审计告警页面按照审计日志分析模式展示对应数据资产的风险告警,您可根据告警信息和日志分析,定位追踪数据库异常操作、漏洞攻击、数据泄露等风险。本文介绍如何查看数据资产的操作日志,帮助您更好地从审计视角了解资产的风险状态并进行处理。
前提条件
已为需要且支持查看审计日志的数据资产开启日志审计功能。具体内容,请参见配置并开启审计模式。
如果审计告警规则未开启或需要添加自定义审计规则,您需要配置并开启审计告警规则。具体内容,请参见配置并开启审计告警规则。
告警模式说明
分析模式:从时间维度查看对应产品的审计告警,包括告警时间、内容(资产名称、账号、客户端IP、规则名、风险等级等)和处理状态。
仅RDS、PolarDB、PolarDB-X、OceanBase、自建数据库、ADB-MYSQL和ADB-PG数据库支持该功能。
列表模式:从实例维度查看对应产品的审计告警,包括资产实例名称、账号、客户端IP、操作类型、规则名、风险级别、告警时间和处理状态等。
TableStore、Redis、MongoDB仅支持从实例维度查看审计告警,控制台没有列表模式页签,默认展示实例维度的告警列表。
MaxCompute仅支持从项目维度查看审计告警,控制台没有列表模式页签,默认展示项目维度的告警列表。
OSS仅支持从Bucket维度查看审计日志,控制台没有列表模式页签,默认展示Bucket维度的告警列表。
告警处理说明
如果您确认相关告警事件确实对数据安全造成威胁,您需要根据告警日志,定位该告警事件发生的位置,并在对应数据资产中进行手动处理。
如果您确认告警事件属于正常操作、无需进行处理,可将该告警事件加入白名单,DSC后续将不再对该数据资产的对应告警事件进行告警提示。
查看审计告警
加入白名单
您可参考以下操作,将告警事件加入白名单。加入白名单的账号、IP地址等会展示在系统白名单列表中。DSC后续检测时,如果命中白名单规则,则不再对数据库或OSS操作行为或事件进行告警提示。更多内容,请参见管理白名单。
在右侧告警列表中,单击目标告警事件操作列的加入白名单。
在加入白名单对话框中,展示对应数据资产加入白名单的实例、账号、IP和操作类型等,您可以修改相关信息,然后单击确定。
相关文档
您可以在查看审计日志。
页面查看数据资产的更多审计日志,详细内容,请参见您可以在数据安全中心控制台系统设置页面告警通知页签下,新增告警通知,以便及时收到审计告警通知。具体操作,请参见配置邮箱、短信和电话告警通知。