IBM Cloud Docs
配置警报策略

配置警报策略

IBM Cloud® Internet Services 具有可通过 API 配置的警报,以在发生事件时向您发出警告。

请参阅 “配置网络挂钩”以获取使用网络挂钩的说明。

警报仅可用于企业套餐。

警报类型

CIS 提供以下警报类型:

  • DDoS 攻击层 7 警报 适用于希望在减轻攻击时接收通知的 WAF 和 CDN 客户。

    如果收到 DDoS 攻击层 7 警报,那么无需执行任何操作。 每个警报都包含简短描述,检测和缓解攻击的时间,攻击类型,其最大攻击速率以及目标。

  • 证书警报 包含与 TLS 证书相关的警报。 以下警报类型指定您需要的续约方面。

    • 专用/高级 接收有关专用/高级证书的验证,发放更新和到期的通知。
    • 通用 SSL 证书将自动刷新,并且不需要用户操作。
    • 当 mTLS 证书到期时,Mutual TLS 会向您发出警报。
  • Logpush 作业警报会在作业因持续故障而禁用时发出警报,而不是在首次发生故障时发出警报。 任何受影响的任务目的地都会被列入警报中。

  • Web 度量报告 是每周摘要,其中包含来自帐户的 Web 度量的报告。

  • Cloudflare 维护报告 显示已调度,已更改或已取消的 Cloudflare 维护窗口。

  • Cloudflare 事件报告 显示正在进行的 Cloudflare 事件。

  • 安全性警报 包括 WAF 警报和高级 WAF 警报。

    • WAF 警报 在所有在防火墙事件中生成日志条目的服务中查找峰值。 平均检测时间为 2 小时。
    • 高级 WAF 警报。 您可以选择要监视的服务,并且将单独监视每个所选服务。 平均检测时间为 5 分钟。
  • 当负载均衡运行状况检查的运行状况状态发生更改时,将发送 负载均衡运行状况检查警报

  • 池切换警报 手动启用或禁用池时通知。

    如果接收到池切换警报,那么无需执行任何操作。 每个警报都包括池切换到的状态,发生时间以及进行更改的用户。

在控制台中配置警报策略

使用 UI 可创建,更新和删除警报策略。

要在控制台中配置警报策略,请导航到“账户”页面并选择“警报”选项卡。 在“警报”部分中,选择 警报策略 选项卡。

在控制台中创建安全警报策略

  1. 单击创建
  2. 选择要创建的警报策略类型:
    • HTTP DDoS 攻击警报,可检测并缓解针对某个域的 HTTP DDoS 攻击。
    • 专用/高级警报,用于在专用证书到期时以及更新证书时向您发出警报。
    • 通用 SSL 警报,用于在自动刷新通用证书时向您发出警报。
    • 相互 TLS 警报,用于在相互 TLS 证书到期时向您发出警报。
    • Logpush 作业警报,用于在任何已配置的 Logpush 作业失败时向您发出警报。
    • Web 度量报告,这是一个每周报告,可帮助识别应用程序的流量和性能随时间变化的变化。
    • Cloudflare 维护报告,报告已调度,已更改或已取消的 Cloudflare 维护窗口。
    • Cloudflare 事件报告,报告正在进行的 Cloudflare 事件。
    • 安全事件警报,在检测到所有安全事件的峰值的 2 小时内发出警报。
    • 高级安全性事件警报,用于在 5 分钟内通过可选服务过滤器检测到安全性事件的峰值时向您发出警报。
    • 负载均衡运行状况检查警报,用于在池运行状况检查或池源的运行状况状态更改时向您发出警报。
    • 池启用警报,这是基于池的已启用或已禁用切换状态的警报。
  3. 输入警报策略的名称,并可选择输入描述。
  4. 选择警报方法。 您可以选择 Webhook 和/或输入要向其发送警报的电子邮件地址。 仅需要一个通知即可完成配置。
    • 输入 Cloud Internet Services (CIS) 向其发送警报的电子邮件地址。 单击 + 以将地址添加到警报。 对所有电子邮件地址重复此操作。
    • 单击 添加 Webhook,然后选择可用的 Webhook。 如果不存在任何 Webhook,那么此选项不可用。
  5. 单击创建

缺省情况下,创建时将启用警报策略。 您可以通过切换 已启用 列中的切换来禁用创建的警报。

在控制台中创建高级安全警报策略

要在控制台中创建高级安全警报,请执行以下步骤:

  1. 单击创建
  2. 选择高级安全事件警报。
  3. 输入警报策略的名称,并可选择输入描述。
  4. 选择警报方法。 您可以选择 Webhook 和/或输入要向其发送警报的电子邮件地址。 仅需要一个通知即可完成配置。
    • 输入 Cloud Internet Services (CIS) 向其发送警报的电子邮件地址。 单击 + 以将地址添加到警报。 对所有电子邮件地址重复此操作。
    • 单击 添加 Webhook,然后选择可用的 Webhook。 如果不存在任何 Webhook,那么此选项不可用。
  5. 单击下一步
  6. 选择警报策略监视的域。
  7. 选择警报策略监视的服务。
  8. 单击创建

在控制台中编辑警报策略

编辑警报策略

  1. 点击警报部分中警报的“操作”菜单,然后选择“编辑”。
  2. 对名称和描述进行更改,添加或删除电子邮件地址,以及添加,除去或编辑 Webhook。
  3. 单击“**编辑 **”保存更改。

在控制台中删除警报策略

要删除警报策略,请执行以下操作

  1. 点击 “警报”部分中警报的“操作”菜单,然后选择“删除”。
  2. 单击确认信息中的删除

只能删除您创建的警报。

从 CLI 配置警报策略

从 CLI 配置警报策略。

列出 CLI 中的所有警报策略

要列出 CLI 中的所有警报策略,请运行以下命令:

ibmcloud cis alert-policy list [-i, --instance INSTANCE] [--output FORMAT]

其中:

  • -i, --instance 值是实例名称或 ID。
  • -- output value 指定输出格式; 仅支持 JSON。

从 CLI 获取警报策略的详细信息

要从 CLI 获取警报策略的详细信息,请运行以下命令:

ibmcloud cis alert-policy get POLICY_ID [-i, --instance INSTANCE] [--output FORMAT]

其中:

  • POLICY_ID 是警报策略的 ID。
  • -i, --instance 值是实例名称或 ID。
  • -- output value 指定输出格式; 仅支持 JSON。

从 CLI 创建 DDoS 攻击警报

要从 CLI 创建 DDoS 攻击警报策略,请运行以下命令:

ibmcloud cis alert-policy ddos-attack-l7-alert-create --name NAME (--emails EMAILS | --webhooks WEBHOOKS) --enabled (true | false) [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]

其中:

  • -- name value 是警报策略的名称。
  • --description value 是警报策略的描述。
  • -- email value 是用于分派警报通知的电子邮件地址。 例如,--emails test1@cn.ibm.com,test2@cn.ibm.com
  • -- webhook value 是用于分派警报通知的 Webhook 标识。 例如,--webhooks webhookID1,webhookID2
  • -- enabled value 确定是否启用警报策略。
  • -i, --instance 值是实例名称或 ID。
  • -- output value 指定输出格式; 仅支持 JSON。

从 CLI 创建池切换警报

要从 CLI 创建池切换警报,请运行以下命令:

ibmcloud cis alert-policy pool-toggle-alert-create --name NAME (--emails EMAILS | --webhooks WEBHOOKS) --enabled (true | false) --pools POOLS --trigger-condition (enabled | disabled | either) [--include-future-pools (true | false)] [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]

其中:

  • -- name value 是警报策略的名称。
  • --description value 是警报策略的描述。
  • -- email value 是用于分派警报通知的电子邮件地址。 例如,--emails test1@cn.ibm.com,test2@cn.ibm.com
  • -- webhook value 是用于分派警报通知的 Webhook 标识。 例如,--webhooks webhookID1,webhookID2
  • -- enabled value 确定是否启用警报策略。
  • -- pools value 是源池的标识。 如果设置为 all,那么将使用所有池标识。
  • -- trigger-condition value 是池切换状态的条件。
  • --include-future-pools value 确定是否包含将来的池。
  • -i, --instance 值是实例名称或 ID。
  • -- output value 指定输出格式; 仅支持 JSON。

从 CLI 创建安全警报

要从 CLI 创建安全警报,请运行以下命令:

ibmcloud cis alert-policy firewall-events-alert-create --name NAME (--emails EMAILS | --webhooks WEBHOOKS) --enabled (true | false) --domains DOMAINS [--services SERVICES] [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]

其中:

  • -- name value 是警报策略的名称。
  • --description value 是警报策略的描述。
  • -- email value 是用于分派警报通知的电子邮件地址。 例如,--emails test1@cn.ibm.com,test2@cn.ibm.com
  • -- webhook value 是用于分派警报通知的 Webhook 标识。 例如,--webhooks webhookID1,webhookID2
  • --domains value 是警报策略的域标识。 例如,--domains domainID1,domainID2
  • -- services value 指定警报监视的服务 (用于高级安全性警报)。 有效服务: country-access-ruleswaffirewall-rulesratelimitsecuritylevelip-access-rulesbrowser-integrity-checkua-ruleslockdownsiprange-access-rulesasn-access-rulesmanaged-firewallhotlinkssl-validation。 (仅限企业套餐。)
  • -- enabled value 确定是否启用警报策略。
  • -i, --instance 值是实例名称或 ID。
  • -- output value 指定输出格式; 仅支持 JSON。

安全警报和高级安全警报使用同一命令。 在 CLI 中创建高级安全事件警报命令时,请指定警报的服务。 如果未指定警报的服务,那么平均检测时间将从 5 分钟更改为 2 小时。

从 CLI 更新 DDoS 攻击警报策略

要从 CLI 更新 DDoS 攻击警报策略,请运行以下命令:

ibmcloud cis alert-policy ddos-attack-l7-alert-update POLICY_ID [--name NAME] [--emails EMAILS] [--webhooks WEBHOOKS] [--enabled (true | false)] [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]

其中:

  • POLICY_ID 是警报策略的 ID。
  • -- name value 是警报策略的名称。
  • --description value 是警报策略的描述。
  • -- email value 是用于分派警报通知的电子邮件地址。 例如,--emails test1@cn.ibm.com,test2@cn.ibm.com
  • -- webhook value 是用于分派警报通知的 Webhook 标识。 例如,--webhooks webhookID1,webhookID2
  • -- enabled value 确定是否启用警报策略。
  • -i, --instance 值是实例名称或 ID。
  • -- output value 指定输出格式; 仅支持 JSON。

从 CLI 更新池切换警报策略

要从 CLI 更新池切换警报策略,请运行以下命令:

ibmcloud cis alert-policy pool-toggle-alert-update POLICY_ID [--name NAME] [--emails EMAILS] [--webhooks WEBHOOKS] [--enabled (true | false)] [--pools POOLS] [--trigger-condition (enabled | disabled | either)] [--include-future-pools (true | false)] [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]

其中:

  • -- name value 是警报策略的名称。
  • --description value 是警报策略的描述。
  • -- email value 是用于分派警报通知的电子邮件地址。 例如,--emails test1@cn.ibm.com,test2@cn.ibm.com
  • -- webhook value 是用于分派警报通知的 Webhook 标识。 例如,--webhooks webhookID1,webhookID2
  • -- enabled value 确定是否启用警报策略。
  • -- pools value 是源池的标识。 如果设置为 all,那么将使用所有池标识。
  • -- trigger-condition value 是池切换状态的条件。
  • --include-future-pools value 确定是否包含将来的池。
  • -i, --instance 值是实例名称或 ID。
  • -- output value 指定输出格式; 仅支持 JSON。

从 CLI 更新安全警报策略

要从 CLI 更新安全警报策略,请运行以下命令:

ibmcloud cis alert-policy firewall-events-alert-update POLICY_ID [--name NAME] [--emails EMAILS] [--webhooks WEBHOOKS] [--enabled (true | false)] [--domains DOMAINS] [--services SERVICES] [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]

其中:

  • -- name value 是警报策略的名称。
  • --description value 是警报策略的描述。
  • -- email value 是用于分派警报通知的电子邮件地址。 例如,--emails test1@cn.ibm.com,test2@cn.ibm.com
  • -- webhook value 是用于分派警报通知的 Webhook 标识。 例如,--webhooks webhookID1,webhookID2
  • --domains value 是警报策略的域标识。 例如,--domains domainID1,domainID2
  • -- services value 指定警报监视的服务 (仅限企业套餐)。 有效服务: country-access-ruleswaffirewall-rulesratelimitsecuritylevelip-access-rulesbrowser-integrity-checkua-ruleslockdownsiprange-access-rulesasn-access-rulesmanaged-firewallhotlinkssl-validation
  • -- enabled value 确定是否启用警报策略。
  • -i, --instance 值是实例名称或 ID。
  • -- output value 指定输出格式; 仅支持 JSON。

从 CLI 删除警报策略

要从 CLI 中删除警报策略,请运行以下命令:

ibmcloud cis alert-policy delete POLICY_ID [-i, --instance INSTANCE] [-f, --force]

其中:

  • POLICY_ID 是警报策略的 ID。
  • -f, --force 试图删除警报策略而不提示确认。
  • -i, --instance 值是实例名称或 ID。

使用 API 创建警报策略

要创建电子邮件警报,请执行以下步骤:

  1. 登录到 IBM Cloud 帐户。
  2. 获取令牌。
  3. 使用该令牌,运行下列其中一个命令:
    • DDoS 攻击层 7
    • 池切换警报
    • 安全性 (WAF) 警报
    • 高级安全性 (WAF) 警报

警报命令

DDoS 攻击层 7 命令

curl -X POST \
  https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies \
  -H 'content-type: application/json' \
  -H 'x-auth-user-token: Bearer xxxxxx' \
  -d '{"name":"Example Policy","enabled":true,"alert_type":"dos_attack_l7","mechanisms":{"email":[{"id":"cistestemail@ibm.com"}],"webhooks":[]}}'

其中:

  • -d 是创建警报所需的属性数组。
    • name 是警报的名称。
    • enabled 是警报的状态 ( truefalse 之一)。
    • alert_type 是警报的类型 ( dos_attack_l7load_balancing_pool_enablement_alertclickhouse_alert_fw_anomalyclickhouse_alert_fw_ent_anomalydedicated_ssl_certificate_event_typeuniversal_ssl_event_typeload_balancing_health_alertweb_analytics_metrics_update 之一)。
    • 机制 至少是 emailwebhooks 中的一个。
    • description (可选) 是警报的描述。

池切换警报命令

curl -X POST \
  https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies \
  -H 'content-type: application/json' \
  -H 'x-auth-user-token: Bearer xxxxxx' \
  -d '{"name":"Example Policy","enabled":true,"alert_type":"load_balancing_pool_enablement_alert","mechanisms":{"email":[{"id":"cistestemail@ibm.com"}],"webhooks":[]},
       “filters”: {
       “enabled”: [
         “false”,
         “true”
       ],
       “pool_id”: [
         “6e67c08e3bae7eb398101d08def8a68a”,
         “df2d9d70fcb194ea60d2e58397cb35a6”
       ]
       },
       "conditions": {
       }}'

其中:

  • -d 是创建警报所需的属性数组。
    • name 是警报的名称。
    • enabled 是警报的状态 ( truefalse 之一)。
    • alert_type 是警报类型 ( dos_attack_l7load_balancing_pool_enablement_alertclickhouse_alert_fw_anomalyclickhouse_alert_fw_ent_anomalydedicated_ssl_certificate_event_typeuniversal_ssl_event_typeload_balancing_health_alert 之一)。
    • 机制 至少是 emailwebhooks 中的一个。
    • description (可选) 是警报的描述。
    • filter 是池切换警报的所有启用状态和池标识的列表。
    • conditions 为所有池描述是否正在启用和/或禁用池。 如果字段为空,那么将自动生成内容。

安全性 (WAF) 警报命令

要配置 WAF 警报,请使用以下命令:

curl -X POST \
  https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies \
  -H 'Content-Type: application/json' \
  -H 'X-Auth-User-Token: Bearer xxxxxx' \
  -d '{
  "name": "WAF Alerter",
  "description": "Send an email on spike in firewall events for any service",
  "enabled": true,
  "alert_type": "clickhouse_alert_fw_anomaly",
  "mechanisms": {
    "email": [
      {
        "id": "sreteam@techcompany.com"
      }
    ]
  },
  "filters": {
    "zones": [
      "123456ab7d8e9f0g12h2j34l5mn6op78"
    ]
  }
}'

其中:

  • -d 是创建警报所需的属性数组。
    • name 是警报的名称。
    • description (可选) 是警报的描述。
    • enabled 是警报的状态 ( truefalse 之一)。
    • alert_type 是警报类型 ( dos_attack_l7load_balancing_pool_enablement_alertclickhouse_alert_fw_anomalyclickhouse_alert_fw_ent_anomalydedicated_ssl_certificate_event_typeuniversal_ssl_event_typeload_balancing_health_alert 之一)。
    • 机制 至少是 emailwebhooks 中的一个。
    • 过滤器 是 WAF 警报的所有区域的列表。

高级安全性 (WAF) 警报命令

要配置高级 WAF 警报,请使用以下命令:

curl -X POST \
  https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies \
  -H 'Content-Type: application/json' \
  -H 'X-Auth-User-Token: Bearer xxxxxx' \
  -d '{
  "name": "WAF Alerter",
  "description": "Send an email on spike in firewall events for WAF or browser integrity check",
  "enabled": true,
  "alert_type": "clickhouse_alert_fw_ent_anomaly",
  "mechanisms": {
    "email": [
      {
        "id": "sreteam@techcompany.com"
      }
    ]
  },
  "filters": {
    "services": [
      "waf",
      "bic"
    ],
    "zones": [
      "123456ab7d8e9f0g12h2j34l5mn6op78"
    ]
  }
}'

其中:

  • -d 是创建警报所需的属性数组。
    • name 是警报的名称。
    • description (可选) 是警报的描述。
    • enabled 是警报的状态 ( truefalse 之一)。
    • alert_type 是警报类型 ( dos_attack_l7load_balancing_pool_enablement_alertclickhouse_alert_fw_anomalyclickhouse_alert_fw_ent_anomalydedicated_ssl_certificate_event_typeuniversal_ssl_event_typeload_balancing_health_alert 之一)。
    • 机制 至少是 emailwebhooks 中的一个。
    • 过滤器 是要监视高级 WAF 警报的安全事件和区域的所有服务的列表。

您可以监控以下服务:

高级 WAF 警报可监控的服务
服务 日志值
国家或地区 IP 访问规则 country
WAF waf
防火墙规则 firewallrules
速率限制 ratelimit
安全级别 securitylevel
IP 访问规则 ip
验证 validation
浏览器完整性检查 bic
热链接保护 hot
用户代理阻止 uablock
区域锁定 zonelockdown
IP 范围访问规则 iprange
ASN IP 访问规则 asn
定制防火墙 firewallCustom
受管防火墙 firewallManaged
数据丢失预防 dlp

使用 API 编辑警报策略

要编辑电子邮件警报,请运行以下命令:

curl -X PUT \
  https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies/:policy_id \
  -H 'content-type: application/json' \
  -H 'x-auth-user-token: Bearer xxxxxx' \
  -d '{"name":"Example Policy","enabled":true,"alert_type":"dos_attack_l7","conditions":{},"mechanisms":{"email":[{"id":"cistestemail@ibm.com"}],"webhooks":[]}}'

conditions 字段是必需的,即使它可能为空也是如此。

使用 API 删除警报策略

要删除电子邮件警报,请运行以下命令:

curl -X DELETE \
  https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies/:policy_id \
  -H 'content-type: application/json' \
  -H 'accept: application/json' \
  -H 'x-auth-user-token: Bearer xxxxxx'