使用审计日志进行告警#
如果您有一个日志聚合器,您可以利用审计日志)以及他们为获得通知或警报而提供的数据审计事件
警报和日志聚合器#
我们将使用DataDog举例说明如何使用审计日志来接收某些操作的警报。有许多Logging Aggregator工具可以以类似的方式帮助您。
请注意
这不是关于日志聚合器或如何使用DataDog的详细教程。本文档的主要重点是展示Audit Events提供的数据如何帮助您为感兴趣的事件设置警报。
设置日志收集#
假设我们在Connect中有一个预先存在的审计日志配置:
(日志)AuditLog=“/ var / log / connect-audit.log”AuditLogFormat=“JSON”启用DataDog日志记录后,以下设置将配置DataDog代理以收集审计日志记录项:
日志:-类型:文件路径:/var/log/connect-audit.log服务:英格兰vs伊朗让球rstudio-connect源:英格兰vs伊朗让球rstudio-connect警告
您很可能需要调整权限,以便日志聚合器可以跟踪审计日志文件。例句:Sudo chmod 0644 /var/log/connect-audit.log
设置监视器#
现在,让我们看看如何在DataDog中设置监视器来触发警报。
首先,创建一个新班长然后点击日志选择。
定义搜索查询#
假设我们希望在用户被授予管理员角色时收到通知。的edit_user事件提供名为new_user_role当对用户角色进行更新时触发,并指示分配的新角色。我们将通过设置来利用这些信息@new_user_role:管理员作为搜索查询。属性的任何新的审计日志项都将被新监控器考虑“new_user_role”:“管理员”字段。
请注意
在DataDog中,@语法指示我们要访问日志记录中的属性。
设置告警条件#
对于这个警报,我们希望它在每次用户被授予管理员角色时触发。这将是一个“警报阈值”的“大于或等于”“1”.
制作警告信息#
的edit_user事件提供了许多有用的数据字段,对于这个示例,我们将使用它user_guid,actor_description而且actor_guid制作一条简单的消息,其中包含新管理员用户和进行更改的用户的唯一标识符。
要在DataDog消息模板中使用审计日志记录数据,我们必须为日志字段加上前缀log.attributes.
对于我们将设置的消息主题具有管理员角色的用户,对于消息体,我们将使用以下模板并设置log.attributes我们感兴趣。
用户({{log.attributes.user_guid}})被授予管理员角色{{log.attributes.actor_description}}({{log.attributes.actor_guid}})
定义监控权限#
要完成监视器的创建,定义谁可以修改它,以及在发生修改时通知谁。我们将保留默认值并单击保存.
新的监控器在运行#
DataDog收集了审计日志,并准备好并保存了新的监控器,下一次用户更新为管理员角色时,我们将在电子邮件中收到警报,DataDog中的监控器将注册该事件。
新的监控仪表板
电子邮件警报