本文介绍OSS流量安全的告警规则。通过设置并开启告警规则,可及时触发告警,有助于您快速发现OSS流量安全问题。

告警规则列表

OSS流量异常检测

告警ID sls_app_audit_dataflow_at_oss_flow_detc
告警名称 OSS流量异常检测
版本号 1
类别 云平台、阿里云、流量安全、OSS流量安全
作用 监控OSS的流入流量和流出流量。当流量的异常点个数超过指定的阈值时,触发告警。
执行频率 固定时间间隔:4小时
查询范围 过去4小时
参数配置 告警参数说明如下所示:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • 流量异常点个数的阈值:OSS流量异常点个数的阈值,默认值为10个。如果4小时内的流量异常点个数超过该阈值,则触发告警。

    每分钟统计一个流量值。

  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • Bucket名称:需要监控的OSS Bucket名称(支持正则)。
    • 您可以使用正则表达式.*进行配置。
    • 默认值为.*,表示监控目标阿里云账号下的所有的OSS Bucket。
外部配置
消除办法 检查触发告警的OSS Bucket是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开OSS访问日志开关。

OSS流入流量异常检测

告警ID sls_app_audit_dataflow_at_oss_inflow_detc
告警名称 OSS流入流量异常检测
版本号 1
类别 云平台、阿里云、流量安全、OSS流量安全
作用 监控OSS的流入流量。当流入流量的异常点个数超过指定的阈值时,触发告警。
执行频率 固定时间间隔:4小时
查询范围 过去4小时
参数配置 告警参数说明如下:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • 入流量异常点个数的阈值:OSS流入流量异常点个数的阈值,默认值为10个。如果4小时内的流入流量异常点个数超过该阈值,则触发告警。

    每分钟统计一个流入流量值。

  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • Bucket名称:需要监控的OSS Bucket名称(支持正则)。
    • 您可以使用正则表达式.*进行配置。
    • 默认值为.*,表示监控目标阿里云账号下的所有的OSS Bucket。
外部配置
消除办法 检查触发告警的OSS Bucket是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开OSS访问日志开关。

OSS流出流量异常检测

告警ID sls_app_audit_dataflow_at_oss_outflow_detc
告警名称 OSS流出流量异常检测
版本号 1
类别 云平台、阿里云、流量安全、OSS流量安全
作用 监控OSS的流出流量。当流出流量的异常点个数超过指定的阈值时,触发告警。
执行频率 固定时间间隔:4小时
查询范围 过去4小时
参数配置 告警参数说明如下所示:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • 出流量异常点个数的阈值:OSS流出流量异常点个数的阈值,默认值为10个。如果4小时内的流出流量异常点个数超过该阈值,则触发告警。

    每分钟统计一个流量值。

  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • Bucket名称:需要监控的OSS Bucket名称(支持正则)。
    • 您可以使用正则表达式.*进行配置。
    • 默认值为.*,表示监控目标阿里云账号下的所有的OSS Bucket。
外部配置
消除办法 检查触发告警的OSS Bucket是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开OSS访问日志开关。

OSS访问PV异常检测

告警ID sls_app_audit_dataflow_at_oss_pv_detc
告警名称 OSS访问PV异常检测
版本号 1
类别 云平台、阿里云、流量安全、OSS流量安全
作用 监控OSS的访问PV。当OSS访问PV的异常点个数超过指定的阈值时,触发告警。
执行频率 固定时间间隔:4小时
查询范围 过去4小时
参数配置 告警参数说明如下所示:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • PV异常点个数阈值:OSS访问PV异常点个数的阈值,默认值为10个。如果4小时内的PV异常点个数超过该阈值,则触发告警。

    每分钟统计一个PV值。

  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • Bucket名称:需要监控的OSS Bucket名称(支持正则)。
    • 您可以使用正则表达式.*进行配置。
    • 默认值为.*,表示监控目标阿里云账号下的所有的OSS Bucket。
外部配置
消除办法 检查触发告警的OSS Bucket是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开OSS访问日志开关。

OSS访问UV异常检测

告警ID sls_app_audit_dataflow_at_oss_uv_detc
告警名称 OSS访问UV异常检测
版本号 1
类别 云平台、阿里云、流量安全、OSS流量安全
作用 监控OSS的访问UV。当OSS访问UV的异常点个数超过指定阈值时,触发告警。
执行频率 固定时间间隔:4小时
查询范围 过去4小时
参数配置 告警参数说明如下所示:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • UV异常点个数阈值:OSS访问UV异常点个数的阈值,默认值为10个。如果4小时内的UV异常点个数超过该阈值,则触发告警。

    每分钟统计一个PV值。

  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • Bucket名称:需要监控的OSS Bucket名称(支持正则)。
    • 您可以使用正则表达式.*进行配置。
    • 默认值为.*,表示监控目标阿里云账号下的所有的OSS Bucket。
外部配置
消除办法 检查触发告警的OSS Bucket是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开OSS访问日志开关。

OSS Bucket有效请求率过低告警

告警ID sls_app_audit_dataflow_at_oss_req_rate
告警名称 OSS Bucket有效请求率过低告警
版本号 1
类别 云平台、阿里云、流量安全、OSS流量安全
作用 监控OSS Bucket有效请求率。当OSS Bucket有效请求率低于指定的阈值时,触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 告警参数说明如下所示:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • 有效请求率阈值:OSS Bucket的有效请求率的阈值,默认值为95%。如果OSS Bucket的有效请求率低于该阈值,则触发告警。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • Bucket名称:需要监控的OSS Bucket名称(支持正则)。
    • 您可以使用正则表达式.*进行配置。
    • 默认值为.*,表示监控目标阿里云账号下的所有的OSS Bucket。
外部配置
触发告警时的推荐消除办法 检查触发告警的OSS Bucket是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开OSS访问日志开关。

OSS外网访问检测

告警ID sls_app_audit_dataflow_at_oss_internet_access
告警名称 OSS外网访问检测
版本号 1
类别 云平台、阿里云、流量安全、OSS流量安全
作用 监控OSS Bucket外网访问情况。当OSS被外网访问时,触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 告警参数说明如下:

严重度:告警严重度,包括严重、高、中、低、报告。

外部配置 添加阿里云账号和OSS Bucket白名单,白名单中的OSS Bucket被外网访问时,不会触发告警。
消除方法 请勿使用外网访问白名单以外的OSS Bucket。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开OSS访问日志开关。