通过LTS配置WAF规则的拦截告警

前提条件

• 防护网站已成功接入WAF。
• WAF的攻击日志流已对接到LTS。
• 已开通消息通知服务。

快速分析规则拦截日志

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域或项目。
3. 单击页面左上方的，选择“管理与监督 > 云日志服务”，进入“日志管理”页面。
4. 在日志组列表中，展开waf日志组，选择日志流“attack”。
5. 在日志流详情页面，单击右上角，在弹出页面中，选择“云端结构化解析”页签，进入日志结构化配置页面。
6. 选择“JSON”日志结构化方式，单击“从已有日志中选择”，在右侧弹框中任意选择一条日志。
7. 单击“智能提取”，筛选出需要“快速分析”的字段，打开这些字段在“快速分析”列的开关，打开后，可以对周期类日志进行统计分析。
8. 找到“category”字段，单击该字段“别名”列的，修改该字段名称并单击保存设置。
   

   该字段名称与系统内置字段 category 重复了，需要修改后才能保存成功。

9. 在列表右下方，单击“保存”，LTS将对周期内的日志进行快速分析、统计。
10. 在左侧导航树中，选择“可视化”，在页面右侧选择日志查询时间段，在搜索框中输入SQL语句后单击“执行查询”。

    您可以根据 rule 和 uri 进行分组，在搜索框中输入如下SQL语句，查询指定规则的日志：

    select rule, uri, count(*) as cnt where action = 'block' group by rule, uri order by cnt desc

配置告警规则

1. 单击页面左上方的，选择“管理与监督 > 云日志服务”，进入“日志管理”页面。
2. 在左侧导航树中，选择“告警”，并选择“告警规则”页签。
3. 单击“创建”，在右侧弹框中配置相关参数，参数说明如表1所示。

   表1 关键参数说明

   参数名称	参数说明	样例
   规则名称	自定义该规则的名称。	WAF告警
   统计类型	选择“SQL统计”。	SQL统计
   相关图表	单击“直接添加”。 选择需要配置拦截告警的“日志组名称”和“日志流名称”。 “查询时间”：日志统计时间周期。 “查询语句”：10中配置好的SQL语句，如select rule,uri,count(*) as cnt where action='block' group by rule,uri order by cnt desc	-
   统计周期	告警触发的周期。一般选择“固定间隔”，5分钟。	固定间隔 5 分钟
   条件表达式	配置告警阈值	cnt>5
   触发告警级别	根据该拦截规则的紧急程选择告警级别，可选择“紧急”、“重要”、“次要”、“提示。”	重要
   发送通知	选择“发送”。	发送
   告警主题	单击下拉列表选择已创建的主题或者单击“查看主题”创建新的主题，用于配置接收告警通知的终端。 更多关于主题和订阅的信息，请参见《消息通知服务用户指南》。	-
   时区/语言	可单击“修改”配置消息接收的语言和时区。	-
   消息模板	在下拉框中选择已有的模板或者单击“创建消息模板”创建新的模板。	sql模板

4. 参数配置好后，单击“确定”，告警规则配置完成。当触发该告警规则时，您会收到告警邮件或者短信。