适用于日志和监控的最佳实践
该示例模板中对应的合规规则的说明和修复项指导如下表所示:
合规规则 |
规则中文名称 |
涉及云服务 |
说明指导 |
规则描述 |
修复项指导 |
---|---|---|---|---|---|
alarm-action-enabled-check |
启用了CES告警操作 |
ces |
确保启用了CES告警操作,用户对云服务的核心监控指标设置告警规则,当监控指标触发用户设置的告警条件时,云监控服务使用消息通知服务向用户通知告警信息。 |
CES告警操作未启用,视为“不合规” |
您需要在消息通知服务界面创建一个主题并为这个主题添加相关的订阅者,然后在添加告警规则的时候,您需要开启消息通知服务并选择创建的主题,这样在云服务发生异常时,云监控服务可以实时的将告警信息以广播的方式通知这些订阅者。 |
apig-instances-execution-logging-enabled |
APIG专享版实例配置访问日志 |
apig |
确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板,便于日志的统一收集和管理,也可通过API异常调用分析进行追查和溯源。 |
APIG专享版实例未配置访问日志,视为“不合规” |
可以在API网关控制台选择启动日志记录 |
as-group-elb-healthcheck-required |
弹性伸缩组使用弹性负载均衡健康检查 |
as |
根据ELB对云服务器的健康检查结果进行的检查,健康检查会将异常的实例从伸缩组中移除。这条规则确保与负载均衡器关联的伸缩组使用了弹性负载均衡健康检查。 |
与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规” |
如果您将多个负载均衡器添加到伸缩组,则只有在所有负载均衡器均检测到云服务器状态为正常的情况下,才会认为该弹性云服务器正常。否则只要有一个负载均衡器检测到云服务器状态异常,伸缩组会将该弹性云服务器移出伸缩组。 |
cts-kms-encrypted-check |
CTS追踪器通过KMS进行加密 |
cts |
确保云审计服务(CTS)的追踪器已配置KMS加密存储用于归档的审计事件。 |
CTS追踪器未通过KMS进行加密,视为“不合规” |
建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件。 |
cts-lts-enable |
CTS追踪器启用事件分析 |
cts |
确保使用云日志服务(LTS)集中收集云审计服务(CTS)的数据。 |
CTS追踪器未启用事件分析,视为“不合规” |
开通云审计日志后,系统会自动创建一个名为system的管理事件追踪器,并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS,配置完成后会在LTS自动创建日志组日志流 |
cts-obs-bucket-track |
CTS追踪器追踪指定的OBS桶 |
cts |
由于CTS只支持查询7天的审计事件,为了您事后审计、查询、分析等要求,启用CTS追踪器请配置OBS服务桶。 |
账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” |
云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。 |
cts-support-validate-check |
CTS追踪器打开事件文件校验 |
cts |
在安全和事故调查中,通常由于事件文件被删除或者被私下篡改,而导致操作记录的真实性受到影响,无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。 |
CTS追踪器未打开事件文件校验,视为“不合规” |
在配置转储页面打开“文件校验”开关,即可开启事件文件完整性校验功能。 |
cts-tracker-exists |
创建并启用CTS追踪器 |
cts |
云审计服务支持创建数据类事件追踪器,用于记录数据操作日志。数据类追踪器用于记录数据事件,即针对租户对OBS桶中的数据的操作日志,例如上传、下载等。 |
账号未创建CTS追踪器,视为“不合规” |
可进入云审计服务页面,导航栏选择“追踪器”,单击“创建追踪器”,根据提示操作。 |
dws-enable-log-dump |
DWS集群启用日志转储 |
dws |
GaussDB(DWS) 记录您的数据库中的连接和用户活动相关信息。这些审计日志信息有助于您监控数据库以确保安全或进行故障排除或定位历史操作记录。当前这些审计日志默认存储于数据库中,您可以将审计日志转储到OBS中使负责监控数据库中活动的用户更方便的查看这些日志信息。 |
DWS集群未启用日志转储,视为“不合规” |
GaussDB(DWS) 集群创建成功后,您可以为集群开启审计日志转储,将审计日志转储到OBS中,方便查看。 |
function-graph-concurrency-check |
函数工作流的函数并发数在指定范围内 |
fgs |
FunctionGraph会根据实际的请求情况自动弹性伸缩函数实例,并发变高时,会分配更多的函数实例来处理请求,并发减少时,相应的实例也会变少。此规则可确保建立函数工作流(FunctionGraph)的并发上限和下限。 |
FunctionGraph函数并发数不在指定的范围内,视为“不合规” |
对于不合规的实例,在函数详情页可以修改函数并发数的值。 |
multi-region-cts-tracker-exists |
在指定区域创建并启用CTS追踪器 |
cts |
云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。数据追踪器会记录当前区域租户对OBS桶中的数据操作的详细信息。 |
账号未在指定region列表创建CTS追踪器,视为“不合规” |
您可以进入指定区域云审计服务页面,导航栏选择“追踪器”,单击“创建追踪器”,根据提示操作。 |
rds-instance-logging-enabled |
RDS实例配备日志 |
rds |
确保rds资源配备了访问日志。配置访问日志后,RDS实例新生成的日志记录会上传到云日志服务(Log Tank Service,简称LTS)进行管理。 |
未配备任何日志的RDS资源,视为“不合规” |
您可以为不合规的RDS资源配置访问日志。方式为:登录RDS管理控制台,选择日志配置管理,选择为一个或多个实例配置访问日志。 |
vpc-flow-logs-enabled |
VPC启用流日志 |
vpc |
VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 |
检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” |
您可以为不合规的VPC资源开启流日志记录,方式为:创建日志组、日志流之后,进入VPC流日志列表页面创建VPC流日志,按照提示配置参数。 |