亚马逊云国际站 AWS亚马逊云风控预警处理

凌晨2:17，手机嗡地一震——不是外卖骑手，不是前任发来‘最近还好吗’，而是AWS CloudWatch发来的红色预警：「EC2实例CPU持续超95%达15分钟」。

你一个鲤鱼打挺坐起来，手指发颤点开控制台，心里默念三遍：‘不是我删的自动扩缩容组……不是我改的CloudWatch阈值……不是我昨天那个临时脚本还在后台跑着……’

别慌。这场景，我们团队三年内复现过47次——其中43次是虚惊一场，3次真翻车，1次纯属运维同事把告警通道设成了‘震动+铃声+微信+邮件+钉钉+飞书+短信+家里智能音箱语音播报’（他老婆第二天提了离婚）。

今天不聊高大上的‘云原生风控体系架构图’，咱就泡杯浓咖啡，掰开揉碎讲讲：AWS风控预警到底在喊什么？它是不是在装腔作势？你该信几分？又该怎么把它从‘半夜夺命连环call’，驯化成‘贴心小管家’？

一、预警不是恐吓信，是AWS在替你数心跳

AWS风控预警（官方叫法其实是‘监控告警’，但风控味儿更浓——毕竟它盯的是钱、安全、稳定性这三根命脉），本质是系统在说：‘嘿，有件事不太对劲，你瞅一眼？’

它不判断‘是否恶意’，也不自动生成工单甩给安全团队，它只是个特别较真的校对员：CPU飙高？→ 查；S3桶突然被大量GET？→ 记；RDS连接数暴增300%？→ 标红；Lambda冷启动失败率突升？→ 咚咚敲门。

关键认知刷新：绝大多数AWS预警，不是黑客来了，而是你自己昨天改的代码/配置/定时任务，在安静地‘努力工作’。就像你妈说‘你冰箱里那盒酸奶过期三天了’——她没报警，但她提醒你：再不处理，明天可能拉肚子。

二、四类高频‘诈尸型’预警，专治手抖心慌

我们整理了过去半年生产环境Top 4预警，附赠‘一键辟谣话术’：

• 「S3存储桶被外部IP高频访问」 → 先别抄家伙查入侵日志。大概率是CDN回源失败，反复拉取原始文件；或是某前端同学把oss域名写死在JS里，用户刷新10次，S3就记10次。查CloudFront Access Logs，比翻WAF日志快3倍。
• 「IAM角色被异常调用」 → 别急着冻结权限。八成是某个Lambda函数用了过期的执行角色，或Terraform apply时残留了旧策略。看CloudTrail里EventName=AssumeRole的SourceIPAddress，如果是169.254.169.254？恭喜，那是EC2实例自己在要Token——正常。
• 「RDS CPU > 90% 持续10分钟」 → 打开Performance Insights，别先杀进程。90%概率是某张表没加索引，业务方跑了个SELECT * FROM orders WHERE created_at > '2020-01-01'；剩下10%，是你DBA同事正在用mysqldump全库备份——关掉告警，给他倒杯茶。
• 「Lambda并发执行数激增」 → 不是DDoS，是上游Kinesis Shard扩容后，消费者函数被撑醒了。看Logs里是否有大量‘Task timed out’或‘Memory limit exceeded’——如果有，不是流量大，是函数太饿，该喂内存了。

三、排查不是玄学，是一棵‘逻辑决策树’

我们内部流传一张纸，贴在每位工程师显示器边框上，标题就一行字：‘先问三个问题，再点鼠标’：

1. 这个指标，最近一次‘健康’是什么时候？（查历史图表，不是看当前数字）
2. 告警触发时段，有没有人动过相关资源？（Terraform提交、CI/CD发布、手动Console操作）
3. 亚马逊云国际站 同一时间，其他关联服务有异常吗？（比如API Gateway 5xx飙升，而Lambda无告警？那问题不在函数，在网关或后端集成）

这套方法论，让我们平均排查时间从47分钟压到11分钟。最绝的一次：告警说ECS集群CPU爆表，按树走完三问，发现是某开发本地IDE插件误连了生产集群，正用IntelliJ疯狂同步Maven依赖——远程关掉他的VPN，告警秒消。

四、误报？不，是AWS在教你‘定义健康’

所有吐槽‘AWS告警太敏感’的人，后来都默默改了阈值——然后三个月后又被自己的新阈值打脸。

真正的问题从来不是AWS太吵，而是我们没想清楚：对这个服务，什么叫‘真出事’？

举例：你给ALB设了‘HTTPCode_ELB_5XX > 0’就告警。结果某天因上游服务超时，504连续出现8次。你冲过去重启，发现1分钟后自愈——原来只是瞬时抖动。下次，就把阈值改成‘>5次/5分钟’，并加个维度：‘且伴随TargetResponseTime > 3s’。

告警不是越响越好，而是越准越省命。 我们现在所有生产告警，必须附带：触发条件、静默周期、升级路径、自愈预案（哪怕只是‘执行curl -X POST /health’）。没有预案的告警，等于发个‘我感觉不太妙’的微信，然后下线睡觉。

五、终极心法：把AWS当队友，不是监工

最后送你一句我们团队墙上喷漆写的土味真理：‘AWS不会背锅，但它永远记得你干过啥。’

它记录CloudTrail，存VPC Flow Logs，记Lambda执行日志，留S3访问审计——这些不是为了秋后算账，是给你留了一本高清录像带。下次告警响起，别第一反应是‘谁又手滑了’，而是打开CloudTrail，输入事件时间戳，看看到底是谁、在哪、用什么API、改了哪行配置。

真正的风控预警处理，不是消灭告警，而是让每次告警都变成一次微小的系统体检。你越熟悉它的语言，它就越少半夜打电话；你越信任它的数据，就越敢在白天做灰度发布；你越把它当队友，它就越愿意帮你挡下下一个真正的风暴。

所以，下次再看到那个刺眼的红色横幅——深呼吸，泡杯茶，打开控制台，轻声说一句：
‘谢啦，老伙计。这次，咱们一起看看，到底是哪儿在闹脾气。’

（P.S. 文末彩蛋：我们整理了一份《AWS高频预警自查速查表》，含12个典型场景的CLI命令+控制台直达链接+一句话根因。需要？评论区扣‘AWS救我’，我们私信发PDF——前提是，你得先关掉手机里那个7个渠道同时推送的告警APP。）