本文介绍日志审计服务的内置告警规则,包括日志审计合规、账号安全、权限控制和流量安全等。了解告警规则,有助于您快速发现审计相关问题。

告警规则列表

支持的告警规则类型如下表所示。设置告警参数、设置白名单相关操作,请参见设置告警

类型 告警规则
日志审计合规 云安全中心日志审计配置检测
RDS日志审计配置检测
PolarDB(DRDS)日志审计配置检测
K8s日志审计配置检测
应用防火墙(WAF)日志审计配置检测
堡垒机日志审计配置检测
API网关日志审计配置检测
云防火墙日志审计配置检测
日志审计状态检测
ActionTrail日志审计配置检测
账号安全 RAM子账号无MFA登录告警
RAM密码过期策略异常设置告警
Root账号无MFA登录告警
RAM密码登录重试策略异常设置告警
Root账户连续登录告警
RAM历史密码检查策略异常设置告警
密钥配置变更告警
账号连续登录失败告警
Root账号AK使用检测
RAM密码长度策略异常设置告警
权限控制 OSS Bucket权限变更告警
RAM策略变更告警
RAM策略异常添加告警
OSS操作合规 OSS Bucket加密关闭告警
OSS新创建的Bucket加密未开启告警
OSS Bucket访问日志记录关闭告警
OSS新创建的Bucket访问日志记录未开启告警
RDS操作合规 RDS实例SQL洞察关闭告警
RDS实例访问白名单异常设置告警
新创建的RDS实例的SSL未开启告警
新创建的RDS实例的TDE未开启告警
RDS实例SSL关闭告警
RDS实例配置变更告警
SLB操作合规 负载均衡修改保护关闭告警
负载均衡健康检查关闭告警
ECS操作合规 ECS磁盘加密关闭告警
ECS自动快照策略关闭告警
安全组配置变更告警
ECS网络类型检测
VPC操作合规 VPC网络路由变更告警
VPC流日志配置异常变更告警
VPC通用配置变更告警
云防火墙操作合规 云防火墙控制策略变更告警
API调用 未授权的API调用告警
TDI操作合规 云安全中心网页防篡改功能关闭告警
K8s安全 K8s Warning事件数过多告警
K8s频繁删除事件告警
K8s错误事件数过多告警
RDS安全 RDS慢SQL检测
RDS大批量数据删除告警
RDS外网访问检测
RDS查询SQL平均执行时间监控告警
RDS数据库更新峰值监控告警
RDS数据库查询峰值监控告警
RDS实例释放告警
RDS高频访问IP检测
RDS更新SQL平均执行时间监控告警
RDS登录失败次数过多告警
RDS大批量数据修改事件告警
RDS危险的SQL执行告警
RDS SQL执行错误数过多告警
SLB流量安全 负载均衡响应报文长度异常检测
负载均衡请求报文长度异常检测
负载均衡平均响应延迟过高告警
负载均衡HTTP访问协议开启告警
负载均衡访问UV异常检测
负载均衡访问PV异常检测
API网关流量安全 API网关服务端平均延时过高告警
API网关后端服务器错误率过高告警
API网关请求成功率过低告警
OSS流量安全 OSS流入流量异常检测
OSS Bucket有效请求率过低告警
OSS外网访问检测
OSS访问PV异常检测
OSS流量异常检测
OSS流出流量异常检测
OSS访问UV异常检测
K8s流量安全 K8s非法访问次数过多告警
K8s Ingress平均请求延迟过高告警
K8s Ingress后端平均响应延迟过高告警
K8s Ingress请求成功率过低告警
OSS数据安全 OSS Bucket账号访问控制
OSS频繁删除对象告警
NAS数据安全 文件存储操作错误检测
文件存储大批量删除文件告警
WAF安全事件 应用防火墙有效请求率过低告警
应用防火墙防护网站被攻击次数过多告警
TDI安全事件 云安全中心高优先级告警数过多
云安全中心新增漏洞数过多
云安全中心有效请求率过低告警
云安全中心新增告警数过多
云安全中心外网DNS请求成功率过低告警
云防火墙安全事件 云防火墙流出流量拦截告警
云防火墙流入流量拦截告警