全部产品
Search
文档中心

操作审计:启用并设置事件告警

更新时间:Jan 17, 2024

操作审计的事件告警功能可以帮您实时监测与快速响应云上资源的异常。当设定的告警规则识别到潜在的安全威胁或不符合规范的操作事件时,将通过多种通知方式向用户和用户组发送告警通知,便于用户和用户组成员快速处理,维护云资源的安全与完整性。本文为您介绍如何启用并设置事件告警。

步骤一:创建跟踪

请创建满足以下条件的跟踪:

  • 跟踪的地域为全部地域。

  • 跟踪的事件类型为所有事件。

  • 跟踪将事件投递到日志服务SLS。

具体操作,请参见创建单账号跟踪创建多账号跟踪

说明

在创建跟踪的同时可设置将历史的90天事件补投到该跟踪,扩大事件搜索范围。具体操作,请参见创建数据回补投递任务

步骤二:开启跟踪的高级查询

您需要先开启跟踪的高级查询,才能启用事件告警,检测指定跟踪中的操作事件。

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击跟踪

  3. 跟踪页面,打开目标跟踪名称对应高级查询列的开关。

    说明
    • 每个阿里云账号或RAM用户下只能启用一条跟踪的高级查询功能。

    • 如果您已为某个跟踪设置告警,当为其关闭高级查询时,告警配置仍会生效。若您需要修改或关闭告警配置,请重新开启高级查询。

步骤三:创建用户和用户组

用户和用户组用于指定告警通知对象。例如:创建用户(Alice和Kumer)、用户组(操作审计运维组),并将Alice和Kumer加入到操作审计运维组中。

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击事件告警

  3. 创建用户。

    1. 告警中心页面,选择告警管理 > 用户管理

    2. 用户管理区域,单击创建

    3. 添加用户对话框,配置以下参数,然后单击确认

      用户信息代码示例:

      #标识符, 姓名, 手机号, 可收短信, 可接电话, 邮箱, 启用
      test01,Kumer,true,86-1381111*****,true,true,a***@example.net
      test02,Alice,true,86-1381111*****,true,true,a***@example.net

      参数说明:

      参数

      描述

      示例

      标识符

      用户唯一标识,不可重复。

      长度为5~60个字符,以英文字母开头,可包含英文字母、数字、下划线(_)、短划线(-)和半角句号(.)。

      test01、test02

      姓名

      用户姓名。

      长度为1~20个字符,不能包含特殊字符:"\$|~?&<>{}`'

      Kumer、Alice

      手机号

      用户手机号码,其中国家号为数字形式,长度为1~4个字符。

      86-1381111*****、86-1381112*****

      可收短信

      是否允许操作审计给该手机号码发送短信通知。取值:

      • true:允许。

      • false:不允许。

      true

      可接电话

      是否允许操作审计给该手机号码发送语音通知。

      • true:允许。

      • false:不允许。

      true

      邮箱

      用户邮箱。

      a***@example.net

      启用

      是否允许操作审计向该用户发送告警通知。取值:

      • true:允许。

      • false:不允许。

      true

  4. 创建用户组。

    1. 告警管理下拉列表,选择用户组管理

    2. 用户组管理区域,单击创建

    3. 添加用户组对话框,配置以下参数,然后单击确认

      重要参数说明和配置示例如下所示:

      参数

      描述

      示例

      标识符

      用户组唯一标识,不可重复。

      长度为5~60个字符,以英文字母开头,可包含英文字母、数字、下划线(_)、短划线(-)和半角句号(.)。

      group-01

      组名

      用户组名称。

      长度不超过20个字符,不能包含特殊字符:\$|~?&<>{}`'"

      操作审计运维组

      待添加成员

      您已创建的用户。

      Kumer、Alice

      已添加成员

      已添加到用户组的用户。

      Kumer、Alice

      启用

      是否允许操作审计向该用户组发送告警通知。取值:

      • 启用:允许。

      • 不启用:不允许。

      启用

步骤四(可选):创建内容模板

操作审计默认使用SLS ActionTrail内置内容模板为用户/用户组发送告警通知。您也可以根据需要创建自定义的内容模板。

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击事件告警

  3. 告警中心页面,选择告警管理 > 内容模板

  4. 单击创建

  5. 添加内容模板对话框,设置标识符名称

  6. 设置各个渠道的告警通知内容。

    告警渠道

    配置项

    短信

    短信渠道的内容模板说明如下:

    • 非定制内容语言:告警通知内容的语言,支持中文和英文。

    • 发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)

    语音

    语音渠道的内容模板说明如下:

    • 非定制内容语言:告警通知内容的语言,支持中文(推荐)和英文。

    • 发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)

    邮件

    邮件渠道的内容模板说明如下:

    • 非定制内容语言:告警通知内容的语言,支持中文和英文。

    • 主题:告警消息的主题。您还可以使用模板变量定义主题。

    • 发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)

    钉钉

    钉钉渠道的内容模板说明如下:

    • 标题:告警消息的标题。您还可以使用模板变量定义标题。

    • 发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)

    WebHook-自定义

    WebHook渠道的内容模板说明如下:

    • 发送方式:支持逐条发送和合并发送。

      例如发送内容配置为{ "project": "{{project}}", "alert_name": "{{alert_name}}"},当触发两个告警时:

      • 逐条发送:发送两次告警通知,其内容分别为{ "project": "project-1", "alert_name": "alert-1"}{ "project": "project-2", "alert_name": "alert-2"}

      • 合并发送:发送一次告警通知,其内容为[{ "project": "project-1", "alert_name": "alert-1"}, { "project": "project-2", "alert_name": "alert-2"}]

        • 选择合并发送时,如果限制了单个分组最多发送的条数,则只发送合并集合中的前N条告警。

        • 选择合并发送时,如果您配置的内容可解析为JSON格式,则最终发送的内容为JSON格式。否则为字符串数组格式。

    • 发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)

    说明

    发送告警通知时默认添加请求头信息Content-Type: application/json;charset=utf-8。如果Webhook接收端需要其它格式的请求头,您可以在配置通知渠道时,自定义请求头信息。更多信息,请参见Webhook-自定义

    通知中心

    通知中心渠道内容模板说明如下:

    • 非定制内容语言:告警通知内容的语言,支持中文和英文。

    • 发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)

    企业微信

    企业微信渠道的内容模板说明如下:

    • 标题:告警消息的标题。您还可以使用模板变量定义标题。

    • 发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)

    飞书

    飞书渠道的内容模板说明如下:

    • 标题:告警消息的标题。您还可以使用模板变量定义标题。

    • 发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)

    Slack

    Slack渠道的内容模板说明如下:

    • 标题:告警消息的标题。您还可以使用模板变量定义标题。

    • 发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)

    EventBridge

    事件总线(EventBridge)渠道的内容模板说明如下:

    • 主题:告警消息的主题。您还可以使用模板变量定义主题。

    • 发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)

    函数计算

    函数计算(FC)渠道的内容模板说明如下:

    • 发送方式:支持逐条发送和合并发送。

      例如发送内容配置为{ "project": "{{project}}", "alert_name": "{{alert_name}}"},当触发两个告警时:

      • 逐条发送:发送两次告警通知,其内容分别为{ "project": "project-1", "alert_name": "alert-1"}{ "project": "project-2", "alert_name": "alert-2"}

      • 合并发送:发送一次告警通知,其内容为[{ "project": "project-1", "alert_name": "alert-1"}, { "project": "project-2", "alert_name": "alert-2"}]

        • 选择合并发送时,如果限制了单个分组最多发送的条数,则只发送合并集合中的前N条告警。

        • 选择合并发送时,如果您配置的内容可解析为JSON格式,则最终发送的内容为JSON格式。否则为字符串数组格式。

    • 发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)

  7. 单击确认

步骤五(可选):创建行动策略

行动策略用于控制告警通知的渠道和频率。操作审计内置告警规则默认使用SLS ActionTrail内置行动策略为您发送告警通知,您也可以创建行动策略,设置告警触发条件、通知渠道和接收人等信息。

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击事件告警

  3. 告警中心页面,选择告警管理 > 行动策略

  4. 单击创建

  5. 添加行动策略对话框,输入标识符名称

  6. 第一行动列表页签,创建行动策略。

    1. 单击条件图标。

    2. 配置触发告警通知的条件,然后单击确认

      参数

      描述

      示例

      条件

      取值:

      • 所有:每个告警集合中所有的告警都满足所有条件时才会执行相应的行动组。

      • 任意:每个告警集合中任意一条告警满足所有条件时就会执行相应的行动组。

      任意

      条件表达式

      针对符合条件的告警进行渠道分派。系统根据您配置的条件(对象、操作符、对象值),执行相应的行动组。

      • 对象:阿里云账号

      • 操作符:等于

      • 对象值:154035569884****

      模式

      您可以通过标准模式或高级模式添加多个条件。取值:

      • 标准模式:多个条件之间为and关系。

      • 高级模式:多个条件之间可以为and或or关系,支持您使用圆括号将多个条件归为一组,且支持条件嵌套。

      标准模式

    3. 配置行动组。

      根据控制台界面,配置通知渠道及相关参数。通知渠道包括短信、语音、邮件、钉钉、WebHook和消息中心。更多信息,请参见通知渠道说明行动组

    4. 单击条件行动组对话框对应的结束 图标,结束第一行动列表配置。

      说明

      如果您需要继续添加条件和行动组,请单击条件图标。

  7. 单击确认

步骤六(可选):设置告警参数

如果您使用内置告警规则,则在告警规则开启前,您需要先设置告警参数,选择您已创建的行动策略,确保告警规则在启用时已根据您的具体需求进行监测。

说明

您也可以创建自定义告警规则,配置需要的告警规则。具体操作,请参见创建自定义告警规则

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击事件告警

  3. 告警中心页面,单击规则/事务页签。

  4. 单击目标告警规则右侧操作列的设置

  5. 参数设置对话框,设置以下参数,然后单击设置并开启

    参数

    描述

    示例

    行动策略

    告警通知的渠道和频率。

    网站日志告警行动策略

    严重度

    告警规则的严重程度。

    说明

    您可以为账号连续登录失败告警设置最大失败登录次数,或者为未授权的API调用告警设置未授权调用的最大次数

步骤七:开启告警规则

操作审计支持内置告警规则和自定义告警规则,请根据实际需要开启对应的告警规则。例如:您希望在专有网络路由配置发生变更后触发告警,可以开启VPC网络路由变更告警。

说明
  • 自定义告警规则在创建后,会自动开启,无需进行下面的操作步骤。

  • 您可以在操作审计控制台,将鼠标悬浮在告警规则名称右侧的问号图标,查询告警规则详情。

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击事件告警

  3. 告警中心页面,单击规则/事务页签。

  4. 单击目标告警规则右侧操作列的开启

    状态列显示已开启,表示成功开启告警规则。

步骤八(可选):创建白名单

如果您希望阿里云账号、RAM用户、RAM角色和IP地址不受告警规则限制,可以创建白名单。

说明

仅部分告警规则支持创建白名单,请以控制台显示为准。

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击事件告警

  3. 告警中心页面,单击规则/事务页签。

  4. 单击目标告警规则右侧外部配置列的白名单

  5. 数据管理对话框,单击添加

  6. 添加数据对话框,根据控制台提示添加白名单信息(例如:154035569884****)。

  7. 单击确认

    添加成功后,您可以在白名单用户右侧操作列进行修改或删除操作。

相关文档