Menggunakan Cloud Monitoring untuk notifikasi penyerapan

Dokumen ini menjelaskan cara menggunakan Cloud Monitoring untuk menerima notifikasi penyerapan. Chronicle menggunakan Cloud Monitoring untuk mengirim notifikasi penyerapan. Dengan menggunakan fitur ini, Anda dapat menangani masalah secara proaktif. Anda dapat mengintegrasikan notifikasi email dalam alur kerja yang ada. Notifikasi dipicu saat nilai penyerapan mencapai level tertentu yang telah ditentukan. Dalam dokumentasi Cloud Monitoring, notifikasi disebut sebagai pemberitahuan.

Sebelum memulai

  • Pastikan Anda memahami Cloud Monitoring.

  • Konfigurasi project Google Cloud untuk Chronicle.

  • Pastikan peran Identity and Access Management Anda menyertakan izin dalam peran roles/monitoring.alertPolicyEditor. Untuk mengetahui informasi selengkapnya tentang peran, lihat Kontrol akses.

  • Pastikan Anda telah memahami pembuatan kebijakan pemberitahuan di Cloud Monitoring. Untuk mengetahui informasi terkait langkah-langkah ini, lihat Membuat notifikasi.

  • Konfigurasikan saluran notifikasi sebagai email untuk menerima notifikasi penyerapan. Untuk informasi tentang langkah-langkah ini, lihat Mengelola saluran notifikasi.

Menyiapkan notifikasi penyerapan untuk metrik kesehatan

Untuk menyiapkan notifikasi yang memantau metrik kondisi proses transfer khusus untuk Chronicle, lakukan hal berikut:

  1. Di Konsol Google Cloud, pilih Monitoring:

  2. Di panel navigasi, pilih Alerting, lalu klik Create policy.

  3. Di halaman Select a metric, lakukan salah satu tindakan berikut:

    • Pilih Chronicle Collector > Penyerapan, lalu pilih Total jumlah log yang diserap atau Total ukuran log yang diserap.

    • Pilih Chronicle Collector > Normalizer, lalu pilih Total jumlah catatan atau Total jumlah peristiwa.

    • Pilih Chronicle Log Type > Outofband, lalu pilih Total jumlah log yang diserap (Feed) atau Total ukuran log yang diserap (Feed).

  4. Klik Apply.

  5. Untuk menambahkan filter, di halaman Pilih metrik, klik Tambahkan Filter. Dalam dialog filter, pilih label collector_id, pembanding, lalu nilai filter.

    • Pilih satu atau beberapa filter berikut:

      • project_id: ID project Google Cloud yang terkait dengan resource ini.

      • location: Lokasi fisik cluster yang berisi objek kolektor.

      • collector_id: ID kolektor.

      • log_type: Nama jenis log.

      • Label metrik > namespace: Namespace log.

      • Feed_name: Nama feed.

      • LogType: Jenis log.

      • Label metrik > event_type: Jenis peristiwa menentukan kolom yang disertakan dengan peristiwa. Jenis peristiwa mencakup nilai seperti PROCESS_OPEN, FILE_CREATION, USER_CREATION, dan NETWORK_DNS.

      • Label metrik > status: Status akhir peristiwa atau log. Statusnya adalah salah satu dari berikut:

        • parsed. Log berhasil diuraikan.
        • validated. Log berhasil divalidasi.
        • failed_parsing. Log memiliki error penguraian.
        • failed_validation. Log memiliki error validasi.

      • Label metrik > drop_reason_code: Kolom ini diisi jika sumber penyerapan adalah penerusan Chronicle dan menunjukkan alasan mengapa log dihapus selama normalisasi.

      • Label metrik > ingestion_source: Sumber penyerapan yang ada di label penyerapan saat log diserap menggunakan API penyerapan.

    • Pilih ID kolektor khusus. ID kolektor juga dapat berupa ID penerus atau ID khusus berdasarkan metode penyerapan.

      • aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa: menampilkan semua feed yang dibuat menggunakan halaman atau Feed Management API. Untuk informasi selengkapnya tentang pengelolaan feed, lihat Pengelolaan feed dan API pengelolaan feed.

      • bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb: menunjukkan semua sumber penyerapan yang menggunakan metode unstructuredlogentries Ingestion API. Untuk mengetahui informasi selengkapnya tentang API penyerapan, lihat Chronicle Ingestion API.

      • cccccccc-cccc-cccc-cccc-cccccccccccc: mewakili semua sumber penyerapan yang menggunakan metode udmevents Ingestion API.

      • dddddddd-dddd-dddd-dddd-dddddddddddd: menunjukkan penyerapan log Google Cloud.

      • eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee: mewakili ID kolektor yang digunakan untuk CreateEntities.

  6. Di bagian Mentransformasi data, lakukan hal berikut:

    1. Tetapkan kolom Agregasi deret waktu ke sum.
    2. Tetapkan kolom Time series group by ke project_id.

  7. Opsional: Siapkan kebijakan pemberitahuan dengan beberapa kondisi. Untuk membuat notifikasi penyerapan dengan beberapa ketentuan dalam kebijakan pemberitahuan, lihat Kebijakan dengan beberapa ketentuan.

Metrik penerus Chronicle dan filter terkait

Tabel berikut menjelaskan metrik penerusan Chronicle yang tersedia dan filter terkait.

Metrik penerus Chronicle Filter
Memori container yang digunakan log_type, collector_id
Disk container yang digunakan log_type, collector_id
Penampung cpu_used log_type, collector_id
Jumlah_penurunan log log_type, collector_id, input_type, reason
buffer_used log_type, collector_id, buffer_type, input_type
last_heartbeat log_type, collector_id, input_type

Siapkan kebijakan contoh untuk mendeteksi penerusan dari Chronicle

Kebijakan contoh berikut mendeteksi semua penerusan Chronicle dan mengirim pemberitahuan jika penerus Chronicle tidak mengirim log selama 60 menit. Tindakan ini mungkin tidak berguna untuk semua penerusan Chronicle yang ingin Anda pantau. Misalnya, Anda dapat memantau satu sumber log di satu atau beberapa forwarder Chronicle dengan nilai minimum yang berbeda atau mengecualikan penerusan Chronicle berdasarkan frekuensi pelaporannya.

  1. Di Konsol Google Cloud, pilih Monitoring:
    Buka Chronicle

  2. Klik Create Policy.

  3. Di halaman Pilih metrik, pilih Chronicle Collector > Penyerapan > Total jumlah log yang diserap.

  4. Klik Apply.

  5. Di bagian Mentransformasi data, lakukan hal berikut:

    1. Tetapkan Rolling window ke 1 jam.
    2. Tetapkan Fungsi rolling window ke mean.
    3. Tetapkan Agregasi deret waktu ke mean.
    4. Tetapkan Grup deret waktu menurut ke collector_id. Jika tidak ditetapkan ke pengelompokan menurut collector_id, notifikasi akan dipicu untuk setiap sumber log.

  6. Klik Next.

  7. Pilih Ketiadaan metrik dan lakukan tindakan berikut:

    1. Tetapkan Pemicu pemberitahuan ke Deret waktu mana saja melanggar.
    2. Tetapkan Waktu ketidakhadiran pemicu ke 1 jam.
    3. Masukkan nama untuk kondisi tersebut, lalu klik Berikutnya.

  8. Di bagian Notifikasi dan nama, lakukan hal berikut:

    1. Pilih saluran notifikasi di kotak Gunakan saluran notifikasi. Sebaiknya konfigurasi beberapa saluran notifikasi untuk tujuan redundansi.
    2. Konfigurasi notifikasi tentang penutupan insiden.
    3. Tetapkan label pengguna kebijakan ke tingkat yang sesuai. Setelan ini digunakan untuk menetapkan tingkat keparahan pemberitahuan untuk suatu kebijakan.
    4. Masukkan dokumentasi yang ingin Anda kirimkan sebagai bagian dari notifikasi.
    5. Masukkan nama untuk kebijakan pemberitahuan.

Menambahkan pengecualian ke kebijakan generik

Anda mungkin perlu mengecualikan penerusan Chronicle tertentu dari kebijakan generik karena mungkin hanya memiliki volume traffic rendah, atau memerlukan kebijakan pemberitahuan yang lebih kustom.

  1. Di Konsol Google Cloud, pilih Monitoring:

  2. Di halaman navigasi, pilih Alerting lalu di bagian Policy pilih kebijakan yang ingin diedit.

  3. Di halaman Detail kebijakan, klik Edit.

  4. Di halaman Edit pemberitahuan policy, di bagian Add filters, pilih Add a filter, lalu lakukan tindakan berikut:

    1. Pilih label collector_id dan kolektor yang ingin Anda kecualikan dari kebijakan.
    2. Setel pembanding ke != dan nilai ke collector_id yang ingin Anda kecualikan, lalu klik Done.
    3. Ulangi untuk setiap kolektor yang perlu dikecualikan. Anda juga dapat menggunakan ekspresi reguler untuk mengecualikan beberapa kolektor hanya dengan satu filter jika ingin menggunakan format berikut:

    (?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)

  5. Klik Simpan Kebijakan.