本文介绍日志审计合规的告警规则,包括OSS、RDS、PolarDB、SLB、NAS、K8s等云产品的日志审计合规规则。通过设置并开启告警规则,可及时触发告警,有助于您快速发现日志审计合规问题。
告警规则列表
支持的告警规则列表如下所示。设置告警参数、设置白名单等相关操作,请参见
设置告警。
云安全中心日志审计配置检测
告警ID |
sls_app_audit_cis_at_sas_audit_check |
告警名称 |
云安全中心日志审计配置检测 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、日志审计合规 |
作用 |
检测云安全中心日志在日志审计服务中的配置是否正常。确保云安全中心日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值。
|
执行频率 |
固定时间间隔1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
存储时长(ttl)最小值:存储时长最小值,默认为180天。
|
外部配置 |
无 |
消除方法 |
在日志审计服务中的中开启云安全中心日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值。
|
前提条件 |
无 |
RDS日志审计配置检测
告警ID |
sls_app_audit_cis_at_rds_audit_check |
告警名称 |
RDS日志审计配置检测 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、日志审计合规 |
作用 |
检测RDS日志在日志审计服务中的配置是否正常。确保RDS日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值。
|
执行频率 |
固定时间间隔1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
存储时长(ttl)最小值:存储时长最小值,默认为180天。
|
外部配置 |
无 |
消除方法 |
在日志审计服务中的中开启RDS日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值。
|
前提条件 |
无 |
日志审计状态检测
告警ID |
sls_app_audit_cis_at_audit_status_check |
告警名称 |
日志审计状态检测 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、日志审计合规 |
作用 |
日志审计服务总体状态检测,总体状态异常时会触发告警。 |
执行频率 |
固定时间间隔1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
无 |
外部配置 |
无 |
消除方法 |
在日志审计服务中的中查看日志审计服务的状态,定位状态异常的原因。
|
前提条件 |
无 |
PolarDB(DRDS)日志审计配置检测
告警ID |
sls_app_audit_cis_at_drds_audit_check |
告警名称 |
PolarDB(DRDS)日志审计配置检测 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、日志审计合规 |
作用 |
检测PolarDB日志在日志审计服务中的配置是否正常。确保PolarDB(DRDS)日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值。
|
执行频率 |
固定时间间隔1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
存储时长(ttl)最小值:存储时长最小值,默认为180天。
|
外部配置 |
无 |
消除方法 |
在日志审计服务中的中开启Polar(DRDS)日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值。
|
前提条件 |
无 |
K8s日志审计配置检测
告警ID |
sls_app_audit_cis_at_k8s_audit_check |
告警名称 |
K8s日志审计配置检测 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、日志审计合规 |
作用 |
检测K8s相关日志(K8s审计日志、K8s事件中心和Ingress访问日志)在日志审计服务中的配置是否正常。确保K8s日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值。
|
执行频率 |
固定时间间隔1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
存储时长(ttl)最小值:存储时长最小值,默认为180天。
|
外部配置 |
无 |
消除方法 |
在日志审计服务中的中开启K8s相关日志(K8s审计日志、K8s事件中心和Ingress访问日志)的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值。
|
前提条件 |
无 |
ActionTrail日志审计配置检测
告警ID |
sls_app_audit_cis_at_actiontrail_audit_check |
告警名称 |
ActionTrail日志审计配置检测 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、日志审计合规 |
作用 |
检测操作审计(ActionTrail)日志在日志审计服务中的配置是否正常。确保ActionTrail日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值。
|
执行频率 |
固定时间间隔1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
存储时长(ttl)最小值:存储时长最小值,默认为180天。
|
外部配置 |
无 |
消除方法 |
在日志审计服务中的中开启操作审计(ActionTrail)日志开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值。
|
前提条件 |
无 |
OSS(对象存储)日志审计配置检测
告警ID |
sls_app_audit_cis_at_oss_audit_check |
告警名称 |
OSS(对象存储)日志审计配置检测 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、日志审计合规 |
作用 |
检测OSS相关日志(访问日志和计量日志)在日志审计服务中的配置是否正常。确保OSS(对象存储)日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值。
|
执行频率 |
固定时间间隔1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
存储时长(ttl)最小值:存储时长最小值,默认为180天。
|
外部配置 |
无 |
消除方法 |
在日志审计服务中的中开启OSS相关日志(访问日志和计量日志)的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值。
|
前提条件 |
无 |
应用防火墙(WAF)日志审计配置检测
告警ID |
sls_app_audit_cis_at_waf_audit_check |
告警名称 |
应用防火墙(WAF)日志审计配置检测 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、日志审计合规 |
作用 |
检测应用防火墙(WAF)日志在日志审计服务中的配置是否正常。确保应用防火墙(WAF)日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值。
|
执行频率 |
固定时间间隔1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
存储时长(ttl)最小值:存储时长最小值,默认为180天。
|
外部配置 |
无 |
消除方法 |
在日志审计服务中的中开启应用防火墙(WAF)日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值。
|
前提条件 |
无 |
堡垒机日志审计配置检测
告警ID |
sls_app_audit_cis_at_bastion_audit_check |
告警名称 |
堡垒机日志审计配置检测 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、日志审计合规 |
作用 |
检测堡垒机日志在日志审计服务中的配置是否正常。确保堡垒机日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值。
|
执行频率 |
固定时间间隔1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
存储时长(ttl)最小值:存储时长最小值,默认为180天。
|
外部配置 |
无 |
消除方法 |
在日志审计服务中的中开启堡垒机日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值。
|
前提条件 |
无 |
NAS(文件存储)日志审计配置检测
告警ID |
sls_app_audit_cis_at_nas_audit_check |
告警名称 |
NAS(文件存储)日志审计配置检测 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、日志审计合规 |
作用 |
检测NAS(文件存储)日志在日志审计服务中的配置是否正常。确保NAS(文件存储)日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值。
|
执行频率 |
固定时间间隔1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
存储时长(ttl)最小值:存储时长最小值,默认为180天。
|
外部配置 |
无 |
消除方法 |
在日志审计服务中的中开启NAS(文件存储)日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值。
|
前提条件 |
无 |
API网关日志审计配置检测
告警ID |
sls_app_audit_cis_at_apigateway_audit_check |
告警名称 |
API网关日志审计配置检测 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、日志审计合规 |
作用 |
检测API网关日志在日志审计服务中的配置是否正常。确保API网关日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值。
|
执行频率 |
固定时间间隔1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
存储时长(ttl)最小值:存储时长最小值,默认为180天。
|
外部配置 |
无 |
消除方法 |
在日志审计服务中的中开启API网关日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值。
|
前提条件 |
无 |
SLB日志审计配置检测
告警ID |
sls_app_audit_cis_at_slb_audit_check |
告警名称 |
SLB日志审计配置检测 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、日志审计合规 |
作用 |
检测SLB日志在日志审计服务中的配置是否正常。确保SLB日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值。
|
执行频率 |
固定时间间隔1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
存储时长(ttl)最小值:存储时长最小值,默认为180天。
|
外部配置 |
无 |
消除方法 |
在日志审计服务中的中开启SLB日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值。
|
前提条件 |
无 |
云防火墙日志审计配置检测
告警ID |
sls_app_audit_cis_at_cloudfirewall_audit_check |
告警名称 |
云防火墙日志审计配置检测 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、日志审计合规 |
作用 |
检测云防火墙日志在日志审计服务中的配置是否正常。确保云防火墙日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值。
|
执行频率 |
固定时间间隔1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
存储时长(ttl)最小值:存储时长最小值,默认为180天。
|
外部配置 |
无 |
消除方法 |
在日志审计服务中的中开启云防火墙日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值。
|
前提条件 |
无 |