操作审计的事件告警功能可以帮您实时监测与快速响应云上资源的异常。当设定的告警规则识别到潜在的安全威胁或不符合规范的操作事件时,将通过多种通知方式向用户和用户组发送告警通知,便于用户和用户组成员快速处理,维护云资源的安全与完整性。本文为您介绍如何启用并设置事件告警。
步骤一:创建跟踪
请创建满足以下条件的跟踪:
跟踪的地域为全部地域。
跟踪的事件类型为所有事件。
跟踪将事件投递到日志服务SLS。
在创建跟踪的同时可设置将历史的90天事件补投到该跟踪,扩大事件搜索范围。具体操作,请参见创建数据回补投递任务。
步骤二:开启跟踪的高级查询
您需要先开启跟踪的高级查询,才能启用事件告警,检测指定跟踪中的操作事件。
登录操作审计控制台。
在左侧导航栏,单击跟踪。
在跟踪页面,打开目标跟踪名称对应高级查询列的开关。
说明每个阿里云账号或RAM用户下只能启用一条跟踪的高级查询功能。
如果您已为某个跟踪设置告警,当为其关闭高级查询时,告警配置仍会生效。若您需要修改或关闭告警配置,请重新开启高级查询。
步骤三:创建用户和用户组
用户和用户组用于指定告警通知对象。例如:创建用户(Alice和Kumer)、用户组(操作审计运维组),并将Alice和Kumer加入到操作审计运维组中。
登录操作审计控制台。
在左侧导航栏,单击事件告警。
创建用户。
在告警中心页面,选择。
在用户管理区域,单击创建。
在添加用户对话框,配置以下参数,然后单击确认。
用户信息代码示例:
#标识符, 姓名, 手机号, 可收短信, 可接电话, 邮箱, 启用 test01,Kumer,true,86-1381111*****,true,true,a***@example.net test02,Alice,true,86-1381111*****,true,true,a***@example.net参数说明:
参数
描述
示例
标识符
用户唯一标识,不可重复。
长度为5~60个字符,以英文字母开头,可包含英文字母、数字、下划线(_)、短划线(-)和半角句号(.)。
test01、test02
姓名
用户姓名。
长度为1~20个字符,不能包含特殊字符:
"\$|~?&<>{}`'。Kumer、Alice
手机号
用户手机号码,其中国家号为数字形式,长度为1~4个字符。
86-1381111*****、86-1381112*****
可收短信
是否允许操作审计给该手机号码发送短信通知。取值:
true:允许。
false:不允许。
true
可接电话
是否允许操作审计给该手机号码发送语音通知。
true:允许。
false:不允许。
true
邮箱
用户邮箱。
a***@example.net
启用
是否允许操作审计向该用户发送告警通知。取值:
true:允许。
false:不允许。
true
创建用户组。
在通知对象页签,单击用户组管理。
在用户组管理页签,单击创建。
在添加用户组对话框,配置以下参数,然后单击确认。
重要参数说明和配置示例如下所示:
参数
描述
示例
标识符
用户组唯一标识,不可重复。
长度为5~60个字符,以英文字母开头,可包含英文字母、数字、下划线(_)、短划线(-)和半角句号(.)。
group-01
组名
用户组名称。
长度不超过20个字符,不能包含特殊字符:
\$|~?&<>{}`'"。操作审计运维组
待添加成员
您已创建的用户。
Kumer、Alice
已添加成员
已添加到用户组的用户。
Kumer、Alice
启用
是否允许操作审计向该用户组发送告警通知。取值:
启用:允许。
不启用:不允许。
启用
步骤四(可选):创建内容模板
操作审计默认使用SLS ActionTrail内置内容模板为用户/用户组发送告警通知。您也可以根据需要创建自定义的内容模板。
登录操作审计控制台。
在左侧导航栏,单击事件告警。
在告警中心页面,选择。
单击创建。
在添加内容模板对话框,设置标识符和名称。
设置各个渠道的告警通知内容。
告警渠道
配置项
短信
短信渠道的内容模板说明如下:
非定制内容语言:告警通知内容的语言,支持中文和英文。
发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)。
语音
语音渠道的内容模板说明如下:
非定制内容语言:告警通知内容的语言,支持中文(推荐)和英文。
发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)。
邮件
邮件渠道的内容模板说明如下:
非定制内容语言:告警通知内容的语言,支持中文和英文。
主题:告警消息的主题。您还可以使用模板变量定义主题。
发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)。
钉钉
钉钉渠道的内容模板说明如下:
非定制内容语言:告警通知内容的语言,支持中文和英文。
禁用查看详情操作:禁用默认的免登录链接查看告警详情或者操作告警监控规则。更多信息,请参见免登录查看告警详情。
标题:告警消息的标题。您还可以使用模板变量定义标题。
发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)。
WebHook-自定义
WebHook渠道的内容模板说明如下:
发送方式:支持逐条发送和合并发送。
例如发送内容配置为
{ "project": "{{project}}", "alert_name": "{{alert_name}}"},当触发两个告警时:逐条发送:发送两次告警通知,其内容分别为
{ "project": "project-1", "alert_name": "alert-1"}和{ "project": "project-2", "alert_name": "alert-2"}。合并发送:发送一次告警通知,其内容为
[{ "project": "project-1", "alert_name": "alert-1"}, { "project": "project-2", "alert_name": "alert-2"}]。选择合并发送时,如果限制了单个分组最多发送的条数,则只发送合并集合中的前N条告警。
选择合并发送时,如果您配置的内容可解析为JSON格式,则最终发送的内容为JSON格式。否则为字符串数组格式。
单个分组中最多发送条数:设置发送的最大条数限制,支持无限制和自定义。
发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)。
说明发送告警通知时默认添加请求头信息Content-Type: application/json;charset=utf-8。如果Webhook接收端需要其它格式的请求头,您可以在配置通知渠道时,自定义请求头信息。更多信息,请参见Webhook-自定义。
通知中心
通知中心渠道内容模板说明如下:
非定制内容语言:告警通知内容的语言,支持中文和英文。
发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)。
企业微信
企业微信渠道的内容模板说明如下:
非定制内容语言:告警通知内容的语言,支持中文和英文。
标题:告警消息的标题。您还可以使用模板变量定义标题。
发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)。
飞书
飞书渠道的内容模板说明如下:
非定制内容语言:告警通知内容的语言,支持中文和英文。
禁用查看详情操作:禁用默认的免登录链接查看告警详情或者操作告警监控规则。更多信息,请参见免登录查看告警详情。
标题:告警消息的标题。您还可以使用模板变量定义标题。
发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)。
Slack
Slack渠道的内容模板说明如下:
非定制内容语言:告警通知内容的语言,支持中文和英文。
标题:告警消息的标题。您还可以使用模板变量定义标题。
发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)。
EventBridge
事件总线(EventBridge)渠道的内容模板说明如下:
主题:告警消息的主题。您还可以使用模板变量定义主题。
发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)。
函数计算
函数计算(FC)渠道的内容模板说明如下:
发送方式:支持逐条发送和合并发送。
例如发送内容配置为
{ "project": "{{project}}", "alert_name": "{{alert_name}}"},当触发两个告警时:逐条发送:发送两次告警通知,其内容分别为
{ "project": "project-1", "alert_name": "alert-1"}和{ "project": "project-2", "alert_name": "alert-2"}。合并发送:发送一次告警通知,其内容为
[{ "project": "project-1", "alert_name": "alert-1"}, { "project": "project-2", "alert_name": "alert-2"}]。选择合并发送时,如果限制了单个分组最多发送的条数,则只发送合并集合中的前N条告警。
选择合并发送时,如果您配置的内容可解析为JSON格式,则最终发送的内容为JSON格式。否则为字符串数组格式。
单个分组中最多发送条数:设置发送的最大条数限制,支持无限制和自定义。
发送内容:告警通知内容。您还可以使用模板变量定义内容。更多信息,请参见内容模板变量说明(新版)。
单击确认。
步骤五(可选):创建行动策略
行动策略用于控制告警通知的渠道和频率。操作审计内置告警规则默认使用SLS ActionTrail内置行动策略为您发送告警通知,您也可以创建行动策略,设置告警触发条件、通知渠道和接收人等信息。
登录操作审计控制台。
在左侧导航栏,单击事件告警。
在告警中心页面,选择。
单击创建。
在添加行动策略对话框,输入标识符和名称。
在第一行动列表页签,创建行动策略。
单击
图标。配置触发告警通知的条件,然后单击确认。
参数
描述
示例
条件
取值:
所有:每个告警集合中所有的告警都满足所有条件时才会执行相应的行动组。
任意:每个告警集合中任意一条告警满足所有条件时就会执行相应的行动组。
任意
条件表达式
针对符合条件的告警进行渠道分派。系统根据您配置的条件(对象、操作符、对象值),执行相应的行动组。
对象:阿里云账号
操作符:等于
对象值:154035569884****
模式
您可以通过标准模式或高级模式添加多个条件。取值:
标准模式:多个条件之间为and关系。
高级模式:多个条件之间可以为and或or关系,支持您使用圆括号将多个条件归为一组,且支持条件嵌套。
标准模式
配置行动组。
根据控制台界面,配置通知渠道及相关参数。通知渠道包括短信、语音、邮件、钉钉、WebHook和消息中心。更多信息,请参见通知渠道说明。
单击条件、行动组对话框对应的
图标,结束第一行动列表配置。说明如果您需要继续添加条件和行动组,请单击
图标。(可选)若您已添加结束节点后,还需继续添加条件节点或行动组节点,可按照以下操作步骤进行添加。
删除节点
将鼠标悬浮在目标节点上,单击右键,然后单击删除节点。
添加节点
单击
图标,添加条件节点。单击
图标,添加行动组节点。单击
图标,添加结束节点。
单击确认。
步骤六:开启告警规则
操作审计支持通过告警模板创建告警规则和自定义告警规则,请根据实际需要创建对应的告警规则。例如:您希望在专有网络路由配置发生变更后触发告警,可以通过VPC网络路由变更告警模板快速创建告警规则。
自定义告警规则在创建后,会自动开启,无需进行下面的操作步骤。关于如何创建自定义告警规则,请参见创建自定义告警规则。
登录操作审计控制台。
在左侧导航栏,单击事件告警。
在告警中心页面,单击告警规则页签。
单击新建告警按钮右侧的下拉箭头。
选择从模板新建。
单击目标告警模板。
点击确定,完成告警规则创建。
状态列显示运行中,表示成功开启告警规则,单击告警规则名称可以查询告警历史,单击操作列的编辑可以查看告警规则配置。
相关文档
您还可以通过日志服务设置告警监控规则,具体操作,请参见快速设置日志告警。
关于内置告警规则的更多详细内容,请参见内置告警监控规则。
关于告警监控规则会遇到的问题,请参见告警监控规则常见问题。
关于告警通知渠道的相关问题,请参见通知渠道常见问题。
关于告警通知内容的相关问题,请参见通知内容常见问题。
当您未收到告警通知时,可以在告警历史区域排查原因。具体操作,请参见未收到告警通知的排查思路。
当您设置自定义Webhook为通知渠道时,可能会遇到一些问题。具体操作,请参见使用自定义Webhook的常见问题。