报警推送
当产生报警时,云分析可以实时的通过HTTP接口将报警信息推送到第三方平台
设置回调接口
在云分析中,不同租户可以设置不同的报警地址
POST /api/v1/setting/setAlarmCallback
{
"instance_id": "xxxxx",
"url": "http://xxxx.com/alarm"
}
--> 返回数据
{
"status": 0,
"description": "ok"
}
获取当前回调接口
POST /api/v1/setting/getAlarmCallback
{
"instance_id": "xxxxx"
}
--> 返回数据
{
"status": 0,
"description": "ok",
"data": "http://xxxxx.com/"
}
报警推送数据样例
目前,报警推送并不区分成功失败
{
// 攻击来源
"source": "103.202.100.30",
// 攻击起始时间
"attack_time": "2016-06-22T01:30:03.000Z",
// 攻击结束时间
"attack_endtime": "2016-06-22T01:30:03.000Z",
// 攻击目标,IP或者域名
"target": "www.fake-domain128.com",
// 成功为 1,失败为 0
"success": "1",
// 攻击类型 ID
"category_id": 20008,
// 攻击类型中文
"cateogry_name": "SQL 注入",
// 攻击者 UA
"ua": "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0; .NET4.0E; .NET4.0C; .NET CLR 3.5.30729; .NET CLR 2.0.50727; .NET CLR 3.0.30767",
// 攻击 URI
"uri": "http://check.baidu.com/plus/90sec.php?id=132",
"request_uri": "/plus/90sec.php",
"request_method": "GET",
// HTTP响应
"response": "404",
// 其它内部参数
"@timestamp": "2016-06-22T01:30:03.000Z",
"events_count": 1,
"op_comment": "",
"op_status": 0,
}