# 解析与监控设置

[解析设置](#解析设置)，根据功能配置，将服务请求解析到高防、WAF、源站。更加贴合用户的应用场景，增加WAF配置的灵活性及安全性。  
[监控设置](#监控设置)，根据不同域名的应用场景，用户可单独配置对应域名的监控方式，以便于及时获取相关告警信息。

!> 注意：  
监控设置，除业务异常自动回源外，其他监控类型均受[全局告警设置](/docs/uewaf/features/global/alert)中的开关控制，这里仅为域名级别的子开关，如果未开启全局告警设置的对应开关，则会无法收到短信或者邮件告警通知。
当解析状态为“高防”时，自动回源模式不生效。

## 解析设置

创建域名成功后可在 列表页→更多→解析设置 配置域名解析，默认为WAF解析。  

解析状态:浮窗展示当前域名所有区域解析状态。  

(1)高防：将域名解析到对应高防IP。  

(2)正常：将域名解析到WAF。  

(3)已回源：域名直接解析到源站IP。  
<!-- image-todo -->


### WAF解析

创建域名成功后可在 列表页→更多→解析设置→域名解析（默认配置）。  

该模式下，UWAF会识别和阻止恶意请求，并根据对应的防护规则策略对域名进行防护。
<!-- image-todo -->


### 源站解析

配置路径： 列表页→更多→解析设置→源站解析。   

该模式下，客户端将直接访问源站，源站将失去WAF的防护，请谨慎配置。

<!-- image-todo -->

### 高防解析

配置路径： 列表页→更多→解析设置→高防解析。
该模式下，UWAF与UDDOS联动为源站提供DDOS防护及攻击防护。

!> 注意：   
该模式需用户购买[UDDOS](/docs/uantiddos/uantiddos)服务并完成相关配置才可实现。  
仅开启高防解析功能的域名才可享受DDOS防护。

<!-- image-todo -->

#### 高防设置


配置路径：域名列表→更多→高防设置。  

<!-- image-todo -->

#### 高防配置

高防配置：点击【高防配置】按钮拉起配置弹窗，已在高防解析状态下不可配置。  
模式：  
①手动：用户手动切换到高防，将会把DNS解析指向高防IP，配置成功后通知用户。  
②自动：当对应域名受到DDOS攻击时，自动解析到高防。自动配置成功后通知用户。自动切换条件未触发时不影响当前解析状态。 
区域：可根据对应区域配置不同的高防解析IP，对应高防IP可在[UDDOS](/docs/uantiddos/uantiddos)购买  
高防IP：用户配置对应高防IP，可读取之前历史创建的高防IP也可手动填写。


<!-- image-todo -->

#### 高防配置同步

高防配置同步：可将源域名配置批量复制到选中的域名。最多可批量复制50条。  

!> 注意：   
(1)已有配置的域名,新配置将覆盖旧配置。  
(2)已在高防解析状态下不可配置。   
(3)处在高防配置状态的域名不可配置。   


高防切换确认：二次弹窗确认是否需要批量同步操作。  
同步信息反馈：反馈同步结果包括，同步信息总数，成功数量、失败数量，失败原因。  


<!-- image-todo -->
<!-- image-todo -->


## 监控设置

此处的监控设置为域名级别的告警信息的接收与关闭。除业务异常自动回源设置外，均受全局告警设置开关控制，如果未开启全局告警设置的对应开关，则会无法收到短信或者邮件告警通知。

<!-- image-todo -->

以下开关均是开启或关闭**域名级别**的告警或监控。

### 攻击告警监控

UWAF 监控域名的攻击态势，默认为 1 分钟之内，单 IP 触发同一攻击类型超过 500 次，则会向对应的消息订阅组用户发送告警邮件或者短信。

### 异常状态码监控

UWAF 监控域名业务的状态码，业务 QPS 平均值需要大于 10 以上，低于 10 则不会触发告警。如整体请求中 499 以上响应码比例大于 30%，则会向对应的消息订阅组用户发送告警邮件或者短信。频率为 5 分钟一次。

### 源站状态监控

UWAF 默认会对添加的域名使用 HEAD 请求方法进行探测访问，探测路径为：`探测客户端 -> UWAF -> 源站` 或 `探测客户端 -> 源站`，HTTP 与 HTTPS 业务可用性表示的是前者的链路状态。请注意源站或域名是否具有安全策略，如有，请将 UWAF 监控 IP（回源 IP）需加入白名单。如果 5 分钟内，连续 3 次请求都是异常响应，则会向对应的消息订阅组用户发送告警邮件或者短信。频率为 5 分钟一次。

?> 说明：  
此功能关闭后，只是不再发送告警邮件或者短信，UWAF 探测客户端还是会继续探测源站。  
UWAF 探测客户端会随机选择回源 IP 网段中地址作为源 IP 进行探测（极少情况下会使用域名 防护 IP 为源 IP）。若源站或域名有安全策略，需要源站放行 UWAF 的回源 IP 的 HEAD 请求，同时在 UWAF 控制台将回源 IP 添加到域名的白名单中。

同时用户可以自定义探测的请求路径，若在监控地址填写了完整的 URL，探测请求会将访问该 URL 的响应作为判断源站状态的依据。

### 配置示例

当我们自定义设置一个源站状态监控地址后，
<!-- image-todo -->

等待几分钟后，源站服务器收到的探测请求应当为自定义设置的文件路径。日志如下：
<!-- image-todo -->

### 业务异常自动回源设置

开启业务异常自动回源设置后，UWAF 会对该域名的业务做可用性监控，请注意源站或域名是否具有安全策略，如有，请将 UWAF 监控 IP（回源 IP）需加入白名单，如连续 10 次，源站探测请求的响应码均大于 499 且业务的 QPS 大于 50，则会把该域名的 DNS 解析地址指向该域名的源站（多源站情况下，默认为第一个源站），此功能探测监控原理同[源站状态监控](#源站状态监控)，若自定义了监控地址，则会对该 URL 进行探测。同时也可以手动对域名的解析进行[业务回源](#业务回源)或者[解除回源](#解除回源)。