全部文档
当前文档
最近更新时间:2025-12-17 15:26:45
AccessKey泄露会对您的云资源产生安全风险,操作审计帮助您监控AccessKey产生的异常事件,以便您发现AccessKey使用异常时能收到告警快速应对。如果您对AccessKey异常使用有监控需求,可以参考以下步骤。
该方案基于金山云KLOG日志服务和操作审计的事件跟踪功能设计实现。
配置操作审计事件跟踪把日志投递到KLOG日志池中,按照指定频率查询一段时间内的审计日志,满足配置的告警条件后,通过短信、飞书WebHook等渠道及时通知。
1.创建日志工程,日志服务>工程列表>单击创建工程,如下按实际需求填写工程名称、项目、地域等信息。
2.创建日志池,日志服务>工程列表>选中新建工程>单击创建日志池,如下按实际需求填写,日志池类型需要设置为分析型,便于编写SQL分析审计日志。
1.创建事件跟踪,操作审计>自主事件跟踪列表>单击创建事件跟踪,如下按需填写,审计日志投递到步骤一创建的工程和日志池中,存储日志用于分析。
1.查询审计日志,日志服务>工程列表>选中新建工程>日志搜索>选中步骤一创建的日志池,如果能查询到日志说明投递成功。
1.在日志搜索页面查询AccessKey异常使用情况,编写SQL统计AccessKey异常使用出现的次数。
2.单击添加至仪表盘,按需填写如下,完成仪表盘和图表的创建
3.查询仪表盘以及图表结果,AccessKey异常使用数据统计正常
1.创建短信告警接收组,云监控>告警服务>联系人管理>联系组>新建联系组,添加告警接收人,如下。
2.创建飞书告警接收群,WebHook地址获取如下。
a.创建告警接收群。
b.创建告警推送机器人。
c.获取WebHook地址,用于告警接收并通知到告警群内。
3.创建告警组,日志服务>工程列表>选中新建工程>告警管理,单击新建告警,进行创建。
a.选中步骤四中创建的AccessKey异常使用的仪表盘和图表。
b.按照实际场景填写检测频率、查询区间、触发条件、触发次数阈值等参数,参考文档。
c.配置短信告警,如下。
d.配置WebHook告警,如下。
4.创建告警组完成,如下。
1.短信通知渠道,短信告警有长度限制,尽量精简内容
2.WebHook通知渠道
纯净模式
