跳转至

安全巡检异常检测


安全巡检用于监控工作空间内系统、容器、网络等存在的漏洞、异常和风险。你可以通过设置检测指标出现的次数来触发告警,及时发现管理安全威胁。

应用场景

支持监控 Network、Storage、Database、System、Webserver、Container 存在的漏洞、异常和风险。

新建

点击监控器 > 新建监控器 > 安全巡检,进入安全检测规则配置页面。

步骤一:检测配置

1)检测频率:检测规则的执行频率,包含1m/5m/15/30m/1h/6h(默认选中5m)。

2)检测区间:每次执行任务时,检测指标查询的时间范围。受检测频率影响,可选检测区间会有不同。

检测频率 检测区间(下拉可选项)
1m 1m/5m/15m/30m/1h/3h
5m 5m/15m/30m/1h/3h
15m 15m/30m/1h/3h/6h
30m 30m/1h/3h/6h
1h 1h/3h/6h/12h/24h
6h 6h/12h/24h
12h 12h/24h
24h 24h

3)检测指标:监控一定时间范围内安全巡检中包含所设字段的巡检事件数量,支持添加标签过滤对进行筛选。

字段 说明
类别 事件分类,支持:networkstoragedatabasesystemwebservercontainer
主机 主机名称
等级 巡检事件等级,支持:infowarncritical
标签 基于指标的标签对检测指标的数据进行筛选,限定检测的数据范围。支持添加一个或多个标签筛选,支持模糊匹配和模糊不匹配的筛选条件。
检测维度 配置数据里对应的字符串类型(keyword)字段都可以作为检测维度进行选择,目前检测维度最多支持选择三个字段。通过多个检测维度的字段组合,可以确定一个确定的检测对象,观测云会判断某个检测对象对应的统计指标是否满足触发条件的阈值,若满足条件则产生事件。(例如选择检测维度【host】与【host_ip】,则检测对象可以为 {host: host1, host_ip: 127.0.0.1}。)

4)触发条件:设置告警级别的触发条件:您可任意配置紧急、重要、警告、正常的其中一种触发条件。

配置触发条件及严重程度,当查询结果为多个值时,任一值满足触发条件则产生事件。

更多详情,可参考 事件等级说明

开启连续触发判断,可配置连续多次判断触发条件生效后,再次触发生成事件。最大上限 10 次。

告警级别

1、告警级别紧急(红色)、重要(橙色)、警告(黄色):基于配置条件判断运算符。

2、告警级别正常(绿色):基于配置检测次数,说明如下:

  • 每执行一次检测任务即为 1 次检测,如【检测频率 = 5 分钟】,则 1 次检测= 5 分钟;
  • 可以自定义检测次数,如【检测频率 = 5 分钟】,则 3 次检测 = 15 分钟。

检测规则生效后,产生紧急、重要、警告异常事件后,在配置的自定义检测周期内,数据检测结果恢复正常,则产生恢复告警事件。

5)数据断档:针对数据断档状态,支持七种配置策略。

  • 联动检测区间时间范围,判断检测指标最近分钟数的查询结果,不触发事件

  • 联动检测区间时间范围,判断检测指标最近分钟数的查询结果,查询结果视为 0;此时查询结果将重新与上方触发条件中配置的阈值做比较,从而判断是否触发异常事件。

  • 自定义填充检测区间值,触发数据断档事件、触发紧急事件、触发重要事件、触发警告事件及触发恢复事件;选择该类配置策略,自定义数据断档时间配置建议 >= 检测区间时间间隔,若配置时间 <= 检测区间时间间隔,可能存在同时满足数据断档和异常情况,此情况下仅会应用数据断档处理结果。

6)信息生成:开启此选项后,将未匹配到以上触发条件的检测结果生成 “信息” 事件写入。

注意:若同时配置触发条件、数据断档、信息生成时,按照如下优先级判断触发:数据断档 > 触发条件 > 信息事件生成。

步骤二:事件通知

1)事件标题:设置告警触发条件的事件名称,支持使用预置的模板变量

注意:最新版本中监控器名称将由事件标题输入后同步生成。旧的监控器中可能存在监控器名称和事件标题不一致的情况,为了给您更好的使用体验,请尽快同步至最新。

2)事件内容:满足触发条件时发送的事件通知内容。支持输入 Markdown 格式文本信息并预览效果,支持使用关联链接、模板变量

注意:不同告警通知对象支持的 Markdown 语法不同,例如:企业微信不支持无序列表。

数据断档通知配置:支持自定义数据断档通知内容,若没有配置,则自动使用官方默认的通知模版。

3)关联异常追踪:开启关联后,若该监控器下产生了异常事件,将同步创建 Issue。选择 Issue 的等级以及需要投递的目标频道,产生的 Issue 可以前往异常追踪 > 您选定的频道进行查看。

在事件恢复后,可以同步关闭 Issue。

事件内容自定义高级配置

观测云支持在事件内容中通过高级配置添加关联日志或错误堆栈,以便查看异常情况发生时的上下文数据情况:

  • 添加关联日志:

查询:

如:获取一条索引为 default 的日志 message

{% set dql_data = DQL("L::RE(`.*`):(`message`) { `index` = 'default' } LIMIT 1") %}

关联日志:

{{ dql_data.message | limit_lines(10) }}
  • 添加关联错误堆栈

查询:

{% set dql_data = DQL("T::re(`.*`):(`error_message`,`error_stack`){ (`source` NOT IN ['service_map', 'tracing_stat', 'service_list_1m', 'service_list_1d', 'service_list_1h', 'profile']) AND (`error_stack` = exists()) } LIMIT 1") %}

关联错误堆栈:

{{ dql_data.error_message | limit_lines(10) }}

{{ dql_data.error_stack | limit_lines(10) }}

步骤三:告警配置

告警策略:监控满足触发条件后,立即发送告警消息给指定的通知对象。告警策略中包含需要通知的事件等级、通知对象、以及告警沉默周期。

告警策略支持单选或多选,点击策略名可展开详情页。若需修改策略点击编辑告警策略即可。

步骤四:关联

关联仪表板:每一个监控器都支持关联一个仪表板,可快速跳转查看。

步骤五:权限

设置监控器的操作权限后,您当前工作空间的角色、团队成员以及空间用户将根据分配的权限,对监控器执行相应的操作。这确保了不同用户根据其角色和权限级别进行符合配置的操作。

  • 不开启该配置:跟随【监控器配置管理】的默认权限
  • 开启该配置并选定自定义权限对象:此刻仅创建人和被赋予权限的对象可对该监控器设置的规则进行启用/禁用、编辑、删除操作;
  • 开启该配置,但并未选定自定义权限对象:则仅创建人拥有此监控器的启用/禁用、编辑、删除权限。

注意:当前工作空间的 Owner 角色不受此处操作权限配置影响。

文档评价

文档内容是否对您有帮助? ×