日志审计服务已预设SLS审计内置行动策略,系统会按照该行动策略进行告警通知。当您需要自定义行动策略时,您可以新增行动策略或更新SLS审计内置行动策略。本文以更新SLS审计内置行动策略为例,介绍设置行动策略的操作步骤。
背景信息
操作步骤
- 登录日志服务控制台。
- 在日志应用区域,单击日志审计服务。
- 在左侧导航栏中,选择审计告警 > 规则配置 > 行动策略。
- 找到SLS审计内置行动策略,单击修改。
- 添加行动策略项。日志服务支持通过简易编辑模式或高级编辑模式配置行动策略。简易编辑模式配置简单,当简易编辑模式无法满足您的需求时,可开启高级编辑模式,灵活配置复杂的行动策略。
- 简易编辑模式
- 在第一行动列表页签中,配置如下参数,并单击添加策略。
例如上图示例表示阿里云账号ID为132****8765的用户产生的告警信息将通过邮件方式通知给SLS审计内置用户组中的用户,通知的内容由SLS审计内置内容模板决定。具体参数说明如下表所示:
参数 说明 条件对象 条件对象用于过滤告警信息。 打开条件对象开关,可设置多条条件对象。
条件 打开条件开关,表示分组内所有告警满足条件时才会进行通知。 渠道 单击添加渠道,配置告警通知渠道。 通知渠道包括短信、语音、邮件、钉钉(WebHook)、WebHook-自定义和通知中心。
- 当您使用短信、语音或邮件通知时,需设置接收人(用户或用户组)。如何创建用户或用户组,请参见创建用户和用户组。
- 当您使用钉钉(WebHook)通知时,需设置请求地址和提醒方式。如何获取请求地址,请参见WebHook-钉钉机器人。
- 当您使用WebHook-自定义通知时,需设置请求地址和提醒方式。如何获取请求地址,请参见WebHook-自定义。
日志服务中已预设通知内容模板,您也可以根据业务需求,自定义内容模板。如何创建内容模板,请参见创建内容模板。
打开执行后停止后续开关,表示执行到该策略时,不再执行后续策略。
- 在已添加策略区域,确认策略配置结果。
您也可以修改已添加的行动策略以及调整行动策略的顺序。
- 单击目标行动策略右侧的编辑,修改已添加的行动策略。
- 单击目标行动策略右侧的上下箭头,调整行动策略的顺序。
- 如果您需要开启第二行动列表(例如告警长时间未解决时,需升级告警,发送给第二行动列表中的用户),可在第二行动列表页签中,打开开启开关,其他操作与第一行动列表相同。
- 在第一行动列表页签中,配置如下参数,并单击添加策略。
- 高级编辑模式
- 在第一行动列表页签中,打开高级编辑模式开关。
- 在待添加策略项文本框中,配置行动策略,单击确认。
- 如果您需要开启第二行动列表(例如告警长时间未解决时,需升级告警,发送给第二行动列表中的用户),可在第二行动列表页签中,打开开启开关,其他操作与第一行动列表相同。
- 简易编辑模式