Action Trail的事件警示功能可以幫您即時監測與快速響應雲上資源的異常。當設定的警示規則識別到潛在的安全威脅或不符合規範的操作事件時,將通過多種通知方式向使用者和使用者組發送警示通知,便於使用者和使用者群組成員快速處理,維護雲資源的安全與完整性。本文為您介紹如何啟用並設定事件警示。
前提條件
請確保您已開通Log Service。當您首次使用Log Service時,需要登入Log Service控制台,根據頁面提示開通Log Service。更多資訊,請參見什麼是Log Service。
使用Log Service會根據您的日誌儲存量以及簡訊通知等產生相應費用。有關詳細資料及費用結構,請參見Log Service計費概述。
步驟一:建立跟蹤
請建立符合以下條件的跟蹤:
跟蹤地區:涵蓋所有地區。
跟蹤事件類型:包括所有管控事件。
跟蹤事件讀寫類型:涵蓋所有事件(讀取和寫入)。
日誌投遞目標:確保跟蹤事件被投遞到Log Service(SLS)。
在建立跟蹤的同時可設定將歷史的90天事件補投到該跟蹤,擴大事件搜尋範圍。具體操作,請參見建立資料回補投遞任務。
步驟二:選擇跟蹤投遞日誌庫
在左側導覽列,單擊進階查詢,查詢範圍選擇步驟一:建立跟蹤名稱。
在左側導覽列,單擊事件警示。
在警示中心頁面中,選擇警示規則頁簽下,選擇跟蹤投遞的日誌庫(actiontrail_跟蹤名稱)。
步驟三:建立使用者和使用者組
使用者和使用者組用於指定警示通知對象。例如:建立使用者(Alice和Kumer)、使用者組(Action Trail營運組),並將Alice和Kumer加入到Action Trail營運組中。
在左側導覽列,單擊事件警示。
建立使用者。
在警示中心頁面,選擇。
在使用者管理地區,單擊建立。
在添加使用者對話方塊,配置以下參數,然後單擊確認。
使用者資訊程式碼範例:
#標識符, 姓名, 手機號, 可收簡訊, 可接電話, 郵箱, 啟用 test01,Kumer,true,86-1381111*****,true,true,a***@example.net test02,Alice,true,86-1381111*****,true,true,a***@example.net參數說明:
參數
描述
樣本
標識符
使用者唯一標識,不可重複。
長度為5~60個字元,以英文字母開頭,可包含英文字母、數字、底線(_)、短劃線(-)和半形句號(.)。
test01、test02
姓名
使用者姓名。
長度為1~20個字元,不能包含特殊字元:
"\$|~?&<>{}`'。Kumer、Alice
手機號
使用者手機號碼,其中國家號為數字形式,長度為1~4個字元。
86-1381111*****、86-1381112*****
可收簡訊
是否允許Action Trail給該手機號碼傳送簡訊通知。取值:
true:允許。
false:不允許。
true
可接電話
是否允許Action Trail給該手機號碼發送語音通知。
true:允許。
false:不允許。
true
郵箱
使用者郵箱。
a***@example.net
啟用
是否允許Action Trail向該使用者發送警示通知。取值:
true:允許。
false:不允許。
true
建立使用者組。
在通知對象頁簽,單擊使用者組管理。
在使用者組管理頁簽,單擊建立。
在添加使用者組對話方塊,配置以下參數,然後單擊確認。
重要參數說明和配置樣本如下所示:
參數
描述
樣本
標識符
使用者組唯一標識,不可重複。
長度為5~60個字元,以英文字母開頭,可包含英文字母、數字、底線(_)、短劃線(-)和半形句號(.)。
group-01
組名
使用者組名稱。
長度不超過20個字元,不能包含特殊字元:
\$|~?&<>{}`'"。Action Trail營運組
待新增成員
您已建立的使用者。
Kumer、Alice
已新增成員
已添加到使用者組的使用者。
Kumer、Alice
啟用
是否允許Action Trail向該使用者組發送警示通知。取值:
啟用:允許。
不啟用:不允許。
啟用
步驟四(可選):建立內容範本
Action Trail預設使用SLS ActionTrail內建內容範本為使用者或使用者組發送警示通知。您也可以根據需要建立自訂的內容範本。
在左側導覽列,單擊事件警示。
在警示中心頁面,選擇。
單擊建立。
在新增內容模板對話方塊,設定標識符和名稱。
設定各個渠道的警示通知內容。
警示渠道
配置項
簡訊
簡訊渠道的內容範本說明如下:
非定製內容語言:警示通知內容的語言,支援中文和英文。
發送內容:警示通知內容。您還可以使用模板變數定義內容。更多資訊,請參見內容範本變數說明(新版)。
語音
語音渠道的內容範本說明如下:
非定製內容語言:警示通知內容的語言,支援中文(推薦)和英文。
發送內容:警示通知內容。您還可以使用模板變數定義內容。更多資訊,請參見內容範本變數說明(新版)。
郵件
郵件渠道的內容範本說明如下:
非定製內容語言:警示通知內容的語言,支援中文和英文。
主題:警示訊息的主題。您還可以使用模板變數定義主題。
發送內容:警示通知內容。您還可以使用模板變數定義內容。更多資訊,請參見內容範本變數說明(新版)。
DingTalk
DingTalk渠道的內容範本說明如下:
非定製內容語言:警示通知內容的語言,支援中文和英文。
禁用查看詳情操作:禁用預設的免登入連結查看警示詳情或者操作警示監控規則。更多資訊,請參見免登入查看警示詳情。
標題:警示訊息的標題。您還可以使用模板變數定義標題。
發送內容:警示通知內容。您還可以使用模板變數定義內容。更多資訊,請參見內容範本變數說明(新版)。
WebHook-自訂
WebHook渠道的內容範本說明如下:
發送方式:支援逐條發送和合并發送。
例如發送內容配置為
{ "project": "{{project}}", "alert_name": "{{alert_name}}"},當觸發兩個警示時:逐條發送:發送兩次警示通知,其內容分別為
{ "project": "project-1", "alert_name": "alert-1"}和{ "project": "project-2", "alert_name": "alert-2"}。合并發送:發送一次警示通知,其內容為
[{ "project": "project-1", "alert_name": "alert-1"}, { "project": "project-2", "alert_name": "alert-2"}]。選擇合并發送時,如果限制了單個分組最多發送的條數,則只發送合并集合中的前N條警示。
選擇合并發送時,如果您配置的內容可解析為JSON格式,則最終發送的內容為JSON格式。否則為字串數組格式。
單個分組中最多發送條數:設定發送的最大條數限制,支援無限制和自訂。
發送內容:警示通知內容。您還可以使用模板變數定義內容。更多資訊,請參見內容範本變數說明(新版)。
說明發送警示通知時預設添加要求標頭資訊Content-Type: application/json;charset=utf-8。如果Webhook接收端需要其它格式的要求標頭,您可以在配置通知渠道時,自訂要求標頭資訊。更多資訊,請參見Webhook-自訂。
通知中樞
通知中樞渠道內容範本說明如下:
非定製內容語言:警示通知內容的語言,支援中文和英文。
發送內容:警示通知內容。您還可以使用模板變數定義內容。更多資訊,請參見內容範本變數說明(新版)。
企業微信
企業微信渠道的內容範本說明如下:
非定製內容語言:警示通知內容的語言,支援中文和英文。
標題:警示訊息的標題。您還可以使用模板變數定義標題。
發送內容:警示通知內容。您還可以使用模板變數定義內容。更多資訊,請參見內容範本變數說明(新版)。
飛書
飛書渠道的內容範本說明如下:
非定製內容語言:警示通知內容的語言,支援中文和英文。
禁用查看詳情操作:禁用預設的免登入連結查看警示詳情或者操作警示監控規則。更多資訊,請參見免登入查看警示詳情。
標題:警示訊息的標題。您還可以使用模板變數定義標題。
發送內容:警示通知內容。您還可以使用模板變數定義內容。更多資訊,請參見內容範本變數說明(新版)。
Slack
Slack渠道的內容範本說明如下:
非定製內容語言:警示通知內容的語言,支援中文和英文。
標題:警示訊息的標題。您還可以使用模板變數定義標題。
發送內容:警示通知內容。您還可以使用模板變數定義內容。更多資訊,請參見內容範本變數說明(新版)。
EventBridge
事件匯流排(EventBridge)渠道的內容範本說明如下:
主題:警示訊息的主題。您還可以使用模板變數定義主題。
發送內容:警示通知內容。您還可以使用模板變數定義內容。更多資訊,請參見內容範本變數說明(新版)。
Function Compute
Function Compute(FC)渠道的內容範本說明如下:
發送方式:支援逐條發送和合并發送。
例如發送內容配置為
{ "project": "{{project}}", "alert_name": "{{alert_name}}"},當觸發兩個警示時:逐條發送:發送兩次警示通知,其內容分別為
{ "project": "project-1", "alert_name": "alert-1"}和{ "project": "project-2", "alert_name": "alert-2"}。合并發送:發送一次警示通知,其內容為
[{ "project": "project-1", "alert_name": "alert-1"}, { "project": "project-2", "alert_name": "alert-2"}]。選擇合并發送時,如果限制了單個分組最多發送的條數,則只發送合并集合中的前N條警示。
選擇合并發送時,如果您配置的內容可解析為JSON格式,則最終發送的內容為JSON格式。否則為字串數組格式。
單個分組中最多發送條數:設定發送的最大條數限制,支援無限制和自訂。
發送內容:警示通知內容。您還可以使用模板變數定義內容。更多資訊,請參見內容範本變數說明(新版)。
單擊確認。
步驟五(可選):建立行動策略
行動策略用於控制警示通知的渠道和頻率。Action Trail內建警示規則預設使用SLS ActionTrail內建行動策略為您發送警示通知,您也可以建立行動策略,設定警示觸發條件、通知渠道和接收人等資訊。
在左側導覽列,單擊事件警示。
在警示中心頁面,選擇。
單擊建立。
在添加行動策略對話方塊,輸入標識符和名稱。
在第一行動列表頁簽,建立行動策略。
單擊
表徵圖。配置觸發警示通知的條件,然後單擊確認。
參數
描述
樣本
條件
取值:
所有:每個警示集合中所有的警示都滿足所有條件時才會執行相應的行動組。
任意:每個警示集合中任意一條警示滿足所有條件時就會執行相應的行動組。
任意
條件運算式
針對合格警示進行渠道指派。系統根據您配置的條件(對象、操作符、對象值),執行相應的行動組。
對象:阿里雲帳號
操作符:等於
對象值:154035569884****
模式
您可以通過標準模式或進階模式添加多個條件。取值:
標準模式:多個條件之間為and關係。
進階模式:多個條件之間可以為and或or關係,支援您使用圓括弧將多個條件歸為一組,且支援條件嵌套。
標準模式
配置行動組。
根據控制台介面,配置通知渠道及相關參數。通知渠道包括簡訊、語音、郵件、DingTalk、WebHook和訊息中心。更多資訊,請參見通知渠道說明。
單擊條件、行動組對話方塊對應的
表徵圖,結束第一行動列表配置。說明如果您需要繼續添加條件和行動組,請單擊
表徵圖。(可選)若您已添加結束節點後,還需繼續添加條件節點或行動組節點,可按照以下操作步驟進行添加。
刪除節點
將滑鼠懸浮在目標節點上,單擊右鍵,然後單擊刪除節點。
添加節點
單擊
表徵圖,添加條件節點。單擊
表徵圖,添加行動組節點。單擊
表徵圖,添加結束節點。
單擊確認。
步驟六:開啟警示規則
Action Trail支援通過警示模板建立警示規則和自訂警示規則,請根據實際需要建立對應的警示規則。例如:您希望在專用網路路由配置發生變更後觸發警示,可以通過VPC網路路由變更警示模板快速建立警示規則。
自訂警示規則在建立後,會自動開啟,無需進行下面的操作步驟。關於如何建立自訂警示規則,請參見建立自訂警示規則。
在左側導覽列,單擊事件警示。
在警示中心頁面,單擊警示規則頁簽。
單擊建立警示按鈕右側的下拉式箭頭。
選擇從模板建立。
單擊目標警示模板。
點擊確定,完成警示規則建立。
狀態列顯示運行中,表示成功開啟警示規則,單擊警示規則名稱可以查詢警示歷史,單擊操作列的編輯可以查看警示規則配置。
相關文檔
您還可以通過Log Service設定警示監控規則,具體操作,請參見快速設定日誌警示。
關於內建警示規則的更多詳細內容,請參見內建警示監控規則。
關於警示監控規則會遇到的問題,請參見警示監控規則常見問題。
關於警示通知渠道的相關問題,請參見通知渠道常見問題。
關於警示通知內容的相關問題,請參見通知內容常見問題。
當您未收到警示通知時,可以在警示歷史地區排查原因。具體操作,請參見未收到警示通知的排查思路。
當您設定自訂Webhook為通知渠道時,可能會遇到一些問題。具體操作,請參見使用自訂Webhook的常見問題。