概述
全流量检测与响应(NDR)通过镜像出入服务器的网络流量,结合入侵防御引擎进行实时检测分析与告警,并记录完整的流量日志(包括数据包头与有效载荷)。支持按资产粒度灵活接入流量,接入入口分为以下 4 类页签:
CVM:CVM 资产。
容器集群:容器集群节点。
互联网边界流量:通过互联网边界防火墙接入的 GAAP、CVM、NAT 网关、CLB 等资产。
VPC 边界流量:通过 VPC 边界防火墙集群模式接入的云联网(CCN)实例。
注意:
前往 云防火墙购买页,购买全流量检测与响应功能。
如需试用全流量检测与响应功能,请 提交工单 申请。
VPC 边界流量目前处于公测阶段,默认情况下不可用。若您想体验此功能,请向云防火墙 提交工单 申请。
流量接入
说明:
互联网边界流量的资产(GAAP/CVM/NAT 网关/CLB),需先在云防火墙控制台开启对应 EIP 的互联网边界串行防火墙;
VPC 边界流量的 CCN 资产,需先开启 VPC 边界防火墙集群模式。
未满足上述前置条件时,对应行 NDR 开关将显示为不可开启,鼠标悬停可查看具体原因,并可单击去开启快速跳转至云防火墙控制台完成配置。
前置检查
在接入流量前,系统会自动拉取并校验账号、地域、实例、网络、配额、带宽、Agent、容器权限、边界防火墙接入状态等,并根据校验结果将资产分为以下三种状态:
可开启:所有检查项均通过,可正常开启 NDR。
可开启(有风险):存在一定风险(如带宽余量不足),但仍可开启,系统会展示风险提示信息。
不可开启:存在阻断性问题(如地域不支持、操作系统不兼容、配额不足、未接入对应边界防火墙等),需根据引导解决所有问题后才可开启。
检查维度 | 检查方式 | 检查内容 |
区域与产品可用性 | 预先检查 | 地域是否支持流量分析服务 |
资源存在性与基础信息 | 预先检查 / 触发检查 | 实例子网 ID 有效、实例无冲突镜像绑定 |
实例与操作系统兼容性 | 预先检查 | 实例机型是否支持镜像模式;操作系统是否在支持列表 |
网络与带宽健康度 | 触发检查 | 实例实时带宽与阈值;账户购买的带宽上限 |
配额与资源上限 | 预先检查 | 实例开启数量上限 |
容器场景与权限 | 预先检查 | 容器集群 KubeConfig 访问权限;DaemonSet 状态与 Pod 健康 |
账号与白名单 | 预先检查 | 是否已开通 VPC 流量镜像白名单 |
实例终端自动化助手 / Agent 状态 | 预先检查 | 是否已安装终端自动化助手 |
边界防火墙接入状态 | 预先检查 / 触发检查 | 互联网边界场景下,资产对应 EIP 是否已开启互联网边界串行防火墙;VPC 边界场景下,云联网(CCN)是否已接入 VPC 边界防火墙集群模式且开通对应白名单 |
说明:
预先检查:系统每 5 分钟自动检测一次资产是否满足开启条件。
触发检查:用户选择资产后开启 NDR 开关或加密流量检测开关时触发校验,校验完成后同步更新前置检测状态。
对互联网边界流量与 VPC 边界流量资产,前置检查同样适用。未通过前置检查时,对应行的 NDR 开关统一显示为不可开启,鼠标悬停可查看阻塞项及处置指引。
CVM 资产
单个开关:在目标资产所在行的操作列中,单击开启 NDR 开关即可启用全流量检测与响应功能;再次单击可停止全流量检测与响应功能。
全部开关:单击页面顶部的全部开启或全部关闭,可开启或关闭所有 CVM 资产的全流量检测与响应开关。
说明:
全部开启时,系统会对每个资产执行前置检查。前置检查状态为不可开启的资产将被跳过,系统会提示跳过原因。
批量开关:若只需对部分资产操作:
1.1 勾选目标 CVM 资产。
1.2 单击页面顶部的批量开启或批量关闭。
若需要对新资产自动开启全流量检测与响应,详情请参见 新资产自动防护 。
容器集群资产
单个开关:在目标集群或节点所在行操作列中,单击开启 NDR 开关或全部开启即可启用全流量检测与响应功能;再次单击或单击全部关闭可停止全流量检测与响应功能。
全部开关:单击页面顶部的全部开启或全部关闭,可开启或关闭所有容器集群资产的全流量检测与响应开关。
说明:
全部开启时,系统会对每个资产执行前置检查。前置检查状态为不可开启的资产将被跳过,系统会提示跳过原因。
批量开关:若只需对部分资产操作:
1.1 勾选目标集群或节点。
1.2 单击页面顶部的批量开启或批量关闭。
若需要对新资产自动开启全流量检测与响应,详情请参见 新资产自动防护 。
互联网边界流量资产
说明:
同一台 CVM 资产若同时接入了 CVM 和互联网边界流量,两者将分别独立计费、独立采集。请根据实际业务需求选择合适的接入方式。
单个开关:在目标资产所在行操作列中,单击开启 NDR 开关即可启用全流量检测与响应功能;再次单击可停止全流量检测与响应功能。
全部开关:单击页面顶部的全部开启或全部关闭,可开启或关闭所有互联网边界流量资产的全流量检测与响应开关。
说明:
全部开启时,系统会对每个资产执行前置检查。前置检查状态为不可开启的资产将被跳过,系统会提示跳过原因。
批量开关:若只需对部分资产操作:
1.1 勾选目标互联网边界流量资产。
1.2 单击页面顶部的批量开启或批量关闭。
VPC 边界流量资产
说明:
单个开关:在目标资产所在行操作列中,单击开启 NDR 开关即可启用全流量检测与响应功能;再次单击可停止全流量检测与响应功能
全部开关:单击页面顶部的全部开启或全部关闭,可开启或关闭所有 VPC 边界流量资产的全流量检测与响应开关。
说明:
全部开启时,系统会对每个资产执行前置检查。前置检查状态为不可开启的资产将被跳过,系统会提示跳过原因。
资产状态说明
状态列 | 可能的状态值 | 说明 |
NDR 开关状态 | 已开启、已关闭、可开启-有风险、不可开启、开启失败、开启中、关闭中 | 展示 NDR 流量采集的开启状态及异常情况。 |
说明:
前置检查未通过的资产,NDR 开关统一展示为不可开启,鼠标悬停可在气泡中查看具体阻塞项及对应的去开启跳转入口。
当状态为异常时(如开启失败、不可开启、终端 Agent 异常等),页面会显示红色警示图标及异常信息 ,提示当前检测不可用。鼠标悬停在状态上可查看具体原因和操作指引,异常信息及指引包括:
失败原因分类 | 解决方案 |
当前地域暂不支持流量分析服务 | |
资产实例子网 ID 不存在 | |
资产实例 IP 地址格式无效 | |
当前操作系统类型暂不支持 | |
未检测到终端自动化助手 | |
网络带宽已达上限 | 实时带宽已达购买上限。建议: 1. 关闭非必要流量接入 |
资产实例接入数量已达上限 | |
单机带宽超载运行 | 当前服务器实时带宽使用率>40%(即实时带宽用量和镜像流量共占总带宽超过80%),系统已自动限制流量接入功能。建议: 1. 等待10分钟后重试。 |
当前实例机型不支持流量镜像模式 | |
流量镜像功能尚未开通 | |
已存在关联流量镜像资源 | |
流量镜像数量超出配额限制 | |
未开启互联网边界串行防火墙(互联网边界流量资产) | |
未开启 VPC 边界防火墙集群模式(VPC 边界流量资产) | |
服务器开小差,请稍后重试 | |
终端 Agent 装载异常 | |
终端 Agent 异常 | 2. Agent 进程运行可能存在异常,请确认操作系统运行情况。 |
资产性能监控
监控指标 | 说明 | 告警阈值 |
带宽占用 | 展示资产的实时带宽使用情况。 | 超过 40% 时展示限制红线。 |
CPU 占用 | 展示资产的 CPU 使用率。 | - |
内存使用量 | 展示资产的内存使用情况。 | - |
Agent CPU 占用 | 展示 NDR Agent 的 CPU 使用率(开启加密流量检测时可见)。 | 超过 50% 时展示限制红线。 |
Agent 内存占用 | 展示 NDR Agent 的内存使用情况(开启加密流量检测时可见)。 | 超过 600 MB 时展示限制红线。 |
说明:
当监控指标超出限制阈值时,系统会在监控图表中展示对应的风险提示,帮助及时发现和处理潜在的资源瓶颈问题。
流量接入设置
流量采集配置
超量处置配置
用于管理流量接入在带宽超量与单机过载场景下的限流、恢复与通知策略,包括带宽设置、超量处置策略、超量通知三部分。
1. 在 全流量检测与响应 > 流量接入页面,单击右上角的超量处置配置。
2. 可在此对带宽设置、超量处置策略、超量通知三类配置进行管理:
带宽设置
总流量 = 各实例的出入流量峰值之和,请确保流量分析带宽或弹性分析带宽大于总流量。
弹性防护:支持设置弹性分析带宽,当流量小于弹性分析带宽时进行分析,当流量大于弹性分析带宽时,进行超量处置。计费及超量处置说明请详见 带宽相关。根据需要调整弹性分析带宽数值。单击编辑进行修改,完成后单击确认调整保存设置。
超量处置:流量分析带宽超量不会导致客户业务流量丢包或影响流量速率,但将无法提供全流量检测与响应功能。
带宽规格超量限流与恢复机制
权重范围:0 - 100(默认 50),值越大优先级越高。
限流机制:实时带宽 > 购买规格时,系统优先自动关闭高权重解析(权重相同则按峰值带宽降序关闭),直至实时带宽降至购买规格内。
恢复机制:实时带宽 ≤ 购买规格时,系统优先自动开启高权重解析(权重相同则按峰值带宽降序开启),自动接入流量。
单机带宽过载自保护与恢复机制
冷却时间:默认 24 小时,最短 10 分钟,最长 7 天,支持自定义配置。
自保护机制:每隔 30s 检测服务器带宽使用率,当服务器带宽使用率 > 40%(因镜像流量,对应总带宽使用率 > 80%),系统关闭该服务器流量接入。
恢复机制:每隔 30s 检测服务器带宽使用率,当服务器带宽使用率在冷却时间的最后 2 分钟内均 ≤ 40%,系统自动恢复流量接入。
支持对权重进行批量编辑。
支持配置 VPC 边界流量下 CCN 资产的权重,与互联网边界流量、CVM 等共用同一份带宽配额,并统一参与权重排序。
超量通知设置:带宽规格超量和单机带宽过载会进行系统横幅提醒,告警通知、超量通知及恢复通知均会按照此处的通知配置发送通知。
接收通知:开启后将接收相关告警通知,关闭后不再接收。
告警对象:从子账户列表中勾选需通知的子账户,并可同时勾选主账号一并通知。
告警时段:设定告警推送的有效时间段,此时段外的告警将默认忽略,请谨慎设置。单个时间段最小间隔为 1 小时,最多可同时配置 5 个不同时段。
新增资产自动防护
用于配置发现新资产时是否自动接入流量与开启加密流量解析,避免每次新增资产后都需手动操作。
说明:
新增资产自动防护仅对 CVM 与容器集群生效,对互联网边界流量与 VPC 边界流量暂不适用,相关资产需在对应页面下手动接入。
1. 在 全流量检测与响应 > 流量接入页面,单击右上角的新增资产自动防护。
2. 支持设置新资产是否自动接入流量(即自动开启全流量检测与响应开关)和自动启用加密流量解析(即自动开启加密流量检测)。
资产类型设置为全部新资产时
自动接入流量开启时,发现新的公网与非公网的 CVM、容器后,会自动接入流量。
自动接入流量关闭时,发现新资产(公网与非公网的 CVM、容器)后,不会自动接入流量。
自动开启加密流量解析开启时,发现新的公网与非公网的 CVM、容器后,会自动开启加密流量解析。
自动开启加密流量解析关闭时,发现新资产(公网与非公网的 CVM、容器)后,不会自动开启加密流量解析。
资产类型设置为仅新公网资产时
自动接入流量开启时,发现新公网 CVM 资产后会自动接入流量,非公网资产不会自动接入。
自动接入流量关闭时,发现新资产(公网与非公网的 CVM、容器)后不会自动接入流量。
自动开启加密流量解析开启时,发现新公网 CVM 资产后会自动开启加密流量解析,非公网资产不会自动开启。
自动开启加密流量解析关闭时,发现新资产(公网与非公网的 CVM、容器)后不会自动开启加密流量解析。
全流量检测与响应检出告警
新版告警中心
旧版告警中心
全流量检测与响应检出日志
在 全流量检测与响应 页面,选择目标资产实例,在其操作栏中单击查看告警日志或查看流量日志,即可跳转至该实例对应的详细告警日志或流量日志界面。日志页面的具体操作指引请参见 查看全流量检测与响应日志。
在 全流量检测与响应日志 页面,可查看全流量检测与响应相关的核心日志信息,包括:流量分析日志、流量告警日志、流量风险日志、文件检测日志。该页面提供基础日志概览功能,具体操作指引请参见 查看全流量检测与响应日志。
在 日志分析 页面,可获取过去存储的全部全流量检测与响应日志完整信息、基于自定义检索语句快速定位目标日志、通过报表与统计分析服务,对日志数据进行深度分析与价值洞察。该页面支持高级分析与可视化功能,具体操作指引请参见 日志分析。
