操作審計的事件告警功能可以幫您實時監測與快速響應云上資源的異常。當設定的告警規則識別到潛在的安全威脅或不符合規范的操作事件時,將通過多種通知方式向用戶和用戶組發送告警通知,便于用戶和用戶組成員快速處理,維護云資源的安全與完整性。本文為您介紹如何啟用并設置事件告警。
步驟一:創建跟蹤
請創建滿足以下條件的跟蹤:
跟蹤的地域為全部地域。
跟蹤的事件類型為所有事件。
跟蹤將事件投遞到日志服務SLS。
在創建跟蹤的同時可設置將歷史的90天事件補投到該跟蹤,擴大事件搜索范圍。具體操作,請參見創建數據回補投遞任務。
步驟二:開啟跟蹤的高級查詢
您需要先開啟跟蹤的高級查詢,才能啟用事件告警,檢測指定跟蹤中的操作事件。
登錄操作審計控制臺。
在左側導航欄,單擊跟蹤。
在跟蹤頁面,打開目標跟蹤名稱對應高級查詢列的開關。
說明每個阿里云賬號或RAM用戶下只能啟用一條跟蹤的高級查詢功能。
如果您已為某個跟蹤設置告警,當為其關閉高級查詢時,告警配置仍會生效。若您需要修改或關閉告警配置,請重新開啟高級查詢。
步驟三:創建用戶和用戶組
用戶和用戶組用于指定告警通知對象。例如:創建用戶(Alice和Kumer)、用戶組(操作審計運維組),并將Alice和Kumer加入到操作審計運維組中。
登錄操作審計控制臺。
在左側導航欄,單擊事件告警。
創建用戶。
在告警中心頁面,選擇。
在用戶管理區域,單擊創建。
在添加用戶對話框,配置以下參數,然后單擊確認。
用戶信息代碼示例:
#標識符, 姓名, 手機號, 可收短信, 可接電話, 郵箱, 啟用 test01,Kumer,true,86-1381111*****,true,true,a***@example.net test02,Alice,true,86-1381111*****,true,true,a***@example.net參數說明:
參數
描述
示例
標識符
用戶唯一標識,不可重復。
長度為5~60個字符,以英文字母開頭,可包含英文字母、數字、下劃線(_)、短劃線(-)和半角句號(.)。
test01、test02
姓名
用戶姓名。
長度為1~20個字符,不能包含特殊字符:
"\$|~?&<>{}`'。Kumer、Alice
手機號
用戶手機號碼,其中國家號為數字形式,長度為1~4個字符。
86-1381111*****、86-1381112*****
可收短信
是否允許操作審計給該手機號碼發送短信通知。取值:
true:允許。
false:不允許。
true
可接電話
是否允許操作審計給該手機號碼發送語音通知。
true:允許。
false:不允許。
true
郵箱
用戶郵箱。
a***@example.net
啟用
是否允許操作審計向該用戶發送告警通知。取值:
true:允許。
false:不允許。
true
創建用戶組。
在通知對象頁簽,單擊用戶組管理。
在用戶組管理頁簽,單擊創建。
在添加用戶組對話框,配置以下參數,然后單擊確認。
重要參數說明和配置示例如下所示:
參數
描述
示例
標識符
用戶組唯一標識,不可重復。
長度為5~60個字符,以英文字母開頭,可包含英文字母、數字、下劃線(_)、短劃線(-)和半角句號(.)。
group-01
組名
用戶組名稱。
長度不超過20個字符,不能包含特殊字符:
\$|~?&<>{}`'"。操作審計運維組
待添加成員
您已創建的用戶。
Kumer、Alice
已添加成員
已添加到用戶組的用戶。
Kumer、Alice
啟用
是否允許操作審計向該用戶組發送告警通知。取值:
啟用:允許。
不啟用:不允許。
啟用
步驟四(可選):創建內容模板
操作審計默認使用SLS ActionTrail內置內容模板為用戶/用戶組發送告警通知。您也可以根據需要創建自定義的內容模板。
登錄操作審計控制臺。
在左側導航欄,單擊事件告警。
在告警中心頁面,選擇。
單擊創建。
在添加內容模板對話框,設置標識符和名稱。
設置各個渠道的告警通知內容。
告警渠道
配置項
短信
短信渠道的內容模板說明如下:
非定制內容語言:告警通知內容的語言,支持中文和英文。
發送內容:告警通知內容。您還可以使用模板變量定義內容。更多信息,請參見內容模板變量說明(新版)。
語音
語音渠道的內容模板說明如下:
非定制內容語言:告警通知內容的語言,支持中文(推薦)和英文。
發送內容:告警通知內容。您還可以使用模板變量定義內容。更多信息,請參見內容模板變量說明(新版)。
郵件
郵件渠道的內容模板說明如下:
非定制內容語言:告警通知內容的語言,支持中文和英文。
主題:告警消息的主題。您還可以使用模板變量定義主題。
發送內容:告警通知內容。您還可以使用模板變量定義內容。更多信息,請參見內容模板變量說明(新版)。
釘釘
釘釘渠道的內容模板說明如下:
非定制內容語言:告警通知內容的語言,支持中文和英文。
禁用查看詳情操作:禁用默認的免登錄鏈接查看告警詳情或者操作告警監控規則。更多信息,請參見免登錄查看告警詳情。
標題:告警消息的標題。您還可以使用模板變量定義標題。
發送內容:告警通知內容。您還可以使用模板變量定義內容。更多信息,請參見內容模板變量說明(新版)。
WebHook-自定義
WebHook渠道的內容模板說明如下:
發送方式:支持逐條發送和合并發送。
例如發送內容配置為
{ "project": "{{project}}", "alert_name": "{{alert_name}}"},當觸發兩個告警時:逐條發送:發送兩次告警通知,其內容分別為
{ "project": "project-1", "alert_name": "alert-1"}和{ "project": "project-2", "alert_name": "alert-2"}。合并發送:發送一次告警通知,其內容為
[{ "project": "project-1", "alert_name": "alert-1"}, { "project": "project-2", "alert_name": "alert-2"}]。選擇合并發送時,如果限制了單個分組最多發送的條數,則只發送合并集合中的前N條告警。
選擇合并發送時,如果您配置的內容可解析為JSON格式,則最終發送的內容為JSON格式。否則為字符串數組格式。
單個分組中最多發送條數:設置發送的最大條數限制,支持無限制和自定義。
發送內容:告警通知內容。您還可以使用模板變量定義內容。更多信息,請參見內容模板變量說明(新版)。
說明發送告警通知時默認添加請求頭信息Content-Type: application/json;charset=utf-8。如果Webhook接收端需要其它格式的請求頭,您可以在配置通知渠道時,自定義請求頭信息。更多信息,請參見Webhook-自定義。
通知中心
通知中心渠道內容模板說明如下:
非定制內容語言:告警通知內容的語言,支持中文和英文。
發送內容:告警通知內容。您還可以使用模板變量定義內容。更多信息,請參見內容模板變量說明(新版)。
企業微信
企業微信渠道的內容模板說明如下:
非定制內容語言:告警通知內容的語言,支持中文和英文。
標題:告警消息的標題。您還可以使用模板變量定義標題。
發送內容:告警通知內容。您還可以使用模板變量定義內容。更多信息,請參見內容模板變量說明(新版)。
飛書
飛書渠道的內容模板說明如下:
非定制內容語言:告警通知內容的語言,支持中文和英文。
禁用查看詳情操作:禁用默認的免登錄鏈接查看告警詳情或者操作告警監控規則。更多信息,請參見免登錄查看告警詳情。
標題:告警消息的標題。您還可以使用模板變量定義標題。
發送內容:告警通知內容。您還可以使用模板變量定義內容。更多信息,請參見內容模板變量說明(新版)。
Slack
Slack渠道的內容模板說明如下:
非定制內容語言:告警通知內容的語言,支持中文和英文。
標題:告警消息的標題。您還可以使用模板變量定義標題。
發送內容:告警通知內容。您還可以使用模板變量定義內容。更多信息,請參見內容模板變量說明(新版)。
EventBridge
事件總線(EventBridge)渠道的內容模板說明如下:
主題:告警消息的主題。您還可以使用模板變量定義主題。
發送內容:告警通知內容。您還可以使用模板變量定義內容。更多信息,請參見內容模板變量說明(新版)。
函數計算
函數計算(FC)渠道的內容模板說明如下:
發送方式:支持逐條發送和合并發送。
例如發送內容配置為
{ "project": "{{project}}", "alert_name": "{{alert_name}}"},當觸發兩個告警時:逐條發送:發送兩次告警通知,其內容分別為
{ "project": "project-1", "alert_name": "alert-1"}和{ "project": "project-2", "alert_name": "alert-2"}。合并發送:發送一次告警通知,其內容為
[{ "project": "project-1", "alert_name": "alert-1"}, { "project": "project-2", "alert_name": "alert-2"}]。選擇合并發送時,如果限制了單個分組最多發送的條數,則只發送合并集合中的前N條告警。
選擇合并發送時,如果您配置的內容可解析為JSON格式,則最終發送的內容為JSON格式。否則為字符串數組格式。
單個分組中最多發送條數:設置發送的最大條數限制,支持無限制和自定義。
發送內容:告警通知內容。您還可以使用模板變量定義內容。更多信息,請參見內容模板變量說明(新版)。
單擊確認。
步驟五(可選):創建行動策略
行動策略用于控制告警通知的渠道和頻率。操作審計內置告警規則默認使用SLS ActionTrail內置行動策略為您發送告警通知,您也可以創建行動策略,設置告警觸發條件、通知渠道和接收人等信息。
登錄操作審計控制臺。
在左側導航欄,單擊事件告警。
在告警中心頁面,選擇。
單擊創建。
在添加行動策略對話框,輸入標識符和名稱。
在第一行動列表頁簽,創建行動策略。
單擊
圖標。配置觸發告警通知的條件,然后單擊確認。
參數
描述
示例
條件
取值:
所有:每個告警集合中所有的告警都滿足所有條件時才會執行相應的行動組。
任意:每個告警集合中任意一條告警滿足所有條件時就會執行相應的行動組。
任意
條件表達式
針對符合條件的告警進行渠道分派。系統根據您配置的條件(對象、操作符、對象值),執行相應的行動組。
對象:阿里云賬號
操作符:等于
對象值:154035569884****
模式
您可以通過標準模式或高級模式添加多個條件。取值:
標準模式:多個條件之間為and關系。
高級模式:多個條件之間可以為and或or關系,支持您使用圓括號將多個條件歸為一組,且支持條件嵌套。
標準模式
配置行動組。
根據控制臺界面,配置通知渠道及相關參數。通知渠道包括短信、語音、郵件、釘釘、WebHook和消息中心。更多信息,請參見通知渠道說明。
單擊條件、行動組對話框對應的
圖標,結束第一行動列表配置。說明如果您需要繼續添加條件和行動組,請單擊
圖標。(可選)若您已添加結束節點后,還需繼續添加條件節點或行動組節點,可按照以下操作步驟進行添加。
刪除節點
將鼠標懸浮在目標節點上,單擊右鍵,然后單擊刪除節點。
添加節點
單擊
圖標,添加條件節點。單擊
圖標,添加行動組節點。單擊
圖標,添加結束節點。
單擊確認。
步驟六:開啟告警規則
操作審計支持通過告警模板創建告警規則和自定義告警規則,請根據實際需要創建對應的告警規則。例如:您希望在專有網絡路由配置發生變更后觸發告警,可以通過VPC網絡路由變更告警模板快速創建告警規則。
自定義告警規則在創建后,會自動開啟,無需進行下面的操作步驟。關于如何創建自定義告警規則,請參見創建自定義告警規則。
登錄操作審計控制臺。
在左側導航欄,單擊事件告警。
在告警中心頁面,單擊告警規則頁簽。
單擊新建告警按鈕右側的下拉箭頭。
選擇從模板新建。
單擊目標告警模板。
點擊確定,完成告警規則創建。
狀態列顯示運行中,表示成功開啟告警規則,單擊告警規則名稱可以查詢告警歷史,單擊操作列的編輯可以查看告警規則配置。
相關文檔
您還可以通過日志服務設置告警監控規則,具體操作,請參見快速設置日志告警。
關于內置告警規則的更多詳細內容,請參見內置告警監控規則。
關于告警監控規則會遇到的問題,請參見告警監控規則常見問題。
關于告警通知渠道的相關問題,請參見通知渠道常見問題。
關于告警通知內容的相關問題,請參見通知內容常見問題。
當您未收到告警通知時,可以在告警歷史區域排查原因。具體操作,請參見未收到告警通知的排查思路。
當您設置自定義Webhook為通知渠道時,可能會遇到一些問題。具體操作,請參見使用自定義Webhook的常見問題。