查看和处理数据资产的审计告警事件-数据安全中心(DSC)-阿里云帮助中心

审计告警页面按照已配置的审计模式和审计规则，展示对应数据资产的审计告警，您可以根据告警详情，定位追踪数据库异常操作、漏洞攻击、数据泄露等风险。本文介绍如何查看数据资产的审计告警，帮助您更好地从审计视角了解资产的风险状态并进行处理。

前提条件

依据过去24小时的累计告警数据，计算得出的审计风险分，以及扣分规则和实际扣分列表。如果这24小时内未检测到新的告警信息，您的审计风险分将会提升。

实际扣分表格按一级分类分为高危（单项扣分3）、中危（单项扣分2）、低危（单项扣分1），阈值次数均为10次。页面下方为告警列表，展示告警聚合时间、数据类型、规则名、风险级别、告警数量、告警资产数量、账号数量、客户端IP数量及规则描述，支持按数据类型、风险级别、规则分类筛选，并可对单条告警执行详情查看或加入白名单操作。
数据资产的实时告警信息，您可以单击操作列的详情，查看告警的处置建议、资产列表和访问源列表。

告警规则详情页顶部基本信息区域显示规则名称、风险级别、规则分类、资产类型及启用状态。详细信息区域列出处置建议（如部署WAF、使用参数化查询、限制数据库权限、输入验证等）。告警资产列表包含资产名称/ID、数据库类型、告警数量、告警趋势列，操作列可单击加入白名单。访问源表格包含客户端IP、数据库账号、告警数量列。

在告警列表上方，选择当前数据类型，例如RDS。默认查看对应资产最近1天的审计告警信息。

支持的数据类型包括 RDS、PolarDB、PolarDB-X、Redis、MongoDB、OceanBase 和自建数据库等，下拉菜单中同时显示各类型对应的实例数。
您可以根据时间范围、实例名称、风险级别、操作类型、规则分类、规则名、账号、客户端IP、SQL命令等，筛选指定条件的告警信息。

时间范围支持最近1小时、最近12小时、最近1天、最近7天、最近30天、最近90天。筛选条件还包括IP类型。告警列表展示敏感特征、告警时间、规则类型、规则名、风险级别（高危、中危、低危）、账号、客户端IP、操作类型、状态等字段。每条记录可单击详情查看或加入白名单，支持导出告警数据。
单击操作列的详情，可查看该告警的告警时间、客户端信息、服务端信息、行文信息、执行结果等，以便定位告警风险。

您可以单击一键截图，告警详情截图将被保存在您浏览器的默认下载路径中。

告警详情弹窗的审计告警区域还包含风险级别和规则名字段。您也可以单击右上角的加入白名单将该告警加入白名单。

您可参考以下操作，将告警事件加入白名单。加入白名单的账号、IP地址等会展示在系统白名单列表中。DSC后续检测时，如果命中白名单规则，则不再对数据库或OSS操作行为或事件进行告警提示。更多内容，请参见管理白名单。

在告警概览或告警日志页签的告警列表中，单击目标告警事件操作列的详情。
在告警事件详情页面的告警资产列表或访问源的客户端IP列表，找到需要加入白名单的资产或IP，单击操作列的加入白名单。
在加入白名单对话框中，展示对应资产实例或IP及其数据库账号信息，您可以添加更多需要加入白名单的信息，然后单击确定。

对话框顶部提示加入白名单后将不再产生告警，日志仍可在日志分析中查看。表单字段包括白名单名称（必填）、规则名称、SQL模版（可选择数据库类型并创建模版）、实例、数据库（若无填写则默认选择所有数据库）、表名称（若无填写则默认选择所有表）、账号和IP。