Skip to content

事件中心与通知

事件中心记录系统发生过什么;通知规则决定哪些事件要发送到哪里。先让事件记录稳定,再建立少量有价值的通知,避免把每次正常访问都变成告警噪声。

三个对象

对象作用
事件登录、DDNS、隧道、WAF、SSH、更新等系统行为的记录
提供商Webhook、邮件或消息推送等发送通道及其凭据
规则匹配事件类型、时间窗口、阈值、聚合方式和通知目标

先在 事件中心 → 通知 中新增提供商并发送测试消息,再创建规则。凭据(Webhook URL、Token、SMTP 密码等)属于敏感配置,不能贴到日志、截图或共享备份中。

从少量规则开始

推荐先为以下事件创建规则:

  • 多次登录失败或登录退避;
  • 隧道中断或 DDNS 更新失败;
  • WAF 阻断或 SSH 封锁;
  • 需要人工确认的更新提示。

为每条规则设置合理的时间窗口、触发次数、聚合维度和冷却时间。单个 IP 在短时间内重复命中可以聚合为一条通知;不同 Host 或不同事件类型通常应分开观察。

查看投递结果

投递记录应当用于排查“规则没有触发”和“提供商没有收到”之间的区别:

  1. 先确认事件本身已经产生。
  2. 检查规则是否匹配该事件类型与级别。
  3. 检查是否被阈值、聚合或冷却时间抑制。
  4. 最后查看提供商响应和网络连通性。

通知系统用于辅助响应,不代替请求日志、WAF 日志和备份。

QQ群:1081609274