# 攻击告警监控

UWAF 对用户域名做攻击监控，默认为 1 分钟之内，触发超过 500 次的危险攻击行为（系统规则加用户自定义规则），则会向对应的消息订阅组用户发送告警邮件或者短信。

## 攻击告警情况处理

当您收到攻击告警邮件或短信后，请登陆 UWAF 控制台，选择【安全报表】的【攻击概览】，域名选择触发告警的域名，查询时间范围设置触发告警的时段，可以看到该域名该段时间内的受攻击情况。

选择【攻击详情】，展开搜索设置，如下图所示选择触发告警的攻击类型，查看攻击告警的具体情况：

<!-- image-todo -->

对攻击次数非常多的 IP 可使用【功能设置】的【IP 查询】功能查询这些 IP 相应时段内的访问情况，如果发现该 IP 在该时段内发起了大量攻击，可如下图所示点击红框中的【加入黑名单】把该 IP 添加到黑名单中。

<!-- image-todo -->

若攻击来源 IP 很多，可以使用【防护设置】的【恶意 IP 封禁】功能，添加恶意 IP 封禁规则，对攻击频率过高的 IP 实施惩罚（加入黑名单）。