Mais qu'en est-il des problèmes qui ne se manifestent pas sous forme d'erreurs, à l'image d'une baisse soudaine du trafic ou d'un pic de trafic ?
Aujourd'hui, nous sommes ravis d'annoncer la disponibilité des notifications d'anomalies de trafic pour les clients Enterprise. Ces notifications se déclenchent lorsque Cloudflare détecte des changements inattendus du trafic, vous offrant ainsi une précieuse nouvelle perspective de l'intégrité de vos systèmes.
Des changements inattendus du trafic peuvent être révélateurs d'un certain nombre de choses. Si vous gérez un site d'e-commerce et vous constatez un pic de trafic, c'est peut-être une bonne nouvelle : les clients affluent vers votre site de vente, ou votre publicité vient d'être diffusée pendant une émission de télévision très regardée. Toutefois, cela peut aussi signifier qu'un problème est survenu : un utilisateur a peut-être accidentellement désactivé une règle de pare-feu, et ce que vous observez maintenant est un afflux de trafic malveillant. Quoi qu'il en soit, peut-être souhaitez-vous être informé qu'un changement s'est produit.
De même, une baisse soudaine du trafic peut avoir de nombreuses significations. Peut-être est-ce le vendredi après-midi, et vos collaborateurs se déconnectent et n'accèdent plus au site web de votre entreprise. En revanche, peut-être qu'un lien vers votre site ne fonctionne plus, empêchant vos clients potentiels d'y accéder. Chaque minute pendant laquelle le trafic est faible pourrait entraîner une perte de revenus potentielle ; vous avez donc tout intérêt à être informé le plus rapidement possible de la situation, afin de mener l'enquête.
Calculer efficacement des anomalies dans des séries de données temporelles est une tâche difficile. La méthode la plus simple consiste à utiliser des seuils de base. Toutefois, comme nous l'avons mentionné dans un précédent article de blog, les seuils simples s'avèrent peu précis lorsqu'il s'agit de déterminer l'existence avérée d'un problème. Le nombre de cas limites est trop élevé pour que cette approche soit efficace.
En revanche, calculer les anomalies dans les erreurs HTTP est une tâche relativement facile. Nous savons qu'en règle générale, le nombre d'erreurs devrait être très faible ; aussi, tout pic constitue un problème et doit donc faire l'objet d'une alerte. C'est pourquoi nous utilisons les objectifs de niveau de service (Service Level Objectives, SLO) pour calculer les anomalies pour nos notifications HTTP Error Rate.
Cependant, le déroulement de l'analyse du trafic HTTP est semblable à l'approche mise en œuvre par les événements de sécurité Cloudflare : il existe une base de référence générale d'événements qui est calculée à partir des tendances historiques. Tout écart par rapport à cette base de référence peut faire l'objet d'une alerte. En raison de ces similitudes, nous avons décidé d'utiliser les mêmes calculs pour les notifications d'anomalies de trafic que pour les notifications d'événements de sécurité : les cotes z. Il s'agit d'une comparaison de la valeur actuelle avec la moyenne sur une période donnée. La cote z correspond au nombre d'écarts-types par rapport à la moyenne de la valeur actuelle.
Graphique représentant le trafic HTTP par rapport aux cotes z. La courbe bleue représente le trafic HTTP, la courbe violette représente la limite positive de la cote z du trafic et la courbe verte représente la limite négative de la cote z du trafic.
\n \n \n \n \n
Pour les notifications d'anomalies de trafic, nous comparons le trafic au cours des 5 dernières minutes (l'intervalle court) à la moyenne du trafic des 4 dernières heures (l'intervalle long). Des cotes z positives indiquent un pic, et des cotes z négatives indiquent une baisse. Si la valeur actuelle s'écarte de plus de 3,5 écarts-types de la moyenne, nous transmettons une alerte. Nous effectuons des mesures toutes les 5 minutes, ce qui nous permet d'être alertés en temps utile en cas de hausse ou de baisse du trafic.
La zone verte correspond à l'intervalle long et la zone rouge à l'intervalle court.
\n \n \n \n \n
Si nos notifications d'événements de sécurité se déclenchent uniquement en présence d'un pic d'événements de sécurité (une baisse est presque toujours une bonne nouvelle), dans le cas des anomalies du trafic, nous transmettons des notifications à la fois pour les pics et pour les baisses. En effet, une baisse du trafic HTTP est probablement révélatrice d'un problème, tandis qu'un pic peut être une bonne ou mauvaise nouvelle.
À l'instar des événements de sécurité, les notifications d'anomalies de trafic prennent en charge des seuils minimaux. Ainsi, même si nous déterminons qu'un événement se situe au-delà de 3,5 écarts-types, si le nombre d'événements est insignifiant, nous ne transmettons pas d'alerte. Un pic doit être constitué d'au moins 200 requêtes, et une baisse doit représenter une chute d'au moins 200 requêtes. Cela permet d'éliminer le bruit des notifications, puisque nous ne transmettons pas d'alerte en cas de pics ou de baisses de moindre importance.
Cloudflare stocke des statistiques échantillonnées sur les requêtes qui transitent sur son réseau dans Clickhouse. Toutes les minutes, nous échantillonnons le trafic HTTP dans Clickhouse et le stockons dans une instance de VictoriaMetrics, une solution de stockage de données chronologiques. VictoriaMetrics nous fournit gratuitement des fonctions algorithmiques prêtes à l'emploi et s'est avérée être bien adaptée à notre scénario d'utilisation. Nous avons choisi VictoriaMetrics pour plusieurs raisons.
Premièrement, la solution est simple à configurer et utiliser. En tant qu'équipe, nous aspirons à optimiser nos processus afin de réduire notre charge opérationnelle, et VictoriaMetrics s'est montrée excellente jusqu'à présent. Deuxièmement, VictoriaMetrics a la capacité d'évoluer horizontalement, ce qui signifie que nous pouvons l'utiliser dans un mode à haute disponibilité. Pour un système tel que celui-ci, où nous recherchons une solution fiable pour calculer des informations temporellement sensibles pour nos clients, l'exigence de haute disponibilité est essentielle. Enfin, pendant nos tests, nous avons constaté que VictoriaMetrics utilisait environ un tiers de la mémoire que consommait Prometheus, un produit alternatif similaire, dans le même scénario d'utilisation.
Une fois que nous disposons de données dans VictoriaMetrics, nous pouvons exécuter des requêtes sur celles-ci et déterminer si nous devons alerter ou non nos clients, en fonction des configurations de notification qu'ils ont préalablement définies. À cette fin, nous utilisons notre système de notification d'alertes existant, auquel nous avons consacré un premier article de blog en 2019. Nous savons que nous pouvons compter, pour le dernier kilomètre, sur notre système de notification actuel pour transmettre ces notifications critiques à nos clients.
Flux de données de la requête HTTP jusqu'à la notification
\n \n \n \n \n
Setting up the Notification
Pour configurer cette notification, accédez à l'onglet « Notifications » du tableau de bord. Sélectionnez le type de notification « Anomalies de trafic ». Comme pour toutes les notifications de Cloudflare, vous pouvez nommer et décrire votre notification et choisir de quelle manière vous souhaitez être informé.
Notification d'anomalies de trafic sur le tableau de bord
\n \n \n \n \n
Vous pouvez choisir les domaines que vous souhaitez surveiller afin d'identifier d'éventuelles anomalies de trafic, si vous souhaitez inclure le trafic ayant déjà été atténué par les produits de protection contre les attaques DoS ou de pare-feu WAF de Cloudflare, ainsi que la présence de codes d'état spécifiques que vous souhaitez inclure ou exclure. Vous pouvez également choisir d'être alerté en cas de pics de trafic, de baisses de trafic ou de ces deux événements.
Nous sommes ravis d'utiliser ce système pour permettre à nos clients Enterprise de recevoir de précieuses notifications concernant l'intégrité générale de leurs systèmes. Accédez à l'onglet Notifications du tableau de bord pour découvrir dès maintenant cette nouvelle notification !
"],"published_at":[0,"2023-10-31T13:01:11.000+00:00"],"updated_at":[0,"2024-10-10T00:22:21.604Z"],"feature_image":[0,"https://cf-assets.www.cloudflare.com/zkvhlag99gkb/3RQpVK10wAWDLGUodLeq0o/44b9d5c9b7105ca3d3c45b060fc9947b/introducing-http-traffic-anomalies-notifications.png"],"tags":[1,[[0,{"id":[0,"6QktrXeEFcl4e2dZUTZVGl"],"name":[0,"Nouveautés produits"],"slug":[0,"product-news"]}],[0,{"id":[0,"6cjyAFDpR8zwR4Ylx8wKYu"],"name":[0,"Notifications (FR)"],"slug":[0,"notifications"]}],[0,{"id":[0,"2s3r2BdfPas9oiGbGRXdmQ"],"name":[0,"Services réseau"],"slug":[0,"network-services"]}]]],"relatedTags":[0],"authors":[1,[[0,{"name":[0,"Cathy Chi"],"slug":[0,"cathy-chi"],"bio":[0,null],"profile_image":[0,"https://cf-assets.www.cloudflare.com/zkvhlag99gkb/3uaVjJ4BaoWy0sAXQWryO0/9f75957f3d8c34bdc27d598ebd6c9aa0/cathy-chi.jpg"],"location":[0,null],"website":[0,null],"twitter":[0,null],"facebook":[0,null]}],[0,{"name":[0,"Natasha Wissmann"],"slug":[0,"natasha"],"bio":[0,null],"profile_image":[0,"https://cf-assets.www.cloudflare.com/zkvhlag99gkb/3otfuZ5gyTxanmbLcCJRcY/400f4289aac00c755772f23ade33c674/natasha.jpg"],"location":[0,null],"website":[0,null],"twitter":[0,null],"facebook":[0,null]}]]],"meta_description":[0,null],"primary_author":[0,{}],"localeList":[0,{"name":[0,"Introducing notifications for HTTP Traffic Anomalies Config"],"enUS":[0,"English for Locale"],"zhCN":[0,"Translated for Locale"],"zhHansCN":[0,"No Page for Locale"],"zhTW":[0,"Translated for Locale"],"frFR":[0,"Translated for Locale"],"deDE":[0,"Translated for Locale"],"itIT":[0,"No Page for Locale"],"jaJP":[0,"Translated for Locale"],"koKR":[0,"Translated for Locale"],"ptBR":[0,"No Page for Locale"],"esLA":[0,"No Page for Locale"],"esES":[0,"Translated for Locale"],"enAU":[0,"No Page for Locale"],"enCA":[0,"No Page for Locale"],"enIN":[0,"No Page for Locale"],"enGB":[0,"No Page for Locale"],"idID":[0,"No Page for Locale"],"ruRU":[0,"No Page for Locale"],"svSE":[0,"No Page for Locale"],"viVN":[0,"No Page for Locale"],"plPL":[0,"No Page for Locale"],"arAR":[0,"No Page for Locale"],"nlNL":[0,"No Page for Locale"],"thTH":[0,"No Page for Locale"],"trTR":[0,"No Page for Locale"],"heIL":[0,"No Page for Locale"],"lvLV":[0,"No Page for Locale"],"etEE":[0,"No Page for Locale"],"ltLT":[0,"No Page for Locale"]}],"url":[0,"https://blog.cloudflare.com/introducing-http-traffic-anomalies-notifications"],"metadata":[0,{"title":[0,"Présentation des notifications d'anomalies de trafic HTTP"],"description":[0,null],"imgPreview":[0,"https://cf-assets.www.cloudflare.com/zkvhlag99gkb/230vzoJXvY4e0OSjyFIOFc/88e5e19cb3d87c5a3ac75deefebfe6fc/introducing-http-traffic-anomalies-notifications-ZSzPbJ.png"]}]}],"locale":[0,"fr-fr"],"translations":[0,{"posts.by":[0,"Par"],"footer.gdpr":[0,"RGPD"],"lang_blurb1":[0,"Cet article est également disponible en {lang1}."],"lang_blurb2":[0,"Cet article est également disponible en {lang1} et en {lang2}."],"lang_blurb3":[0,"Cet article est également disponible en {lang1}, en {lang2} et en {lang3}."],"footer.press":[0,"Presse"],"header.title":[0,"Le blog Cloudflare"],"search.clear":[0,"Effacer"],"search.filter":[0,"Filtrage"],"search.source":[0,"Source"],"footer.careers":[0,"Carrières"],"footer.company":[0,"L'entreprise"],"footer.support":[0,"Support technique"],"footer.the_net":[0,"theNet"],"search.filters":[0,"Filtres"],"footer.our_team":[0,"Notre équipe"],"footer.webinars":[0,"Webinaires"],"page.more_posts":[0,"Autres publications"],"posts.time_read":[0,"Lecture: {time} min."],"search.language":[0,"Langue"],"footer.community":[0,"Communauté"],"footer.resources":[0,"Ressources"],"footer.solutions":[0,"Solutions"],"footer.trademark":[0,"Marque commerciale"],"header.subscribe":[0,"S'abonner"],"footer.compliance":[0,"Conformité"],"footer.free_plans":[0,"Offre gratuite"],"footer.impact_ESG":[0,"Impact/ESG"],"posts.follow_on_X":[0,"Suivre sur X"],"footer.help_center":[0,"Centre d'aide"],"footer.network_map":[0,"Carte du réseau"],"header.please_wait":[0,"Veuillez patienter"],"page.related_posts":[0,"Publications associées"],"search.result_stat":[0,"Résultats {search_range} sur {search_total} pour {search_keyword}"],"footer.case_studies":[0,"Études de cas"],"footer.connect_2024":[0,"Connect 2024"],"footer.terms_of_use":[0,"Conditions d'utilisation"],"footer.white_papers":[0,"Livres blancs"],"footer.cloudflare_tv":[0,"Cloudflare TV"],"footer.community_hub":[0,"Portail de la communauté"],"footer.compare_plans":[0,"Comparer les offres"],"footer.contact_sales":[0,"Contacter le service commercial "],"header.contact_sales":[0,"Contacter le service commercial"],"header.email_address":[0,"Adresse e-mail"],"page.error.not_found":[0,"Page introuvable"],"footer.developer_docs":[0,"Documents pour développeurs"],"footer.privacy_policy":[0,"Politique de confidentialité"],"footer.request_a_demo":[0,"Demander une démo"],"page.continue_reading":[0,"Continuer à lire"],"footer.analysts_report":[0,"Rapports d'analyse"],"footer.for_enterprises":[0,"Pour les entreprises"],"footer.getting_started":[0,"Premiers pas"],"footer.learning_center":[0,"Centre d'apprentissage"],"footer.project_galileo":[0,"Projet Galileo"],"pagination.newer_posts":[0,"Publications récentes"],"pagination.older_posts":[0,"Anciennes publications"],"posts.social_buttons.x":[0,"Discuter sur X"],"search.icon_aria_label":[0,"Recherche"],"search.source_location":[0,"Source/Emplacement"],"footer.about_cloudflare":[0,"À propos de Cloudflare"],"footer.athenian_project":[0,"Projet Athenian"],"footer.become_a_partner":[0,"Devenir partenaire"],"footer.cloudflare_radar":[0,"Cloudflare Radar"],"footer.network_services":[0,"Services réseau"],"footer.trust_and_safety":[0,"Fiabilité et sécurité"],"header.get_started_free":[0,"Premiers pas avec l'offre gratuite"],"page.search.placeholder":[0,"Rechercher dans Cloudflare"],"footer.cloudflare_status":[0,"État des systèmes de Cloudflare"],"footer.cookie_preference":[0,"Préférences relatives aux cookies"],"header.valid_email_error":[0,"Veuillez saisir une adresse e-mail valide."],"search.result_stat_empty":[0,"Résultats {search_range} sur {search_total}"],"footer.connectivity_cloud":[0,"Connectivité cloud"],"footer.developer_services":[0,"Services pour développeurs"],"footer.investor_relations":[0,"Relations investisseurs"],"page.not_found.error_code":[0,"Code d'erreur : 404"],"search.autocomplete_title":[0,"Insérez une requête. Appuyez sur Entrée pour envoyer"],"footer.logos_and_press_kit":[0,"Logos et dossier de presse"],"footer.application_services":[0,"Services pour applications"],"footer.get_a_recommendation":[0,"Bénéficiez d'une recommandation"],"posts.social_buttons.reddit":[0,"Discuter sur Reddit"],"footer.sse_and_sase_services":[0,"Services SSE et SASE"],"page.not_found.outdated_link":[0,"Vous avez peut-être suivi un lien obsolète ou saisi l'adresse de manière incorrecte."],"footer.report_security_issues":[0,"Signaler des problèmes de sécurité"],"page.error.error_message_page":[0,"Nous sommes désolés. Impossible de trouver la page que vous cherchez."],"header.subscribe_notifications":[0,"Abonnez-vous pour recevoir des notifications sur les nouveaux articles :"],"footer.cloudflare_for_campaigns":[0,"Cloudflare for Campaigns"],"header.subscription_confimation":[0,"Inscription confirmée. Nous vous remercions pour votre abonnement !"],"posts.social_buttons.hackernews":[0,"Discuter sur Hacker News"],"footer.diversity_equity_inclusion":[0,"Diversité, équité et inclusion"],"footer.critical_infrastructure_defense_project":[0,"Critical Infrastructure Defense Project"]}]}" ssr="" client="load" opts="{"name":"PostCard","value":true}" await-children="">
Aujourd'hui, nous sommes heureux d'annoncer les notifications d'anomalies de trafic, qui vous alertent proactivement lorsque les schémas de trafic de votre propriété Internet changent de manière inattendue...