Utilizzo di Cloud Monitoring per le notifiche di importazione

Questo documento descrive come utilizzare Cloud Monitoring per ricevere notifiche di importazione. Chronicle utilizza Cloud Monitoring per inviare le notifiche di importazione. Questa funzionalità ti consente di risolvere i problemi in modo proattivo. Puoi integrare le notifiche via email nei flussi di lavoro esistenti. Le notifiche vengono attivate quando i valori di importazione raggiungono determinati livelli predefiniti. Nella documentazione di Cloud Monitoring, le notifiche sono definite avvisi.

Prima di iniziare

• Accertati di avere dimestichezza con Cloud Monitoring.

• Configura un progetto Google Cloud per Chronicle.

• Assicurati che il tuo ruolo Identity and Access Management includa le autorizzazioni nel ruolo roles/monitoring.alertPolicyEditor. Per saperne di più sui ruoli, consulta Controllo dell'accesso.

• Assicurati di avere familiarità con la creazione di criteri di avviso in Cloud Monitoring. Per informazioni su questi passaggi, vedi Creare avvisi.

• Configura il canale di notifica come email per ricevere notifiche di importazione. Per informazioni su questi passaggi, vedi Gestire i canali di notifica.

Configura la notifica di importazione per le metriche di salute

Per configurare le notifiche che monitorano le metriche sullo stato dell'importazione specifiche di Chronicle, segui questi passaggi:

1. Nella console Google Cloud, seleziona Monitoring.

2. Nel riquadro di navigazione, seleziona Avvisi, quindi fai clic su Crea criterio.

3. Nella pagina Seleziona una metrica, esegui una delle seguenti operazioni:

   • Seleziona Chronicle Collector > Importazione, quindi seleziona Conteggio totale log importati o Dimensioni log totali importati.

   • Seleziona Chronicle Collector > Normalizzatore, quindi Conteggio totale record o Conteggio totale eventi.

   • Seleziona Chronicle Log Type (Tipo di log di Chronicle) > Outofband, quindi seleziona Totale log importati (feed) o Dimensioni totali log importati (feed).

4. Fai clic su Applica.

5. Per aggiungere un filtro, nella pagina Seleziona una metrica, fai clic su Aggiungi filtro. Nella finestra di dialogo del filtro, seleziona l'etichetta collector_id, un comparatore e il valore del filtro.

   • Seleziona uno o più dei seguenti filtri:

     • project_id: l'identificatore del progetto Google Cloud associato alla risorsa.

     • location: la posizione fisica del cluster che contiene l'oggetto raccoglitore.

     • collector_id: l'ID del raccoglitore.

     • log_type: il nome del tipo di log.

     • Etichetta metrica > Spazio dei nomi: lo spazio dei nomi del log.

     • Feed_name: il nome del feed.

     • LogType: il tipo di log.

     • Etichetta metrica > event_type: il tipo di evento determina quali campi vengono inclusi nell'evento. Il tipo di evento include valori quali PROCESS_OPEN, FILE_CREATION, USER_CREATION e NETWORK_DNS.

     • Etichetta metrica > stato: lo stato finale dell'evento o del log. Lo stato è uno dei seguenti:

       • parsed. Il log è stato analizzato correttamente.
       • validated. Il log è stato convalidato.
       • failed_parsing. Il log contiene errori di analisi.
       • failed_validation. Il log contiene errori di convalida.

     • Etichetta metrica > drop_reason_code: questo campo viene compilato se l'origine di importazione è il forwarding di Chronicle e indica il motivo per cui un log è stato eliminato durante la normalizzazione.

     • Etichetta metrica > ingestion_source: l'origine di importazione presente nell'etichetta di importazione quando i log vengono importati utilizzando l'API di importazione.

   • Seleziona un ID collezionista speciale. L'ID raccoglitore può anche essere un ID inoltro o un ID speciale in base al metodo di importazione.

     • aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa - Rappresenta tutti i feed creati utilizzando la pagina o l'API Feed Management. Per saperne di più sulla gestione dei feed, consulta Gestione dei feed e API di gestione dei feed.

     • bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb: rappresenta tutte le origini di importazione che utilizzano il metodo unstructuredlogentries dell'API Ingestion. Per saperne di più sull'API di importazione, consulta la pagina dedicata all'API Chronicle Ingestion.

     • cccccccc-cccc-cccc-cccc-cccccccccccc: rappresenta tutte le origini di importazione che utilizzano il metodo udmevents dell'API di importazione.

     • dddddddd-dddd-dddd-dddd-dddddddddddd: rappresenta l'importazione dei log di Google Cloud.

     • eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee: rappresenta l'ID del collezionista utilizzato per CreateEntities.

6. Nella sezione Trasforma i dati, segui questi passaggi:

   1. Imposta il campo Aggregazione serie temporali su somma.
   2. Imposta il campo Raggruppa per serie temporali su project_id.

7. (Facoltativo) Configura un criterio di avviso con più condizioni. Per creare notifiche di importazione con più condizioni all'interno di un criterio di avviso, vedi Criteri con più condizioni.

Metriche di forwarding di Chronicle e filtri associati

La tabella seguente descrive le metriche disponibili per l'inoltro di Chronicle e i filtri associati.

Metrica di inoltro di Chronicle	Filtro
Memoria del container utilizzata	log_type, collector_id
Disco container utilizzato	log_type, collector_id
CPU_container_utilizzata	log_type, collector_id
Numero_di_cadute dei log	log_type, collector_id, input_type, reason
buffer_used	log_type, collector_id, buffer_type, input_type
last_heartbeat	log_type, collector_id, input_type

Configura un criterio di esempio per rilevare gli utenti che eseguono l'inoltro silenzioso di Chronicle

Il seguente criterio di esempio rileva tutti i forwarding di Chronicle e invia avvisi se questi ultimi non inviano i log per 60 minuti. Questa operazione potrebbe non essere utile per tutti gli utenti che eseguono l'inoltro di Chronicle che vuoi monitorare. Ad esempio, puoi monitorare una singola origine log per uno o più inoltro di Chronicle con una soglia diversa o escludere gli utenti che hanno eseguito l'inoltro di Chronicle in base alla frequenza dei report.

1. Nella console Google Cloud, seleziona Monitoring.
   Vai a Chronicle
   

2. Fai clic su Crea criterio.

3. Nella pagina Seleziona una metrica, seleziona Chronicle Collector > Importazione > Conteggio totale dei log importati.

4. Fai clic su Applica.

5. Nella sezione Trasforma i dati, segui questi passaggi:

   1. Imposta la Finestra temporale continua su 1 ora.
   2. Imposta Funzione finestra temporale continua su media.
   3. Imposta Aggregazione serie temporali su media.
   4. Imposta Raggruppa serie temporali per su collector_id. Se non viene impostato sul raggruppamento per collector_id, viene attivato un avviso per ogni sorgente log.

6. Tocca Avanti.

7. Seleziona Assenza metrica e segui questi passaggi:

   1. Imposta Attivazione degli avvisi su Qualsiasi violazione della serie temporale.
   2. Imposta Tempo di assenza trigger su 1 ora.
   3. Inserisci un nome per la condizione e fai clic su Avanti.

8. Nella sezione Notifiche e nome, procedi nel seguente modo:

   1. Seleziona un canale di notifica nella casella Usa canale di notifica. Ti consigliamo di configurare più canali di notifica per motivi di ridondanza.
   2. Configura le notifiche sulla chiusura degli incidenti.
   3. Imposta le etichette utente dei criteri su un livello appropriato. Viene utilizzato per impostare il livello di gravità dell'avviso per un criterio.
   4. Inserisci la documentazione che vuoi ricevere nell'ambito dell'avviso.
   5. Inserisci un nome per il criterio di avviso.

Aggiungere esclusioni a un criterio catch-all

Potrebbe essere necessario escludere determinati server di inoltro di Chronicle da un criterio catch-all perché potrebbero avere volumi di traffico bassi o richiedere un criterio di avviso più personalizzato.

1. Nella console Google Cloud, seleziona Monitoring.

2. Nella pagina di navigazione, seleziona Avvisi, quindi nella sezione Norme seleziona il criterio che vuoi modificare.

3. Nella pagina Dettagli norme, fai clic su Modifica.

4. Nella pagina Modifica criterio di avviso, nella sezione Aggiungi filtri, seleziona Aggiungi un filtro e procedi nel seguente modo:

   1. Seleziona l'etichetta collector_id e il raccoglitore che vuoi escludere dal criterio.
   2. Imposta il comparatore su != e il valore sulla collector_id da escludere, poi fai clic su Fine.
   3. Ripeti l'operazione per ogni raccoglitore da escludere. Puoi anche utilizzare un'espressione regolare per escludere più raccoglitori con un solo filtro se vuoi utilizzare il seguente formato:

   (?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)

5. Fai clic su Save Policy (Salva criterio).