本文介绍日志审计合规的告警规则,包括OSS、RDS、PolarDB、SLB、NAS、K8s等云产品的日志审计合规规则。通过设置并开启告警规则,可及时触发告警,有助于您快速发现日志审计合规问题。

告警规则列表

云安全中心日志审计配置检测

告警ID sls_app_audit_cis_at_sas_audit_check
告警名称 云安全中心日志审计配置检测
版本号 1
类别 云平台、阿里云、CIS、日志审计合规
作用 检测云安全中心日志在日志审计服务中的配置是否正常。确保云安全中心日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值
执行频率 固定时间间隔1分钟
查询范围 过去2分钟
参数配置 存储时长(ttl)最小值:存储时长最小值,默认为180天。
外部配置
消除方法 在日志审计服务中的审计配置 > 云产品接入 > 全局配置中开启云安全中心日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值
前提条件

RDS日志审计配置检测

告警ID sls_app_audit_cis_at_rds_audit_check
告警名称 RDS日志审计配置检测
版本号 1
类别 云平台、阿里云、CIS、日志审计合规
作用 检测RDS日志在日志审计服务中的配置是否正常。确保RDS日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值
执行频率 固定时间间隔1分钟
查询范围 过去2分钟
参数配置 存储时长(ttl)最小值:存储时长最小值,默认为180天。
外部配置
消除方法 在日志审计服务中的审计配置 > 云产品接入 > 全局配置中开启RDS日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值
前提条件

日志审计状态检测

告警ID sls_app_audit_cis_at_audit_status_check
告警名称 日志审计状态检测
版本号 1
类别 云平台、阿里云、CIS、日志审计合规
作用 日志审计服务总体状态检测,总体状态异常时会触发告警。
执行频率 固定时间间隔1分钟
查询范围 过去2分钟
参数配置
外部配置
消除方法 在日志审计服务中的审计配置 > 云产品接入 > 接入状态中查看日志审计服务的状态,定位状态异常的原因。
前提条件

PolarDB(DRDS)日志审计配置检测

告警ID sls_app_audit_cis_at_drds_audit_check
告警名称 PolarDB(DRDS)日志审计配置检测
版本号 1
类别 云平台、阿里云、CIS、日志审计合规
作用 检测PolarDB日志在日志审计服务中的配置是否正常。确保PolarDB(DRDS)日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值
执行频率 固定时间间隔1分钟
查询范围 过去2分钟
参数配置 存储时长(ttl)最小值:存储时长最小值,默认为180天。
外部配置
消除方法 在日志审计服务中的审计配置 > 云产品接入 > 全局配置中开启Polar(DRDS)日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值
前提条件

K8s日志审计配置检测

告警ID sls_app_audit_cis_at_k8s_audit_check
告警名称 K8s日志审计配置检测
版本号 1
类别 云平台、阿里云、CIS、日志审计合规
作用 检测K8s相关日志(K8s审计日志、K8s事件中心和Ingress访问日志)在日志审计服务中的配置是否正常。确保K8s日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值
执行频率 固定时间间隔1分钟
查询范围 过去2分钟
参数配置 存储时长(ttl)最小值:存储时长最小值,默认为180天。
外部配置
消除方法 在日志审计服务中的审计配置 > 云产品接入 > 全局配置中开启K8s相关日志(K8s审计日志、K8s事件中心和Ingress访问日志)的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值
前提条件

ActionTrail日志审计配置检测

告警ID sls_app_audit_cis_at_actiontrail_audit_check
告警名称 ActionTrail日志审计配置检测
版本号 1
类别 云平台、阿里云、CIS、日志审计合规
作用 检测操作审计(ActionTrail)日志在日志审计服务中的配置是否正常。确保ActionTrail日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值
执行频率 固定时间间隔1分钟
查询范围 过去2分钟
参数配置 存储时长(ttl)最小值:存储时长最小值,默认为180天。
外部配置
消除方法 在日志审计服务中的审计配置 > 云产品接入 > 全局配置中开启操作审计(ActionTrail)日志开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值
前提条件

OSS(对象存储)日志审计配置检测

告警ID sls_app_audit_cis_at_oss_audit_check
告警名称 OSS(对象存储)日志审计配置检测
版本号 1
类别 云平台、阿里云、CIS、日志审计合规
作用 检测OSS相关日志(访问日志和计量日志)在日志审计服务中的配置是否正常。确保OSS(对象存储)日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值
执行频率 固定时间间隔1分钟
查询范围 过去2分钟
参数配置 存储时长(ttl)最小值:存储时长最小值,默认为180天。
外部配置
消除方法 在日志审计服务中的审计配置 > 云产品接入 > 全局配置中开启OSS相关日志(访问日志和计量日志)的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值
前提条件

应用防火墙(WAF)日志审计配置检测

告警ID sls_app_audit_cis_at_waf_audit_check
告警名称 应用防火墙(WAF)日志审计配置检测
版本号 1
类别 云平台、阿里云、CIS、日志审计合规
作用 检测应用防火墙(WAF)日志在日志审计服务中的配置是否正常。确保应用防火墙(WAF)日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值
执行频率 固定时间间隔1分钟
查询范围 过去2分钟
参数配置 存储时长(ttl)最小值:存储时长最小值,默认为180天。
外部配置
消除方法 在日志审计服务中的审计配置 > 云产品接入 > 全局配置中开启应用防火墙(WAF)日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值
前提条件

堡垒机日志审计配置检测

告警ID sls_app_audit_cis_at_bastion_audit_check
告警名称 堡垒机日志审计配置检测
版本号 1
类别 云平台、阿里云、CIS、日志审计合规
作用 检测堡垒机日志在日志审计服务中的配置是否正常。确保堡垒机日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值
执行频率 固定时间间隔1分钟
查询范围 过去2分钟
参数配置 存储时长(ttl)最小值:存储时长最小值,默认为180天。
外部配置
消除方法 在日志审计服务中的审计配置 > 云产品接入 > 全局配置中开启堡垒机日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值
前提条件

NAS(文件存储)日志审计配置检测

告警ID sls_app_audit_cis_at_nas_audit_check
告警名称 NAS(文件存储)日志审计配置检测
版本号 1
类别 云平台、阿里云、CIS、日志审计合规
作用 检测NAS(文件存储)日志在日志审计服务中的配置是否正常。确保NAS(文件存储)日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值
执行频率 固定时间间隔1分钟
查询范围 过去2分钟
参数配置 存储时长(ttl)最小值:存储时长最小值,默认为180天。
外部配置
消除方法 在日志审计服务中的审计配置 > 云产品接入 > 全局配置中开启NAS(文件存储)日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值
前提条件

API网关日志审计配置检测

告警ID sls_app_audit_cis_at_apigateway_audit_check
告警名称 API网关日志审计配置检测
版本号 1
类别 云平台、阿里云、CIS、日志审计合规
作用 检测API网关日志在日志审计服务中的配置是否正常。确保API网关日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值
执行频率 固定时间间隔1分钟
查询范围 过去2分钟
参数配置 存储时长(ttl)最小值:存储时长最小值,默认为180天。
外部配置
消除方法 在日志审计服务中的审计配置 > 云产品接入 > 全局配置中开启API网关日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值
前提条件

SLB日志审计配置检测

告警ID sls_app_audit_cis_at_slb_audit_check
告警名称 SLB日志审计配置检测
版本号 1
类别 云平台、阿里云、CIS、日志审计合规
作用 检测SLB日志在日志审计服务中的配置是否正常。确保SLB日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值
执行频率 固定时间间隔1分钟
查询范围 过去2分钟
参数配置 存储时长(ttl)最小值:存储时长最小值,默认为180天。
外部配置
消除方法 在日志审计服务中的审计配置 > 云产品接入 > 全局配置中开启SLB日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值
前提条件

云防火墙日志审计配置检测

告警ID sls_app_audit_cis_at_cloudfirewall_audit_check
告警名称 云防火墙日志审计配置检测
版本号 1
类别 云平台、阿里云、CIS、日志审计合规
作用 检测云防火墙日志在日志审计服务中的配置是否正常。确保云防火墙日志的审计开关已开启,且其存储时长大于等于规则参数中存储时长(ttl)最小值
执行频率 固定时间间隔1分钟
查询范围 过去2分钟
参数配置 存储时长(ttl)最小值:存储时长最小值,默认为180天。
外部配置
消除方法 在日志审计服务中的审计配置 > 云产品接入 > 全局配置中开启云防火墙日志的审计开关,并确保存储时长大于规则参数配置中设定的存储时长(ttl)最小值
前提条件