数据库审计功能相关的事件告警已接入腾讯云可观测平台和事件总线,若您在规则模板中设置了风险等级告警,并且选择发送告警,则命中该规则模板的审计日志会触发告警通知给绑定的用户,同时在腾讯云可观测平台,用户也可以查看告警历史、进行告警策略管理(告警开关)及告警屏蔽。为数据库审计配置事件告警,可帮助用户及时获取风险告警,快速定位问题审计日志。
本文介绍如何从腾讯云可观测平台以及事件总线,为已开通数据库审计的实例配置事件告警。
前提条件
已 开通审计服务。
已 提交工单 申请使用事件告警功能(此功能的申请仅支持部署在北京、上海、广州、成都、新加坡地域的实例)。
已 提交工单 申请使用规则审计功能。
通过腾讯云可观测平台配置事件告警
创建告警策略
1. 登录 腾讯云可观测平台控制台,在左侧导航选择告警管理 > 策略管理页。
2. 在告警策略列表页,单击新建策略。
3. 在新建策略页中,完成基本信息、告警规则、告警通知的设置。
策略类型:选择云数据库 > MySQL > 主机监控。
告警对象:可通过选择对象所在的地域或搜索对象的实例 ID 找到需要关联的对象实例。
触发条件:找到事件告警,单击添加事件,根据实际需要告警的风险等级添加数据库审计低风险、数据库审计中风险或数据库审计高风险的告警事件。
配置告警通知:支持选择系统预设通知模板和用户自定义通知模板,每个告警策略最多只能绑定三个通知模板,自定义通知模板请参见 新建通知模板。
选择系统预设模板
新建模板
4. 确认无误后,单击完成。
关联告警对象
创建完告警策略后,您也可以为其关联其他告警对象(需要和此告警策略一致的实例),当命中规则模板中的规则内容,同时风险等级为所添加的等级且规则模板的告警策略设置为发送告警的实例,其生成的审计日志将会发送告警通知。
1. 在 告警策略列表页,单击告警策略名称,进入管理告警策略页。
2. 在管理告警策略页的告警对象栏,单击新增对象。
3. 在弹出的对话框,选择您需要关联的告警对象,单击确定,即可关联告警对象。
查看告警历史、进行告警策略管理(告警开关)及告警屏蔽
查看告警历史
告警启停
告警屏蔽
通过事件总线配置事件告警
步骤1:开通事件总线
腾讯云事件总线通过访问管理(Cloud Access Management,CAM)来实现权限管理。CAM 是腾讯云提供的权限及访问管理服务,主要用于帮助客户安全管理腾讯云账户下的资源的访问权限。用户可以通过 CAM 创建、管理和销毁用户(组),并使用身份管理和策略管理控制其他用户使用腾讯云资源的权限。使用事件总线 EventBridge 前,您需在产品页开通该服务。主账号开通方法及为子账号授权使用此服务,请参见 开通事件总线。
步骤2:配置云数据库 MySQL 数据库审计相关事件告警
开通事件总线服务后,需要选择事件源接入方式,目前已支持通过云数据库 MySQL 数据库审计产生的监控事件作为事件源接入事件总线。
注意
对于云数据库 MySQL 产生的告警、审计等运维事件,将全部投递至云服务事件集,该投递为默认投递,不支持更改或编辑。
开启腾讯云事件总线服务后,将为您自动在广州地域创建默认云服务事件集,云数据库 MySQL 所产生的告警事件(监控事件及审计事件)将自动投递至此。
1. 登录 事件总线控制台。
2. 在上方选择地域为广州。
3. 单击云服务事件集下的 default 事件集。
4. 在 default 事件集详情页单击管理事件规则。
5. 在跳转页面单击新建。
6. 在新建事件规则页面完成如下配置后单击下一步。
参数 | 说明 |
规则名称 | 填写规则名称,只能包含字母、数字、下划线、连字符,以字母开头,以数字或字母结尾,2个 - 60个字符 |
规则描述 | 填写规则描述,只能包含数字、中英文及常用标点符号,不超过200个字符 |
标签 | 自定义是否启用标签,启用后可以对该事件规则添加标签 |
数据转换 | 事件数据转换可以帮助您轻松的对事件内容进行简单的处理。例如,您可以对事件中的字段进行提取解析和映射重组后,再投递到事件目标 |
事件示例 | 提供了事件结构示例,为配置事件匹配规则做参考,您可以在事件示例选择下找到目标模板以作参考 |
事件模式 | 支持表单模式和自定义事件,这里建议使用表单模式更为便捷 |
云服务类型 | 选择云数据库 MySQL |
事件类型 | 选择需要的,数据库审计相关告警的事件类型(数据库审计低风险、数据库审计中风险、数据库审计高风险) |
测试匹配规则 | 选择事件示例中选择的事件类型模板,然后单击测试匹配规则,测试通过可执行下一步 |
说明:
如需接收来自指定实例的事件告警,规则配置为:
{"source":"cdb.cloud.tencent","subject":"ins-xxxxxx"}
表示所有来自云数据库 MySQL 并且实例 id 为 ins-xxx 的事件才可以通过规则匹配进行推送,其它事件将被丢弃,无法触达用户。
也可以使用数组模式匹配多个资源:
{"source":"cdb.cloud.tencent","subject":["ins-xxxxxx","ins-xxxxxx"]}
7. 在事件目标页签完成如下配置,勾选立即启用事件规则,单击完成。
参数 | 说明 |
触发方式 | 选择消息推送 |
消息模板 | 支持选择监控告警模板或通用通知模板 |
告警内容 | 支持选择中文或者英文 |
通知方式 | 支持选择接口回调、渠道推送或全部方式,此处以选择渠道推送方式为例进行后续设置 |
接收对象 | 选择接收用户或用户组 |
通知时段 | 自定义通知时间段 |
接收渠道 | 勾选接收渠道,短信限500字,电话限350字,过长的事件(可能由过长的实例名称等原因导致)将不会推送。建议同时配置多个渠道 |
说明:
如需配置多个事件目标,可单击添加进行设置。
8. 创建完成后即可在事件规则列表查询和管理该事件规则。