配置操作策略以接收应用程序事件通知
除了现有的应用程序事件分析视图外,您还可以配置操作策略以通过 Slack、Email、PagerDuty 或 ServiceNow 获取应用程序事件通知。应用程序事件包括性能问题、机器人和 WAF 违规以及服务图违规。作为管理员,使用操作策略,您可以实时获取事件通知。
使用操作策略,您可以:
-
为应用程序事件预定义某些条件。
-
通过 Slack、Email、PagerDuty 和 ServiceNow 获取有关以下事件的通知:
活动类别 活动子类别 事件 安全违规 所有安全违规行为 所有机器人违规行为(有关机器人违规清单的更多信息,请参阅 违规类别)。 所有 WAF 违规(WAF SQL 违规、WAF XSS 违规和 WAF 推断 XML 违规) 每个客户端的所有安全违规事件 每个客户端的机器人违规行为 每个客户端的 WAF 违规情况 注意: 要收到 WAF 违规通知,最低违规交易量必须为 20%。例如,在 100 笔交易中,至少有 20 笔必须是违规交易。 应用程序性能 应用程序得分违规 客户端网络延迟 服务器网络延迟 服务器处理时间 响应时间 请求 Bandwidth(带宽) 服务图表违规 应用程序使用情况 每秒的请求 吞吐量 Data Volume(数据量)
配置操作策略
-
导航到 设置 > 操作 > 操作策略。
-
单击添加。
-
在“创建操作策略”页面中:
-
策略名称 — 提供您选择的策略名称。
-
启用 -默认情况下,此选项处于选中状态。
-
如果 发生以下事件 -从列表中选择一个事件。
-
并且“满足以下条件”— 从列表中选择定义要收到通知的条件。您可以单击 + 添加更多条件。要删除条件,请单击 —。
您可以使用以下运算符配置操作策略。根据您选择的条件显示运算符。
操作员 说明 等于 等于一个定义的值 不等于 不等于定义的值 大于 大于定义的值 大于或等于 大于或等于定义的值 小于 小于定义的值 小于或等于 小于或等于定义的值 包含 包含已定义的术语或值 开头是 以已定义的术语或值开头 结尾为 以定义的术语或值结尾 IN 允许您选择多个值 -
然后执行以下操作 — 选择“通知”。选择“通知”后,将显示“通知类型”选项。
-
通知类型 — 选择通知类型电子邮件、Slack、PagerDuty 或 ServiceNow。根据您选择的通知类型,会出现相应的选项(分发列表、Slack 配置文件、PagerDuty 配置文件或 ServiceNow 配置文件)。从列表中选择配置文件。
如果要创建新的配置文件,请单击“添加”。
-
单击创建策略。
策略已配置。您可以查看配置的策略详细信息。
配置策略后,可以选择策略并单击:
-
编辑 以更新或更改操作策略。更新后,单击“更新策略”。
-
删除 可移除操作策略。您可以选择多个策略,然后单击“删除”将其删除。
-
操作历史记录 可查看时间、采取的操作、策略名称、警报类型和警报消息等详细信息。
-
-
下表描述了操作策略配置的详细信息。
| 违规名称 | 条件 | 说明 |
|---|---|---|
| 所有安全违规行为 | 实例 IP | NetScaler 实例的 IP 地址。从列表中选择 IP 地址。 |
| 违规次数 | 您希望收到通知的违规次数。例如,如果您将违规计数配置为小于或等于 10,则当收到的机器人违规交易少于 10 笔时,您将收到通知。 | |
| 违规率 | 该值表示来自特定交易的违规总数,该值必须介于 0 和 1 之间。例如,在 100 笔交易中,有 20 笔是违规行为,如果您想收到此类情况的通知,则必须输入 0.2。 | |
| 所有机器人违规行为 | 机器人档案 | 机器人配置文件名称,用于在 NetScaler 实例上配置机器人管理。 |
| 实例 IP | NetScaler 实例的 IP 地址。从列表中选择 IP 地址。 | |
| 违规次数 | 您希望收到通知的违规次数。例如,如果您将违规计数配置为小于或等于 10,则当收到的机器人违规交易少于 10 笔时,您将收到通知。 | |
| 违规率 | 该值表示来自特定交易的违规总数,该值必须介于 0 和 1 之间。例如,在 100 笔交易中,有 20 笔是违规行为,如果您想收到此类情况的通知,则必须输入 0.2。 | |
| 所有 WAF 违规、WAF SQL 违规、WAF XSS 违规、WAF 推断 XML 违规 | WAF 配置文件 | 用于在 NetScaler 实例上配置 WAF 安全设置的 WAF 配置文件名称。 |
| 实例 IP | NetScaler 实例的 IP 地址。从列表中选择 IP 地址。 | |
| 违规次数 | 您希望收到通知的违规次数。WAF 违规行为收到通知的最低要求为 20%。 | |
| 违规率 | 该值表示来自特定交易的违规总数,该值必须介于 0 和 1 之间。例如,在 100 个事务中,20 个是 WAF SQL 违规事务,如果您想收到此类情况的通知,则必须输入 0.2。 | |
| 每个客户端的所有安全违规事件 | 应用程序名称 | 自定义应用程序名称。从列表中选择应用程序。如果您不添加此条件,则会考虑 NetScaler 实例中的所有应用程序。 |
| 实例 IP | NetScaler 实例的 IP 地址。从列表中选择 IP 地址。 | |
| 客户端 IP | 机器人起源的来源。指定 IP 地址。 | |
| Total Attacks(攻击总数) | 您希望收到通知的攻击总数。 | |
| 请求 URL | 您要配置为屏蔽的 URL。指定 URL。 | |
| 虚拟服务器名称 | 为自定义应用程序配置的关联应用程序。从列表中选择应用程序。如果您不添加此条件,则会考虑 NetScaler 实例中的所有应用程序。 | |
| 每个客户端的机器人违规行为 | 应用程序名称 | 自定义应用程序名称。从列表中选择应用程序。如果您不添加此条件,则会考虑 NetScaler 实例中的所有应用程序。 |
| 实例 IP | NetScaler 实例的 IP 地址。从列表中选择 IP 地址。 | |
| 客户端 IP | 机器人起源的来源。指定 IP 地址。 | |
| Total Attacks(攻击总数) | 您希望收到通知的攻击总数。 | |
| 违规类型 | 从列表中选择机器人违规。 | |
| 请求 URL | 您要配置为屏蔽的 URL。指定 URL。 | |
| 虚拟服务器名称 | 为自定义应用程序配置的关联应用程序。从列表中选择应用程序。如果您不添加此条件,则会考虑 NetScaler 实例中的所有应用程序。 | |
| 每个客户端的 WAF 违规情况 | 应用程序名称 | 自定义应用程序名称。从列表中选择应用程序。如果您不添加此条件,则会考虑 NetScaler 实例中的所有应用程序。 |
| 实例 IP | NetScaler 实例的 IP 地址。从列表中选择 IP 地址。 | |
| 客户端 IP | 机器人起源的来源。指定 IP 地址。 | |
| Total Attacks(攻击总数) | 您希望收到通知的攻击总数。 | |
| 违规类型 | 从列表中选择 WAF 违规行为。 | |
| 请求 URL | 您要配置为屏蔽的 URL。指定 URL。 | |
| 虚拟服务器名称 | 为自定义应用程序配置的关联应用程序。从列表中选择应用程序。如果您不添加此条件,则会考虑 NetScaler 实例中的所有应用程序。 | |
| 应用程序得分违规 | 绩效指标 | 应用程序评分组成部分及其阈值。从列表中选择应用程序评分组件。有关更多信息,请参阅 选择 App Score 组件和设置阈值。 |
| 漏洞计数 | 您想要收到通知的漏洞数量。例如,如果您将响应时间的漏洞计数配置为 5,则当超过响应时间阈值 5 次时,您将收到通知。 | |
| 应用程序名称 | 单击“选择应用程序”,选择要通知违规行为的应用程序。 | |
| 客户端网络延迟 | 客户端网络平均延迟 | 指定要收到通知的客户端延迟(客户端到 NetScaler)值(以毫秒为单位)。 |
| 客户端网络延迟异常 | 指定您希望收到 通知的网络延迟的异常次数。 | |
| 应用程序名称 | 单击“选择应用程序”,选择要通知违规行为的应用程序。 | |
| 服务器网络延迟 | 服务器网络平均延迟 | 指定要收到通知的服务器延迟(服务器到 NetScaler)值(以毫秒为单位)。 |
| 服务器网络延迟异常 | 指定您希望收到 通知的网络延迟的异常次数。 | |
| 应用程序名称 | 单击“选择应用程序”,选择要通知违规行为的应用程序。 | |
| 响应时间 | 平均响应时间 | 指定要接收通知的值(以毫秒为单位)。 |
| 响应平均时间异常 | 指定要收到通知的异常次数。 | |
| 应用程序名称 | 单击“选择应用程序”以选择要接收通知的应用程序。如果您未选择任何应用程序,则该应用程序将应用于所有应用程序。 | |
| 请求 | 请求总数 | 指定要收到通知的请求总数。 |
| 应用程序名称 | 单击“选择应用程序”以选择要接收通知的应用程序。如果您未选择任何应用程序,则该应用程序将应用于所有应用程序。 | |
| Bandwidth(带宽) | 总带宽 | 指定要接收通知的带宽 (MB)。 |
| 应用程序名称 | 单击“选择应用程序”以选择要接收通知的应用程序。如果您未选择任何应用程序,则该应用程序将应用于所有应用程序。 | |
| 服务器处理时间 | 服务器处理平均时间 | 指定要收到通知的服务器处理(服务器到 NetScaler)值(以毫秒为单位)。 |
| 服务器处理时间异常 | 指定您希望收到通知的服务器处理时间的异常次数。 | |
| 应用程序名称 | 单击“选择应用程序”,选择要通知违规行为的应用程序。 | |
| 服务图违规 | 违反配置阈值的微服务。有关更多信息,请参阅在服务图表中配置阈值。 | |
| 每秒的请求 | 平均每秒请求数 | 应用程序每秒收到的请求数。指定要获得通知的平均值。 |
| 每秒平均请求数异常 | 指定您想要获得通知的平均异常次数。 | |
| 注意: 如果您对此事件使用 AND 条件,则可以配置每秒平均请求数和应用程序名称或每秒请求异常平均值和应用程序名称。 | ||
| 应用程序名称 | 单击“选择应用程序”,选择要通知违规行为的应用程序。 | |
| 吞吐量 | 平均吞吐量 | 特定时间段内传输的总数据。指定要获得通知的平均值(以 MB 为单位)。 |
| 吞吐量平均异常 | 指定您想要获得通知的平均异常次数。 | |
| 注意: 如果您对此事件使用 AND 条件,则可以配置吞吐量平均值和应用程序名称或吞吐量平均异常和应用程序名称。 | ||
| 应用程序名称 | 单击“选择应用程序”,选择要通知违规行为的应用程序。 | |
| Data Volume(数据量) | 总数据量 | 在特定时长内要传输的总数据。指定要接收通知的值(以 MB 为单位)。 |
| 数据量异常 | 指定要收到通知的异常次数。 | |
| 注意: 如果您对此事件使用 AND 条件,则可以配置“总数据量和应用程序名称”或“数据量异常和应用程序名称”。 | ||
| 应用程序名称 | 单击“选择应用程序”,选择要通知违规行为的应用程序。 |
使用搜索栏
搜索栏允许您筛选结果。当您点击搜索栏时,它会给您一个搜索建议列表。您可以选择组件并根据要求筛选结果。
使用审核日志选项
单击“审核日志”,从列表中选择持续时间以查看在所选持续时间内创建、修改和删除的操作策略,然后单击“搜索”。
注意
预计在即将发布的版本中,数据存储政策将发生变化。通过这些更改,历史数据在超过存储限制后将无法存储。目前,建议添加更多存储空间或将存储空间保持在许可证授权限制范围内。