取り込み通知に Cloud Monitoring を使用する

このドキュメントでは、Cloud Monitoring を使用して取り込み通知を受け取る方法について説明します。Chronicle は Cloud Monitoring を使用して取り込み通知を送信します。この機能を使用すると、問題を積極的に対処できます。既存のワークフローにメール通知を統合できます。取り込み値が特定の事前定義レベルに達すると通知がトリガーされます。 Cloud Monitoring のドキュメントでは、通知はアラートと呼ばれます。

準備

• Cloud Monitoring に精通していることを確認してください。

• Chronicle 用の Google Cloud プロジェクトを構成します。

• Identity and Access Management ロールに、ロール roles/monitoring.alertPolicyEditor の権限が含まれていることを確認します。ロールについて詳しくは、アクセス制御をご覧ください。

• Cloud Monitoring でのアラート ポリシーの作成に精通していることを確認してください。手順については、アラートの作成をご覧ください。

• 取り込み通知を受信するには、通知チャネルをメールとして構成します。これらの手順については、通知チャンネルを管理するをご覧ください。

健全性の指標の取り込み通知を設定する

Chronicle に固有の取り込みの健全性の指標をモニタリングする通知を設定するには、次の手順を行います。

1. Google Cloud コンソールで [Monitoring] を選択します。

2. ナビゲーション パネルで [アラート] を選択し、[ポリシーを作成] をクリックします。

3. [指標の選択] ページで、次のいずれかの操作を行います。

   • [Chronicle Collector] > [Ingestion] を選択し、[Total ingested log count] または [Total ingested log size] のいずれかを選択します。

   • [Chronicle Collector] > [Normalizer] を選択し、[Total record count] または [Total event count] のいずれかを選択します。

   • [Chronicle Log Type] > [Outofband] を選択し、[Total ingested log count (Feeds)] または [Total ingested log size (Feeds)] を選択します。

4. [Apply]（適用）をクリックします。

5. フィルタを追加するには、[指標の選択] ページで [フィルタを追加] をクリックします。フィルタ ダイアログで、collector_id ラベル、コンパレータ、フィルタ値を選択します。

   • 次のフィルタを 1 つ以上選択します。

     • project_id: このリソースに関連付けられた Google Cloud プロジェクトの ID。

     • location: コレクタ オブジェクトを含むクラスタの物理的な場所。

     • collector_id: コレクタの ID。

     • log_type: ログタイプの名前。

     • Metric label > namespace: ログの名前空間。

     • Feed_name: フィードの名前。

     • LogType: ログのタイプ。

     • 指標ラベル > event_type: イベントタイプによって、イベントに含まれるフィールドが決まります。イベントタイプには、PROCESS_OPEN、FILE_CREATION、USER_CREATION、NETWORK_DNS などの値が含まれます。

     • 指標ラベル > 状態: イベントまたはログの最終ステータス。ステータスは次のいずれかです。

       • parsed。ログが正常に解析されました。
       • validated。ログが正常に検証されました。
       • failed_parsing。ログに解析エラーがあります。
       • failed_validation。ログに検証エラーがあります。

     • 指標ラベル > drop_reason_code: 取り込み元が Chronicle フォワーダーで、正規化中にログが破棄された理由を示す場合、このフィールドが入力されます。

     • 指標ラベル > ingestion_source: 取り込み API を使用してログが取り込まれる際に取り込みラベルに存在する取り込みソース。

   • 特別なコレクタ ID を選択します。コレクタ ID は、取り込み方法に応じてフォワーダー ID または特殊な ID にすることもできます。

     • aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa: Feed Management API またはページを使用して作成されたすべてのフィードを表します。フィード管理の詳細については、フィード管理と Feed Management API をご覧ください。

     • bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb: Ingestion API の unstructuredlogentries メソッドを使用するすべての取り込み元を表します。Ingestion API の詳細については、Chronicle Ingestion API をご覧ください。

     • cccccccc-cccc-cccc-cccc-cccccccccccc: Ingestion API の udmevents メソッドを使用するすべての取り込み元を表します。

     • dddddddd-dddd-dddd-dddd-dddddddddddd: Google Cloud ログの取り込みを表します。

     • eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee: CreateEntities に使用されるコレクタ ID を表します。

6. [データの変換] セクションで、次のようにします。

   1. [時系列集計] フィールドを [sum] に設定します。
   2. [時系列のグループ化の基準] フィールドを project_id に設定します。

7. 省略可: 複数の条件を持つアラート ポリシーを設定します。アラート ポリシー内で複数の条件を使用して取り込み通知を作成するには、複数の条件を持つポリシーをご覧ください。

Chronicle フォワーダーの指標と関連フィルタ

次の表に、利用可能な Chronicle フォワーダーの指標と関連フィルタを示します。

Chronicle フォワーダーの指標	フィルタ
Container memory used	log_type、collector_id
Container disk used	log_type、collector_id
Container cpu_used	log_type、collector_id
Log drop_count	log_type、collector_id、input_type、reason
buffer_used	log_type、collector_id、buffer_type、input_type
last_heartbeat	log_type、collector_id、input_type

サンプル ポリシーを設定してサイレント Chronicle フォワーダーを検出する

次のサンプル ポリシーは、すべての Chronicle フォワーダーを検出して、Chronicle フォワーダーが 60 分間ログを送信しない場合にアラートを送信します。これは、モニタリングするすべての Chronicle フォワーダーでは有用でない場合があります。たとえば、異なるしきい値を使用して 1 つ以上の Chronicle フォワーダーで単一のログソースをモニタリングしたり、レポートの頻度に基づいて Chronicle フォワーダーを除外したりできます。

1. Google Cloud コンソールで [Monitoring] を選択します。
   Chronicle に移動
   

2. [ポリシーを作成] をクリックします。

3. [指標の選択] ページで、[Chronicle Collector] > [取り込み] > [取り込まれた合計ログ数] を選択します。

4. [Apply]（適用）をクリックします。

5. [データの変換] セクションで、次のようにします。

   1. [ローリング ウィンドウ] を 1 時間に設定します。
   2. [ローリング ウィンドウ関数] を [mean] に設定します。
   3. [時系列の集計] を [mean] に設定します。
   4. [Time series group by] を [collector_id] に設定します。collector_id でグループ化するように設定されていない場合、ログソースごとにアラートがトリガーされます。

6. [次へ] をクリックします。

7. [Metric absence] を選択して、次の操作を行います。

   1. [Alert trigger] を [Any time series violates] に設定します。
   2. [Trigger absence time] を 1 時間に設定します。
   3. 条件の名前を入力し、[Next] をクリックします。

8. [通知と名前] セクションで、次のようにします。

   1. [通知チャネルを使用] ボックスで通知チャネルを選択します。冗長性を確保するために、複数の通知チャネルを構成することをおすすめします。
   2. インシデントのクローズ時の通知を構成します。
   3. ポリシー ユーザーラベルを適切なレベルに設定します。これは、ポリシーのアラートの重大度を設定するために使用されます。
   4. アラートの一部として送信するドキュメントを入力します。
   5. アラート ポリシーの名前を入力します。

キャッチオール ポリシーに除外を追加する

トラフィック量が少ない場合や、カスタム アラート ポリシーの追加が必要になる場合があるため、特定の Chronicle フォワーダーをキャッチオール ポリシーから除外することが必要な場合があります。

1. Google Cloud コンソールで [Monitoring] を選択します。

2. ナビゲーション ページで [アラート] を選択し、[ポリシー] セクションで編集するポリシーを選択します。

3. [ポリシーの詳細] ページで、[編集] をクリックします。

4. [アラート ポリシーの編集] ページの [フィルタを追加] セクションで、[フィルタを追加] を選択して次の操作を行います。

   1. ポリシーから除外する collector_id ラベルとコレクタを選択します。
   2. コンパレータを != に設定し、値を除外する collector_id に設定して、[完了] をクリックします。
   3. 除外する必要があるコレクタごとに手順を繰り返します。次の形式を使用する場合は、正規表現を使用して、1 つのフィルタだけで複数のコレクタを除外することもできます。

   (?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)

5. [ポリシーを保存] をクリックします。