使用操作审计监控创建RAM用户

前提条件

请确保您已开通日志服务。当您首次使用日志服务时，需要登录日志服务控制台，根据页面提示开通日志服务。更多信息，请参见什么是日志服务。

背景信息

现代企业数字化转型过程中，随着云上账号使用的普及，企业开始对云上账号管理以及账号安全逐渐重视。私自创建账号会造成敏感信息泄露，同时可能被用于非法活动，如网络攻击、欺诈、恶意竞争等，给企业或个人带来严重损失。本文为您介绍基于操作审计的跟踪和告警功能，对创建RAM用户操作进行监控，并且通过短信通知的方式进行告警。

步骤一：创建跟踪

若当前账号下未创建跟踪或者不在符合以下条件的跟踪请先创建符合条件的跟踪：

• 跟踪地域为所有地域。

• 跟踪事件类型包含管控事件。

• 跟踪事件读写类型为所有事件。

• 将跟踪事件投递到日志服务SLS。

具体操作，请参见创建单账号跟踪或创建多账号跟踪。

步骤二：启用事件告警

若您的账号未启用事件告警功能，可以按照以下操作步骤开启事件告警：

1. 登录操作审计控制台。

2. 在左侧导航栏，单击事件告警。

3. 在事件告警配置页面，跟踪名称选择步骤一所创建的跟踪。

4. 单击立即开启事件告警。

步骤三：配置自定义告警

创建告警规则

1. 登录操作审计控制台。

2. 在左侧导航栏，单击事件告警。

3. 选择告警规则页签，单击新建告警，按照界面提示完成规则配置。

   请注意以下参数（其他参数按需设置）。

   配置项	要求
   查询统计	在查询统计中将日志库设置与步骤一所创建跟踪投递的目标SLS日志库（格式为actiontrail_跟踪名称）保持一致。 查询语句设置为： (event.serviceName:Ram or event.serviceName:Ims) and event.eventName:CreateUser | SELECT "event.userIdentity.principalId" as operator, "event.resourceName" as user, date_format(__time__, '%Y-%m-%d %H:%i:%s') as time 说明 上述语句通过字段event.serviceName指定查询的云服务，event.eventName指定查询的操作事件，查询是否有符合创建RAM用户的操作事件。通过SELECT获取操作事件中的操作人、创建的账号、操作时间等信息用于告警通知。 操作审计支持的云服务及操作事件，请参见支持的云服务。 操作审计事件结构定义，请参见管控事件结构定义。 SLS查询语法，请参见查询语法。
   触发条件	触发条件设置为当有数据时。 告警严重度，可以根据实际业务场景设置告警严重程度。

4. 单击确定。

创建告警内容模板

1. 在左侧导航栏，单击事件告警。

2. 在告警中心页面，选择通知策略 > 内容模板。

3. 在内容模板管理页面，单击创建，按照界面提示完成内容模板配置。

   将内容模板类型切换为短信，并将发送内容设置为以下信息。

   阿里云用户：{{ alert.aliuid }}
   告警规则名称：{{ alert.alert_name }}
   告警等级：{{ alert.severity | format_severity }}
   {% for result in alert.fire_results %}
   操作人：{{ result.operator }}于{{ result.time }}创建RAM用户：{{ result.user }}
   {% endfor %}

   说明

   内容模板中{{ 参数名 }}表示引用模板变量，通过{% for result in alert.fire_results %}遍历所有查询结果并通过{{ result.参数名 }}获取操作事件内的指定参数。更多内容模板参数和语法说明，请参见内容模板语法（新版）。

4. 单击确认。

创建告警通知用户

1. 在左侧导航栏，单击事件告警。

2. 在告警中心页面，选择通知对象 > 用户管理。

3. 在用户管理页面中，单击创建，在添加用户面板完成信息填写。

   • 手机号：用于接收告警信息的手机号，需开启才能接收告警。

   • 启用：保持开启，若关闭则无法正常接收告警。

4. 单击确认。

创建行动策略

1. 在左侧导航栏，单击事件告警。

2. 在告警中心页面，选择通知策略 > 行动策略。

3. 在行动策略页面，单击创建，在添加行动策略设置面板中完成信息填写。

   在第一行动列表中完成条件和行动组配置。

   配置项	要求
   条件设置	单击图标，在条件设置对话框中将规则选择为步骤创建告警规则中所创建的监控规则。
   行动组	渠道设置为短信。 接收人设置为步骤创建告警通知用户中所创建的用户。

4. 单击确认。

开启告警并关联行动策略

1. 在左侧导航栏，单击事件告警。

2. 在告警中心页面，单击告警规则页签。

3. 在监控规则列表中选中步骤创建告警规则中创建的规则，单击操作列中编辑，在告警监控规则设置面板中开启告警并关联行动策略。

   配置项	要求
   输出目标	切换至SLS通知。
   开启	表示监控规则状态，需要切换至开启状态。
   告警策略	策略类型：选择普通模式。 行动策略：选择步骤创建行动策略中创建的策略。

4. 单击确认。

步骤四：验证告警规则

1. 登录RAM控制台，创建RAM用户。

2. 查询接收短信，以下为通知内容示例。

   【阿里云】日志服务告警：共有1条告警。告警详情为：
   阿里云用户：159498693826****
   告警规则名称：RAM用户创建监控告警
   告警等级：中级
   操作人：27723316148169****于2023-07-14 17:08:15创建RAM用户：test-create-a***@actiontrail-test.onaliyun.com
   操作人：27723316148169****于2023-07-14 17:31:00创建RAM用户：test-create-u***@actiontrail-test.onaliyun.com

常见问题

RAM用户在操作审计控制台创建跟踪提示无权限。

当您使用RAM用户进行配置时，需要授予RAM用户访问和管理操作审计的权限。具体操作，请参见为RAM用户授权。