本文介绍RDS安全的告警规则。通过设置告警规则,可及时触发告警,有助于您快速发现RDS安全问题。
告警规则列表
支持的告警规则列表如下所示。设置告警参数、设置白名单等相关操作,请参见设置告警。
RDS慢SQL检测
告警ID | sls_app_audit_db_at_rds_slow_sql |
告警名称 | RDS慢SQL检测 |
版本号 | 1 |
类别 | 云平台、阿里云、数据库安全、RDS安全 |
作用 | 监控RDS SQL执行是否为慢SQL。RDS SQL执行时间大于等于规则参数慢SQL时间阈值时,会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 检查出现慢SQL的RDS数据库是否存在异常。 |
前提条件 | 确保已在日志审计服务中的SQL审计日志的开关。 | 中打开RDS
RDS大批量数据删除告警
告警ID | sls_app_audit_db_at_rds_batch_del_sql |
告警名称 | RDS大批量数据删除告警 |
版本号 | 1 |
类别 | 云平台、阿里云、数据库安全、RDS安全 |
作用 | 监控RDS是否大量删除数据。删除的RDS数据行数大于等于规则参数大批量删除界定阈值时,会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 检查发生大批量删除事件的RDS数据库是否存在异常。 |
前提条件 | 确保已在日志审计服务中的SQL审计日志的开关。 | 中打开RDS
RDS外网访问检测
告警ID | sls_app_audit_db_at_rds_internet_access |
告警名称 | RDS外网访问检测 |
版本号 | 1 |
类别 | 云平台、阿里云、数据库安全、RDS安全 |
作用 | 监控RDS是否被外网IP地址访问。RDS被外网IP地址访问时,会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 | 严重度:严重、高、中、低、报告。默认值为高。 |
外部配置 | 允许通过外网访问的RDS实例白名单。白名单中的RDS实例被外网IP地址访问时,不会触发告警。 |
消除方法 | 禁止白名单以外的RDS实例被外网IP地址访问。 |
前提条件 | 确保已在日志审计服务中的SQL审计日志的开关。 | 中打开RDS
RDS查询SQL平均执行时间监控告警
告警ID | sls_app_audit_db_at_rds_select_speed |
告警名称 | RDS查询SQL平均执行时间监控告警 |
版本号 | 1 |
类别 | 云平台、阿里云、数据库安全、RDS安全 |
作用 | 监控RDS每条查询SQL执行平均时间。RDS SQL查询语句平均执行时间大于等于规则参数SQL平均执行时间阈值时,会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 检查查询SQL的平均执行时间过长的RDS数据库是否存在异常。 |
前提条件 | 确保已在日志审计服务中的SQL审计日志的开关。 | 中打开RDS
RDS数据库更新峰值监控告警
告警ID | sls_app_audit_db_at_rds_update_peak |
告警名称 | RDS数据库更新峰值监控告警 |
版本号 | 1 |
类别 | 云平台、阿里云、数据库安全、RDS安全 |
作用 | 监控RDS更新(增删改)峰值。RDS更新(增删改)峰值大于等于规则参数更新峰值阈值时,会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 检查更新峰值过高的RDS数据库是否存在异常。 |
前提条件 | 确保已在日志审计服务中的SQL审计日志的开关。 | 中打开RDS
RDS数据库查询峰值监控告警
告警ID | sls_app_audit_db_at_rds_query_peak |
告警名称 | RDS数据库查询峰值监控告警 |
版本号 | 1 |
类别 | 云平台、阿里云、数据库安全、RDS安全 |
作用 | 监控RDS查询峰值。RDS查询峰值大于等于规则参数查询峰值阈值时,会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 检查查询峰值过高的RDS数据库是否存在异常。 |
前提条件 | 确保已在日志审计服务中的SQL审计日志的开关。 | 中打开RDS
RDS实例释放告警
告警ID | sls_app_audit_db_at_rds_instance_del |
告警名称 | RDS实例释放告警 |
版本号 | 1 |
类别 | 云平台、阿里云、数据库安全、RDS安全 |
作用 | 监控RDS实例释放异常。RDS实例被释放时,会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 | 严重度:严重、高、中、低、报告。默认值为高。 |
外部配置 | 无 |
消除方法 | 检查被释放的RDS实例是否属于正常释放。 |
前提条件 | 确保已在日志审计服务中的SQL审计日志的开关。 | 中打开RDS
RDS高频访问IP检测
告警ID | sls_app_audit_db_at_rds_visit |
告警名称 | RDS高频访问IP检测 |
版本号 | 1 |
类别 | 云平台、阿里云、数据库安全、RDS安全 |
作用 | 监控同一个IP地址对RDS实例访问频率是否异常。同一个IP地址对RDS实例访问频率大于等于规则参数高频访问阈值时,会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 |
|
外部配置 | RDS高频访问IP地址白名单。白名单中的IP地址对RDS实例发起高频访问时,不会触发告警。 |
消除方法 | 检查高频访问RDS实例的IP地址是否存在异常。 |
前提条件 | 确保已在日志审计服务中的SQL审计日志的开关。 | 中打开RDS
RDS更新SQL平均执行时间监控告警
告警ID | sls_app_audit_db_at_rds_update_speed |
告警名称 | RDS更新SQL平均执行时间监控告警 |
版本号 | 1 |
类别 | 云平台、阿里云、数据库安全、RDS安全 |
作用 | 监控RDS每条更新(增删改)SQL执行平均时间。RDS更新(增删改)SQL平均执行时间大于等于规则参数SQL平均执行时间阈值时,会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 检查更新(增删改)SQL的平均执行时间过长的RDS数据库是否存在异常。 |
前提条件 | 确保已在日志审计服务中的SQL审计日志的开关。 | 中打开RDS
RDS登录失败次数过多告警
告警ID | sls_app_audit_db_at_rds_login_err_cnt |
告警名称 | RDS登录失败次数过多告警 |
版本号 | 1 |
类别 | 云平台、阿里云、数据库安全、RDS安全 |
作用 | 监控登录RDS实例失败次数是否异常。一个RDS实例在5分钟内登录失败次数大于等于规则参数最大失败登录次数时,会触发告警。 |
执行频率 | 固定时间间隔:4分钟 |
查询范围 | 过去5分钟 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 检查登录失败次数过的RDS实例是否存在异常。 |
前提条件 | 确保已在日志审计服务中的SQL审计日志的开关。 | 中打开RDS
RDS大批量数据修改事件告警
告警ID | sls_app_audit_db_at_rds_batch_update_sql |
告警名称 | RDS大批量数据修改事件告警 |
版本号 | 1 |
类别 | 云平台、阿里云、数据库安全、RDS安全 |
作用 | 监控RDS大量修改数据是否异常。RDS大量修改数据行数大于等于规则参数大规模修改界定阈值时,会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 检查发生大批量数据修改事件的RDS数据库是否存在异常。 |
前提条件 | 确保已在日志审计服务中的SQL审计日志的开关。 | 中打开RDS
RDS危险的SQL执行告警
告警ID | sls_app_audit_db_at_rds_danger_sql |
告警名称 | RDS危险的SQL执行告警 |
版本号 | 1 |
类别 | 云平台、阿里云、数据库安全、RDS安全 |
作用 | 监控RDS是否存在执行危险SQL。RDS出现执行危险SQL时,会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 检查执行危险SQL的RDS数据库是否存在异常。 |
前提条件 | 确保已在日志审计服务中的SQL审计日志的开关。 | 中打开RDS
RDS SQL执行错误数过多告警
告警ID | sls_app_audit_db_at_rds_sql_err_cnt |
告警名称 | RDS SQL执行错误数过多告警 |
版本号 | 1 |
类别 | 云平台、阿里云、数据库安全、RDS安全 |
作用 | 监控RDS SQL执行错误次数是否异常。一个RDS实例的SQL执行错误次数大于等于规则参数最大错误次数时,会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 检查SQL执行错误次数过多的RDS数据库是否存在异常。 |
前提条件 | 确保已在日志审计服务中的SQL审计日志的开关。 | 中打开RDS