报警推送

当产生报警时,云分析可以实时的通过HTTP接口将报警信息推送到第三方平台

设置回调接口

在云分析中,不同租户可以设置不同的报警地址

POST /api/v1/setting/setAlarmCallback
{
    "instance_id": "xxxxx",
    "url": "http://xxxx.com/alarm"
}

--> 返回数据
{
    "status": 0,
    "description": "ok"
}

获取当前回调接口

POST /api/v1/setting/getAlarmCallback
{
    "instance_id": "xxxxx"
}

--> 返回数据
{
    "status": 0,
    "description": "ok",
    "data": "http://xxxxx.com/"
}

报警推送数据样例

目前,报警推送并不区分成功失败

{    
    // 攻击来源
    "source": "103.202.100.30",
    // 攻击起始时间
    "attack_time": "2016-06-22T01:30:03.000Z",
    // 攻击结束时间
    "attack_endtime": "2016-06-22T01:30:03.000Z",
    // 攻击目标,IP或者域名
    "target": "www.fake-domain128.com",
    // 成功为 1,失败为 0
    "success": "1",
    // 攻击类型 ID
    "category_id": 20008,
    // 攻击类型中文
    "cateogry_name": "SQL 注入",
    // 攻击者 UA
    "ua": "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0; .NET4.0E; .NET4.0C; .NET CLR 3.5.30729; .NET CLR 2.0.50727; .NET CLR 3.0.30767",
    // 攻击 URI
    "uri": "http://check.baidu.com/plus/90sec.php?id=132",
    "request_uri": "/plus/90sec.php",
    "request_method": "GET",
    // HTTP响应
    "response": "404",

    // 其它内部参数
    "@timestamp": "2016-06-22T01:30:03.000Z",
    "events_count": 1,
    "op_comment": "",
    "op_status": 0,
}