日志审计服务已内置告警规则,您开启对应的告警实例即可实时监控日志审计服务。本文介绍设置告警的相关操作。

前提条件

已在全局配置页面中开启目标云产品的审计功能。具体操作,请参见配置日志采集

背景信息

日志审计服务中已内置告警规则、SLS审计内置告警策略、SLS审计内置行动策略、SLS审计内置用户组和SLS审计内置内容模板。它们之间的关联如下:
  • 通过告警规则指定SLS审计内置告警策略。
    说明 日志审计服务中的告警规则已绑定SLS审计内置告警策略,无法解绑和更换绑定。
  • 通过SLS审计内置告警策略指定SLS审计内置行动策略。
  • 通过SLS审计内置行动策略指定SLS审计内置用户组和SLS审计内置内容模板。

配置流程

您可以直接使用内置的告警资源,也可以自定义告警资源,具体设置告警的流程如下:

日志服务提供的内置资源可满足大部分告警场景,在实际场景中,你可以综合上述两种方式设置告警。本文以内置的告警资源为例。

步骤一:创建用户

  1. 登录日志服务控制台
  2. 日志应用区域,单击日志审计服务
  3. 在左侧导航栏中,选择审计告警 > 用户管理 > 用户管理
  4. 创建用户。
    具体操作,请参见创建用户

步骤二:将用户添加到SLS审计内置用户组

  1. 在左侧导航栏中,选择审计告警 > 用户管理 > 用户组管理
  2. 在用户组列表中,单击SLS审计内置用户组对应的修改
  3. 修改用户组中,将已创建的用户从待添加成员区域添加到已添加成员区域,然后单击确认

步骤三:开启告警实例

  1. 在左侧导航栏中,选择审计告警 > 规则配置 > 告警规则
  2. 在告警规则列表中,找到目标告警规则,单击开启
    开启告警实例后,日志服务开始实时监控日志审计服务。如果您需要开启多个告警实例,可单击添加

    告警规则的参数说明请参见告警规则总览

相关操作

操作 说明
设置白名单 针对特定告警规则,如果您希望某些用户(或者实例ID、IP地址)进行操作时不触发告警,可将其设置为白名单。

不同告警规则对应的白名单配置不同。更多信息,请参见告警规则总览

关闭告警实例 关闭告警实例后,告警实例不会再触发告警,状态变更为未开启

该操作不会删除实例参数中已设置的信息。需要再次监控时,无需重新设置实例参数。

临时关闭告警实例 临时关闭告警实例后,在指定时间内不再触发告警。
恢复告警实例 处于临时关闭状态的告警实例,可随时恢复告警。
删除告警实例 删除告警实例,状态变更为未创建

该操作会删除实例参数中已设置的信息(例如阿里云账号)。需要再次监控时,需要重新设置实例参数。

升级告警实例 当日志服务对告警规则进行较大的功能升级或升级后需要您额外配置时,系统会提示您升级告警规则。一般情况下,系统会自动完成升级。
手动初始化告警 如果误删除告警初始化产生的资产或者发生首次初始化告警资产失败的情况,可通过此操作强制重新初始化告警相关内容。
修改内置告警策略所绑定的行动策略 如果您要使用自定义的行动策略,则在创建行动策略后,需在告警策略页面,修改SLS审计内置告警策略的所绑定的行动策略。