事件告警概览

在操作审计中,事件告警是一种自动化安全监测机制,它根据用户设定的参数和规则,实时监测与识别云上的异常事件,并通过多种方式向相关人员发送告警通知,以便及时采取适当的响应措施。本文为您介绍事件告警的应用场景、功能特性和操作步骤。

应用场景

  • 安全性监控:监控可能危害系统安全的操作,如异常登录尝试、未授权访问等。

  • 合规性检查:确保操作遵守相关的合规性要求。

  • 配置管理:跟踪环境配置的变更,防止不当的配置导致安全隐患。

  • 故障排查:通过审计日志和告警来分析系统故障或性能问题的原因。

功能特性

  • 实时检测事件:当您设置告警规则后,操作审计将实时检测云上异常事件,快速发现风险。

  • 支持设置告警规则:操作审计内置关于账号安全、权限管理、资源管理等多条告警规则,也支持创建自定义告警规则。您可以一键开启告警规则,操作审计每15分钟执行一次检测,扫描指定跟踪中过去半小时内的事件。

  • 支持多种通知方式:支持短信、邮件和钉钉等多种通知方式。1小时内相同告警通知不会重复发送。例如:操作审计10:00向用户和用户组发送了一次告警通知,10:00~11:00之间产生的告警通知将不会再次发送。

  • 支持用户组管理:支持创建用户和用户组,灵活配置告警通知对象。

操作步骤

步骤

说明

步骤一:创建跟踪

操作审计事件告警功能支持检测指定跟踪中的事件,您需要先创建跟踪。

步骤二:选择跟踪投递日志库

操作审计控制台中,选择特定跟踪名称后,在告警中心的告警规则页签中指定对应的日志库(例如actiontrail_跟踪名称)实现事件的监控与管理。

步骤三:创建用户和用户组

创建用户(AliceKumer)、用户组(操作审计运维组),并将AliceKumer加入到操作审计运维组中。

步骤四(可选):创建内容模板

操作审计默认使用SLS ActionTrail内置内容模板为用户或用户组发送告警通知。您也可以根据需要创建自定义的内容模板。

步骤五(可选):创建行动策略

操作审计内置告警规则默认使用SLS ActionTrail内置行动策略为您发送告警通知,您也可以创建行动策略,设置告警触发条件、通知渠道和接收人等信息。

步骤六:开启告警规则

操作审计支持通过告警模板创建告警规则和自定义告警规则,请根据实际需要创建对应的告警规则。