事件中心与通知
事件中心记录系统发生过什么;通知规则决定哪些事件要发送到哪里。先让事件记录稳定,再建立少量有价值的通知,避免把每次正常访问都变成告警噪声。
三个对象
| 对象 | 作用 |
|---|---|
| 事件 | 登录、DDNS、隧道、WAF、SSH、更新等系统行为的记录 |
| 提供商 | Webhook、邮件或消息推送等发送通道及其凭据 |
| 规则 | 匹配事件类型、时间窗口、阈值、聚合方式和通知目标 |
先在 事件中心 → 通知 中新增提供商并发送测试消息,再创建规则。凭据(Webhook URL、Token、SMTP 密码等)属于敏感配置,不能贴到日志、截图或共享备份中。
从少量规则开始
推荐先为以下事件创建规则:
- 多次登录失败或登录退避;
- 隧道中断或 DDNS 更新失败;
- WAF 阻断或 SSH 封锁;
- 需要人工确认的更新提示。
为每条规则设置合理的时间窗口、触发次数、聚合维度和冷却时间。单个 IP 在短时间内重复命中可以聚合为一条通知;不同 Host 或不同事件类型通常应分开观察。
查看投递结果
投递记录应当用于排查“规则没有触发”和“提供商没有收到”之间的区别:
- 先确认事件本身已经产生。
- 检查规则是否匹配该事件类型与级别。
- 检查是否被阈值、聚合或冷却时间抑制。
- 最后查看提供商响应和网络连通性。
通知系统用于辅助响应,不代替请求日志、WAF 日志和备份。
