查看和处理审计告警

前提条件

• 已为需要且支持查看审计日志的数据资产开启日志审计功能。具体内容，请参见配置并开启审计模式。

• 如果审计告警规则未开启或需要添加自定义审计规则，您需要配置并开启审计告警规则。具体内容，请参见配置并开启审计告警规则。

告警模式说明

• 分析模式：从时间维度查看对应产品的审计告警，包括告警时间、内容（资产名称、账号、客户端IP、规则名、风险等级等）和处理状态。

  仅RDS、PolarDB、PolarDB-X、OceanBase、自建数据库、ADB-MYSQL和ADB-PG数据库支持该功能。

• 列表模式：从实例维度查看对应产品的审计告警，包括资产实例名称、账号、客户端IP、操作类型、规则名、风险级别、告警时间和处理状态等。

  • TableStore、Redis、MongoDB仅支持从实例维度查看审计告警，控制台没有列表模式页签，默认展示实例维度的告警列表。

  • MaxCompute仅支持从项目维度查看审计告警，控制台没有列表模式页签，默认展示项目维度的告警列表。

  • OSS仅支持从Bucket维度查看审计日志，控制台没有列表模式页签，默认展示Bucket维度的告警列表。

告警处理说明

• 如果您确认相关告警事件确实对数据安全造成威胁，您需要根据告警日志，定位该告警事件发生的位置，并在对应数据资产中进行手动处理。

• 如果您确认告警事件属于正常操作、无需进行处理，可将该告警事件加入白名单，DSC后续将不再对该数据资产的对应告警事件进行告警提示。

查看审计告警

1. 登录数据安全中心控制台。

2. 在左侧导航栏，选择安全态势 > 审计告警。

3. 在审计告警页面左侧产品名称导航栏，单击目标产品名称。

4. 在右侧告警列表中，选择时间范围，查看指定时间段内的审计告警，包括告警内容、。

   

5. 如果需查看指定资产的审计告警，您可根据页面提供的条件参数进行筛选，如下图所示。

   支持的搜索条件包含实例名称、风险级别、操作类型、规则分类、规则名、账号、客户端IP、SQL命令等。审计告警规则分类和规则名称的详细内容，请参见审计告警规则说明。

   

6. 单击操作列的详情，可查看该告警的告警时间以及对应日志分析，定位告警风险。

   

加入白名单

您可参考以下操作，将告警事件加入白名单。加入白名单的账号、IP地址等会展示在系统白名单列表中。DSC后续检测时，如果命中白名单规则，则不再对数据库或OSS操作行为或事件进行告警提示。更多内容，请参见管理白名单。

1. 在右侧告警列表中，单击目标告警事件操作列的加入白名单。

2. 在加入白名单对话框中，展示对应数据资产加入白名单的实例、账号、IP和操作类型等，您可以修改相关信息，然后单击确定。

   

相关文档

• 您可以在数据审计 > 日志分析页面查看数据资产的更多审计日志，详细内容，请参见查看审计日志。

• 您可以在数据安全中心控制台系统设置页面告警通知页签下，新增告警通知，以便及时收到审计告警通知。具体操作，请参见配置邮箱告警通知。