操作审计支持事件告警功能,当检测到云上异常操作事件时,将通过多种通知方式向用户和用户组发送告警通知,方便用户和用户组成员快速处理。本文为您介绍如何启用并设置事件告警。

步骤一:创建跟踪

请创建满足以下条件的跟踪:

  • 跟踪的地域为全部地域。
  • 跟踪的事件类型为所有事件。
  • 跟踪投递的存储空间为日志服务SLS。

具体操作,请参见创建单账号跟踪创建多账号跟踪

步骤二:启用事件告警

您需要启用事件告警,检测指定跟踪中的操作事件。

  1. 登录操作审计控制台
  2. 在左侧导航栏,单击跟踪列表
  3. 跟踪列表页面,单击目标跟踪名称。
  4. 单击启用高级功能右侧的设置
    说明 启用高级功能右侧显示,表示已经成功启用事件告警。

步骤三:创建用户和用户组

用户和用户组用于指定告警通知对象。例如:创建用户(Alice和Kumer)、用户组(操作审计运维组),并将Alice和Kumer加入到操作审计运维组中。

  1. 登录操作审计控制台
  2. 在左侧导航栏,单击事件告警
  3. 创建用户。
    1. 事件告警页面,选择告警管理 > 用户管理
    2. 用户管理区域,单击批量添加
    3. 添加用户对话框的待添加页签,输入用户信息,然后单击确认
      用户信息代码示例:
      #标识符,姓名,是否启用,国家号-手机号,可收短信,可接电话
      1001,Kumer,true,86-1381111*****,true,true
      1002,Alice,true,86-1381111*****,true,true

      参数说明:

      参数 描述 示例
      标识符 用户唯一标识,不可重复。

      长度为5~60个字符,以英文字母开头,可包含英文字母、数字、下划线(_)、短划线(-)和半角句号(.)。

      1001、1002
      姓名 用户姓名。

      长度为1~20个字符,不能包含特殊字符:"\$|~?&<>{}`'

      Kumer、Alice
      是否启用 是否允许操作审计向该用户发送告警通知。取值:
      • true:允许。
      • false:不允许。
      true
      国家号-手机号 用户手机号码,其中国家号为数字形式,长度为1~4个字符。 86-1381111*****、86-1381112*****
      可收短信 是否允许操作审计给该手机号码发送短信通知。取值:
      • true:允许。
      • false:不允许。
      true
      可接电话 是否允许操作审计给该手机号码发送语音通知。
      • true:允许。
      • false:不允许。
      true
  4. 创建用户组。
    1. 告警管理下拉列表,选择用户组管理
    2. 用户组管理区域,单击创建
    3. 添加用户组对话框,配置以下参数,然后单击确认

      重要参数说明和配置示例如下所示:

      参数 描述 示例
      标识符 用户组唯一标识,不可重复。

      长度为5~60个字符,以英文字母开头,可包含英文字母、数字、下划线(_)、短划线(-)和半角句号(.)。

      group-01
      组名 用户组名称。

      长度不超过20个字符,不能包含特殊字符:\$|~?&<>{}`'"

      操作审计运维组
      待添加成员 您已创建的用户。 Kumer、Alice
      已添加成员 已添加到用户组的用户。 Kumer、Alice
      启用 是否允许操作审计向该用户组发送告警通知。取值:
      • 启用:允许。
      • 不启用:不允许。
      启用

步骤四(可选):创建内容模板

操作审计默认使用SLS ActionTrail内置内容模板为用户/用户组发送告警通知。您也可以根据需要创建自定义的内容模板。

  1. 登录操作审计控制台
  2. 在左侧导航栏,单击事件告警
  3. 事件告警页面,选择告警管理 > 内容模板
  4. 单击添加
  5. 添加内容模板对话框,设置ID名称
  6. 设置各个渠道的告警通知内容。
    告警渠道 配置项
    短信 短信渠道的内容模板说明如下:
    • 非定制内容语言:告警通知内容的语言,支持中文和英文。
    • 发送内容:告警通知的内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(旧版)
    语音 语音渠道的内容模板说明如下:
    • 非定制内容语言:告警通知内容的语言,支持中文(推荐)和英文。
    • 发送内容:告警通知的内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(旧版)
    邮件 邮件渠道的内容模板说明如下:
    • 非定制内容语言:告警通知内容的语言,支持中文和英文。
    • 主题:告警消息的标题。您还可以使用模板变量定义主题。
    • 发送内容:告警通知的内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(旧版)
    钉钉 钉钉渠道的内容模板说明如下:
    • 标题:告警消息的标题。您还可以使用模板变量定义标题。
    • 发送内容:告警通知的内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(旧版)
    WebHook-自定义 WebHook渠道的内容模板说明如下:
    • 发送方式:支持逐条发送和合并发送。
      • 选择合并发送时,如果限制了单个分组最多发送的条数,则只发送合并集合中的前N条告警。
      • 选择合并发送时,如果您配置的内容可解析为JSON格式,则最终发送的内容为JSON格式。否则为字符串数组格式。
      例如发送内容配置为{ "project": "${project}", "alert_name": "${alert_name}"},当触发两个告警时:
      • 逐条发送:发送两次告警通知,其内容分别为{ "project": "project-1", "alert_name": "alert-1"}{ "project": "project-2", "alert_name": "alert-2"}
      • 合并发送:发送一次告警通知,其内容为[{ "project": "project-1", "alert_name": "alert-1"}, { "project": "project-2", "alert_name": "alert-2"}]
    • 发送内容:告警通知的内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(旧版)
    说明 发送告警通知时默认添加请求头信息Content-Type: application/json;charset=utf-8 Header。如果WebHook接收端需要其它格式的请求头,您可以在配置通知渠道时,自定义请求头信息。更多信息,请参见WebHook-自定义
    通知中心 通知中心渠道的内容模板说明如下:
    • 非定制内容语言:告警通知内容的语言,支持中文和英文。
    • 发送内容:告警通知的内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(旧版)
    企业微信 企业微信渠道的内容模板说明如下:
    • 标题:告警消息的标题。您还可以使用模板变量定义标题。
    • 发送内容:告警通知的内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(旧版)
    飞书 飞书渠道的内容模板说明如下:
    • 标题:告警消息的标题。您还可以使用模板变量定义标题。
    • 发送内容:告警通知的内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(旧版)
    Slack Slack渠道的内容模板说明如下:
    • 标题:告警消息的标题。您还可以使用模板变量定义标题。
    • 发送内容:告警通知的内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(旧版)
  7. 单击确认

步骤五(可选):创建行动策略

行动策略用于控制告警通知的渠道和频率。操作审计内置告警规则默认使用SLS ActionTrail内置行动策略为您发送告警通知,您也可以创建行动策略,设置告警触发条件、通知渠道和接收人等信息。

  1. 登录操作审计控制台
  2. 在左侧导航栏,单击事件告警
  3. 事件告警页面,选择告警管理 > 行动策略
  4. 单击添加
  5. 添加行动策略对话框,输入ID名称
  6. 第一行动列表页签,创建行动策略。
    1. 单击条件图标。
    2. 配置触发告警通知的条件,然后单击确认
      参数 描述 示例
      条件 取值:
      • 所有:每个告警集合中所有的告警都满足所有条件时才会执行相应的行动组。
      • 任意:每个告警集合中任意一条告警满足所有条件时就会执行相应的行动组。
      任意
      条件表达式 针对符合条件的告警进行渠道分派。系统根据您配置的条件(对象、操作符、对象值),执行相应的行动组。
      • 对象:阿里云账号
      • 操作符:等于
      • 对象值:154035569884****
      模式
      您可以通过标准模式或高级模式添加多个条件。取值:
      • 标准模式:多个条件之间为and关系。
      • 高级模式:多个条件之间可以为and或or关系,支持您使用圆括号将多个条件归为一组,且支持条件嵌套。
      标准模式
    3. 配置行动组。
      根据控制台界面,配置通知渠道及相关参数。通知渠道包括短信、语音、邮件、钉钉、WebHook和消息中心。更多信息,请参见通知渠道说明行动组
    4. 单击条件行动组对话框对应的结束 图标,结束第一行动列表配置。
      说明 如果您需要继续添加条件和行动组,请单击条件图标。
  7. 单击确认

步骤六:开启告警规则

操作审计支持内置告警规则和自定义告警规则,请根据实际需要开启对应的告警规则。例如:您希望在专有网络路由配置发生变更后触发告警,可以开启VPC网络路由变更告警。

说明 您可以在操作审计控制台,将鼠标悬浮在告警规则名称右侧的问号图标,查询告警规则详情。
  1. 登录操作审计控制台
  2. 在左侧导航栏,单击事件告警
  3. 事件告警页面,单击规则/事务页签。
  4. 单击目标告警规则右侧操作列的开启
    状态列显示已开启,表示成功开启告警规则。

步骤七(可选):设置告警参数

告警规则开启后,默认采用系统预置的严重程度检测操作事件。您也可以根据需要设置告警参数。

  1. 登录操作审计控制台
  2. 在左侧导航栏,单击事件告警
  3. 事件告警页面,单击规则/事务页签。
  4. 单击目标告警规则右侧操作列的设置
  5. 参数设置对话框,设置以下参数,然后单击保存
    参数 描述 示例
    行动策略 告警通知的渠道和频率。 网站日志告警行动策略
    严重度 告警规则的严重程度。
    说明 您可以为账号连续登录失败告警设置最大失败登录次数,或者为未授权的API调用告警设置未授权调用的最大次数

步骤八(可选):创建白名单

如果您希望阿里云账号、RAM用户、RAM角色和IP地址不受告警规则限制,可以创建白名单。

说明 仅部分告警规则支持创建白名单,请以控制台显示为准。
  1. 登录操作审计控制台
  2. 在左侧导航栏,单击事件告警
  3. 事件告警页面,单击规则/事务页签。
  4. 单击目标告警规则右侧外部配置列的白名单
  5. 数据管理对话框,单击添加
  6. 添加数据对话框,根据控制台提示添加白名单信息(例如:154035569884****)。
  7. 单击确认
    添加成功后,您可以在白名单用户右侧操作列进行修改或删除操作。