文档

查看和处理审计告警

更新时间:

审计告警页面按照审计日志分析模式展示对应数据资产的风险告警,您可根据告警信息和日志分析,定位追踪数据库异常操作、漏洞攻击、数据泄露等风险。本文介绍如何查看数据资产的操作日志,帮助您更好地从审计视角了解资产的风险状态并进行处理。

前提条件

  • 已为需要且支持查看审计日志的数据资产开启日志审计功能。具体内容,请参见配置并开启审计模式

  • 如果审计告警规则未开启或需要添加自定义审计规则,您需要配置并开启审计告警规则。具体内容,请参见配置并开启审计告警规则

告警模式说明

  • 分析模式:从时间维度查看对应产品的审计告警,包括告警时间、内容(资产名称、账号、客户端IP、规则名、风险等级等)和处理状态。

    仅RDS、PolarDB、PolarDB-X、OceanBase、自建数据库、ADB-MYSQL和ADB-PG数据库支持该功能。

  • 列表模式:从实例维度查看对应产品的审计告警,包括资产实例名称、账号、客户端IP、操作类型、规则名、风险级别、告警时间和处理状态等。

    • TableStore、Redis、MongoDB仅支持从实例维度查看审计告警,控制台没有列表模式页签,默认展示实例维度的告警列表。

    • MaxCompute仅支持从项目维度查看审计告警,控制台没有列表模式页签,默认展示项目维度的告警列表。

    • OSS仅支持从Bucket维度查看审计日志,控制台没有列表模式页签,默认展示Bucket维度的告警列表。

告警处理说明

  • 如果您确认相关告警事件确实对数据安全造成威胁,您需要根据告警日志,定位该告警事件发生的位置,并在对应数据资产中进行手动处理

  • 如果您确认告警事件属于正常操作、无需进行处理,可将该告警事件加入白名单,DSC后续将不再对该数据资产的对应告警事件进行告警提示。

查看审计告警

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择安全态势 > 审计告警

  3. 审计告警页面左侧产品名称导航栏,单击目标产品名称。

  4. 在右侧告警列表中,选择时间范围,查看指定时间段内的审计告警,包括告警内容、。

    image

  5. 如果需查看指定资产的审计告警,您可根据页面提供的条件参数进行筛选,如下图所示。

    支持的搜索条件包含实例名称、风险级别、操作类型、规则分类、规则名、账号、客户端IP、SQL命令等。审计告警规则分类和规则名称的详细内容,请参见审计告警规则说明

    image

  6. 单击操作列的详情,可查看该告警的告警时间以及对应日志分析,定位告警风险。

    image

加入白名单

您可参考以下操作,将告警事件加入白名单。加入白名单的账号、IP地址等会展示在系统白名单列表中。DSC后续检测时,如果命中白名单规则,则不再对数据库或OSS操作行为或事件进行告警提示。更多内容,请参见管理白名单

  1. 在右侧告警列表中,单击目标告警事件操作列的加入白名单

  2. 加入白名单对话框中,展示对应数据资产加入白名单的实例、账号、IP和操作类型等,您可以修改相关信息,然后单击确定

    image

相关文档