添加非標識性屬性，鍵值對格式。主要用于告警降噪控制和告警通知控制，即您在創建告警策略或行動策略時，可添加關于標注的判斷條件。更多信息，請參見添加標簽和標注。 您還可以打開自動添加標注開關，系統自動在告警中添加__count__等信息。更多信息，請參見自動標注。	標題（title）：監控網站請求成功率和平均響應時間 描述（desc）：請求成功率：${success_ratio}，平均響應時間：${平均響應時間(s)} 自動添加標注：打開
         連續觸發閾值	配置連續觸發閾值。當累計的觸發次數達到該值時，產生一條告警。不滿足觸發條件時不計入統計。	1
         輸出目標	日志輸入位置。請選擇SLS通知。	選擇SLS通知。
         告警策略	告警策略用于合并、靜默和抑制已產生的告警。 選擇極簡模式和普通模式時，您無需配置告警策略。日志服務默認使用SLS內置動態告警策略（sls.builtin.dynamic）進行告警管理。 選擇高級模式時，您可以選擇內置的或自定義的告警策略進行告警管理。如何創建告警策略，請參見創建告警策略。	極簡模式
         行動策略	行動策略用于控制告警通知渠道和頻率等。 當告警策略選擇為極簡模式時，您只需配置行動組即可。 您配置行動組后，日志服務自動為您創建一個名為規則名稱-行動策略的行動策略。由該告警監控規則觸發的所有告警都通過該行動策略發送通知。如何配置，請參見通知渠道說明。 重要 您可以在行動策略管理頁面，修改該行動策略。具體操作，請參見創建行動策略。如果您在修改行動策略時添加了判斷條件，則此處的告警策略將自動變更為普通模式。 當告警策略選擇為普通模式或高級模式時，您可以選擇內置的或自定義的行動策略進行告警通知。如需創建行動策略，請參見創建行動策略。 其中，您選擇告警策略選擇為高級模式時，還可以開啟或關閉自定義行動策略。更多信息，請參見動態行動策略機制。	渠道：短信 接收人：SLS運維組 內容模板：SLS內置內容模板 發送時段：任意
         重復等待	在重復等待時間內，重復的告警只會觸發一次行動策略，即只發送一次告警通知。	5分鐘

      3. 在左側導航欄，單擊圖標，查看已創建的告警，設置告警通知對象、通知策略等。具體操作，請參見1. 配置通知對象、創建告警策略。

         創建告警監控規則后，日志服務會根據您創建的規則監控查詢和分析結果。當查詢和分析結果滿足觸發條件時，觸發告警。您可以在告警規則中心儀表盤中查看告警觸發的記錄。具體操作，請參見查看告警觸發記錄。

相關文檔

如果您想了解WAF日志服務提供的日志圖表和告警配置范例，包括4XX比例異常告警（忽略攔截數據）、5XX比例異常告警、QPS告警、5分鐘內防護規則攔截情況告警等，請參見WAF日志告警配置案例。