Gunakan fitur observabilitas cloud Agentic SOC dengan Simple Log Service (SLS) untuk memantau dan membuat peringatan terkait kesehatan layanan, penggunaan log, serta metrik operasional lainnya.
Skenario bisnis
Selama operasi dan pemeliharaan (O&M) harian, Anda mungkin menghadapi masalah berikut terkait Agentic SOC:
Risiko ketersediaan layanan: Gangguan pada proses pemasukan log atau operasi abnormal pada modul inti mungkin tidak terdeteksi, sehingga menurunkan kemampuan analitik keamanan.
Kesulitan manajemen biaya: Trafik pemasukan log dapat melebihi ekspektasi, menyebabkan biaya penyimpanan dan kueri SLS yang tidak terduga tanpa pemantauan tepat waktu.
Efisiensi O&M rendah: Tanpa tampilan pemantauan terpadu dan mekanisme peringatan, integrasi status operasional Agentic SOC ke dalam sistem O&M yang sudah ada menjadi sulit.
Alur kerja
Fitur observabilitas cloud mengirimkan log status operasional Agentic SOC ke Simple Log Service (SLS). Anda kemudian dapat menggunakan peringatan SLS untuk memantau log tersebut dan mengirimkan notifikasi.
Generasi log: Modul-modul Agentic SOC, seperti metering penggunaan dan kesehatan modul, menghasilkan log pemantauan selama waktu proses.
Pengiriman log: Setelah Anda mengaktifkan fitur observabilitas cloud, Agentic SOC mengirimkan log pemantauan ini secara real time ke proyek SLS yang Anda tentukan.
Penyimpanan log: Log disimpan dalam Logstore di SLS.
Pemantauan dan peringatan: Aturan peringatan di SLS secara berkala mengeksekusi pernyataan kueri (SQL) untuk menentukan apakah kondisi pemicu terpenuhi.
Kirim notifikasi: Saat peringatan dipicu, kebijakan aksi mengirimkan notifikasi ke saluran yang ditentukan, seperti pesan teks, DingTalk, atau email.
Prosedur
Langkah 1: Aktifkan fitur observabilitas cloud
Aktifkan fitur observabilitas cloud di konsol Agentic SOC untuk mengirimkan log pemantauan ke Simple Log Service (SLS).
Masuk ke halaman Cloud Observability untuk konfigurasi.
Masuk ke Konsol Security Center - Pengaturan Sistem - Pengaturan Fitur. Di bagian atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Pada tab Settings, klik Cloud Observability.
Aktifkan fitur
Pada bagian Basic Settings di tab konfigurasi Cloud Observability, aktifkan sakelar Enable Cloud Observability.
Konfigurasikan informasi penyimpanan log
Pada bagian Detailed Configuration di tab konfigurasi Cloud Observability, tentukan parameter berikut:
Monitoring Module: Aktifkan sakelar untuk tipe log yang ingin Anda kirimkan.
Module Health: Memantau status berjalan, status koneksi, dan performa setiap modul.
Usage Metering: Memantau trafik pemasukan log dan kapasitas penyimpanan log.
Log Storage Location:
Region: Pilih wilayah tempat Anda ingin menyimpan log observabilitas cloud.
PeringatanWilayah penyimpanan log tidak dapat diubah setelah pengaturan awal. Sistem secara otomatis membuat Proyek SLS dan Logstore khusus di wilayah yang dipilih.
Project: Dibuat secara otomatis berdasarkan wilayah yang dipilih. Format:
sas-observability-AccountUID-RegionID.Logstore Mapping: Dua Logstore dibuat secara otomatis.
health-log: Menyimpan log Module Health.metering-log: Menyimpan log Usage Metering.
Data Retention Days: Tetapkan periode retensi data. Default: 30 hari.
CatatanPeriode retensi yang lebih lama mengakibatkan biaya penyimpanan yang lebih tinggi.
Save Configuration: Klik Save Configuration. Agentic SOC kemudian mulai mengirimkan log ke Proyek SLS yang ditentukan.
PentingPenyimpanan log observabilitas cloud dikenakan biaya tambahan yang ditagih oleh Simple Log Service (SLS).
Langkah 2: Konfigurasikan aturan notifikasi peringatan
Prosedur
Pada tab Cloud Observability, klik Alert Center di pojok kanan bawah untuk membuka halaman konfigurasi pusat peringatan.
Pada tab Alert Rules, klik Create Alert dan konfigurasikan parameter berikut:
CatatanUntuk informasi lebih lanjut, lihat Buat aturan peringatan.
Parameter
Deskripsi
Rule Name
Nama aturan peringatan.
Check Frequency
Seberapa sering SLS memeriksa hasil kueri dan analisis.
-
Hourly: Memeriksa hasil kueri dan analisis setiap jam.
-
Daily: Memeriksa hasil kueri dan analisis setiap hari pada waktu tertentu.
-
Weekly: Memeriksa hasil kueri dan analisis setiap minggu pada hari dan waktu tertentu.
-
Fixed Interval: Memeriksa hasil kueri dan analisis pada interval tetap.
-
Cron: Memeriksa hasil kueri dan analisis berdasarkan ekspresi Cron.
CatatanEkspresi Cron menggunakan format 24 jam dengan presisi per menit. Contoh:
-
0/5 * * * *: Memeriksa setiap 5 menit, dimulai dari menit ke-0. -
0 0/1 * * *: Memeriksa setiap jam, dimulai dari pukul 00:00. -
0 18 * * *: Memeriksa setiap hari pukul 18:00. -
0 0 1 * *: Memeriksa setiap tanggal 1 bulan pukul 00:00.
Sintaks ekspresi Cron: Cron jobs.
-
Query statistics
Klik kotak input untuk membuka dialog Query statistics dan konfigurasikan pernyataan kueri dan analisis.
-
Tab Associated report: Pilih dasbor untuk dipantau.
-
Tab Advanced Settings:
-
Dari daftar Type, pilih tipe sumber data:
-
Logstore: Menyimpan log. Panduan cepat kueri dan analisis.
-
Metricstore: Menyimpan data metrik. Kueri dan analisis data metrik.
-
Resource Data: Data eksternal yang ditautkan ke aturan peringatan tertentu. Buat data resource.
-
-
Jika Anda memilih Logstore atau Metricstore untuk Type dan menentukan pernyataan kueri dan analisis, Anda dapat mengaktifkan Dedicated SQL. Kueri dan analisis berperforma tinggi dan akurat (Dedicated SQL).
-
Auto: Dedicated SQL dimatikan secara default. Jika batas konkurensi tercapai atau hasil tidak akurat, SLS secara otomatis mencoba ulang dengan Dedicated SQL.
-
Enable: Menggunakan Dedicated SQL untuk semua kueri dan analisis.
-
Close: Menonaktifkan Dedicated SQL.
-
-
Untuk beberapa kueri, gunakan Set operations untuk mengorelasikan hasil. Konfigurasikan pernyataan kueri.
Group evaluation
Mengelompokkan hasil kueri dan analisis. Konfigurasikan evaluasi berkelompok.
-
Custom label: SLS mengelompokkan hasil kueri dan analisis berdasarkan bidang yang Anda tentukan. Kondisi pemicu dievaluasi per kelompok, menghasilkan satu peringatan untuk setiap kelompok yang sesuai per interval pemeriksaan.
Anda dapat menentukan beberapa bidang.
-
No grouping: Menghasilkan satu peringatan per interval pemeriksaan jika kondisi pemicu terpenuhi.
-
Auto label: Tersedia saat Metricstore dipilih di Query statistics. SLS secara otomatis mengelompokkan hasil berdasarkan label.
Kondisi pemicu dievaluasi per kelompok, menghasilkan satu peringatan untuk setiap kelompok yang sesuai per interval pemeriksaan.
Trigger Condition
Tentukan kondisi yang memicu peringatan dan tingkat keparahannya.
-
Kondisi pemicu
-
Data exists: Memicu peringatan jika hasil kueri berisi data.
-
A specific number of data rows exists: Memicu peringatan jika jumlah baris data dalam hasil kueri adalah N.
-
Data matches expression: Memicu peringatan jika hasil kueri berisi data yang sesuai dengan ekspresi.
-
A specific number of data rows match expression: Memicu peringatan jika N baris data dalam hasil kueri sesuai dengan ekspresi.
-
-
Tingkat keparahan
Mengatur pengurangan kebisingan peringatan dan perutean notifikasi. Tambahkan kondisi berbasis tingkat keparahan ke kebijakan peringatan dan aksi. Konfigurasikan tingkat keparahan peringatan.
-
Sederhana: Pilih satu tingkat keparahan. Semua peringatan dari aturan ini memiliki tingkat keparahan yang sama.
-
Bersyarat: Klik Add untuk menetapkan tingkat keparahan berbeda berdasarkan kondisi tertentu.
-
Sintaks ekspresi kondisi peringatan: Sintaks ekspresi kondisi peringatan.
Add Tag
Atribut identifikasi berupa pasangan kunci-nilai untuk peringatan. Label mengatur pengurangan kebisingan dan perutean notifikasi. Tambahkan kondisi berbasis label ke kebijakan peringatan dan aksi. Tambahkan label dan anotasi.
Add Annotation
Metadata berupa pasangan kunci-nilai untuk peringatan. Anotasi mengatur pengurangan kebisingan dan perutean notifikasi. Tambahkan kondisi berbasis anotasi ke kebijakan peringatan dan aksi. Tambahkan label dan anotasi.
Aktifkan Auto-add annotations untuk menyertakan bidang seperti __count__ ke dalam peringatan. Anotasi otomatis.
Recovery Notification
Saat sakelar Recovery Notification diaktifkan, notifikasi pemulihan dikirimkan saat peringatan terselesaikan. Misalnya, jika penggunaan CPU melebihi 95% lalu turun menjadi 95% atau di bawahnya, notifikasi pemulihan dikirimkan. Konfigurasikan notifikasi pemulihan.
Advanced settings > Consecutive trigger threshold
Jumlah pemeriksaan berturut-turut yang harus memenuhi kondisi pemicu sebelum peringatan dikirimkan. Pemeriksaan yang tidak sesuai tidak dihitung.
Advanced settings > No-data alert
Saat No-data alert diaktifkan, peringatan dikirimkan jika pemeriksaan tanpa data berturut-turut melebihi Threshold of Continuous Triggers. Untuk beberapa kueri, ini berlaku pada hasil setelah operasi himpunan. Peringatan tanpa data.
Destination
Pilih satu atau beberapa tujuan untuk event peringatan.
-
Eventstores: Menulis event peringatan ke Eventstore.
-
CloudMonitor Event Center: Mengirimkan peringatan ke CloudMonitor Event Center untuk manajemen dan notifikasi.
-
SLS notification: Merutekan peringatan melalui layanan notifikasi SLS menggunakan kebijakan peringatan dan aksi.
Destination - Eventstore
-
Enable: Aktifkan untuk menulis peringatan ke Eventstore tujuan.
-
Region: Wilayah Eventstore tujuan.
-
Project: Proyek Eventstore tujuan.
-
Eventstores: Eventstore target untuk event peringatan.
-
Authorization Method:
-
Default Role: Klik Authorize Now untuk memberikan otorisasi kepada AliyunLogETLRole agar dapat menulis peringatan ke Eventstore tujuan. Berikan izin ke role default.
-
Custom Role: Menggunakan role kustom untuk menulis peringatan ke Eventstore. Masukkan ARN role tersebut. Berikan izin ke role kustom.
-
Destination - CloudMonitor Event Center
-
Enable: Aktifkan untuk mengirimkan peringatan ke CloudMonitor Event Center. Lihat event sistem.
Destination - SLS notification
-
Enable: Aktifkan untuk merutekan peringatan melalui layanan notifikasi SLS.
-
Alert Policy
Mode sederhana
-
SLS menggunakan kebijakan peringatan dinamis bawaan (sls.builtin.dynamic) secara default.
-
Konfigurasikan kelompok aksi.
Setelah Anda mengonfigurasi kelompok aksi, SLS secara otomatis membuat kebijakan aksi bernama
Nama Aturan-Kebijakan Aksi. Semua peringatan dari aturan ini menggunakan kebijakan ini. Saluran notifikasi.PentingUbah kebijakan aksi ini di halaman Kebijakan aksi. Menambahkan kondisi akan mengubah pengaturan Alert Policy menjadi Standard Mode secara otomatis.
-
Repeat interval: Selama interval ini, peringatan berulang hanya memicu kebijakan aksi satu kali.
Mode standar
-
SLS menggunakan kebijakan peringatan dinamis bawaan (sls.builtin.dynamic) secara default.
-
Pilih kebijakan aksi bawaan atau kustom. Kebijakan aksi.
-
Repeat interval: Selama interval ini, peringatan berulang hanya memicu kebijakan aksi satu kali.
Mode lanjutan
-
Pilih kebijakan peringatan bawaan atau kustom. Buat kebijakan peringatan.
-
Pilih kebijakan aksi bawaan atau kustom. Kebijakan aksi. Anda juga dapat mengaktifkan Custom action policy. Mekanisme kebijakan aksi dinamis.
-
Repeat interval: Selama interval ini, peringatan berulang hanya memicu kebijakan aksi satu kali.
-
-
Setelah konfigurasi selesai, klik OK.
Contoh konfigurasi
Penurunan Trafik ke Nol
Skema: Trafik pemasukan log ke Agentic SOC tiba-tiba turun menjadi 0.
Solusi: Setiap 10 menit, sistem memeriksa volume log selama periode 10 menit sebelumnya. Jika volumenya 0, pelaporan data dianggap terputus dan peringatan dipicu. Peringatan dikirimkan melalui pesan teks, dengan periode tenang 10 menit untuk menghindari notifikasi duplikat.
Konfigurasi:
Check Frequency: Interval tetap 10 menit.
Query Statistics: Klik Create. Di dialog Query Statistics, klik tab Advanced Settings dan tentukan parameter berikut:
Type: Logstore
Authorization: Default.
Logstore:
metering-logDedicated SQL: Nonaktifkan.
Time Range: 10 menit (relatif terhadap jam). SQL kuerinya sebagai berikut:
* and type: log_traffic | select if(t.log_size is null, 0, t.log_size) from (select sum(log_size) log_size from log) t
Group Evaluation: No Grouping.
Trigger Condition:
Data matches condition. Evaluation Expression-nya adalah_col0<=0.Destination: Pilih Simple Log Service Notification dan aktifkan sakelar.
Alert Policy:
Mode: Mode sederhana.
Action Group:
Notification Method: Pesan teks. Untuk informasi lebih lanjut tentang konfigurasi saluran lainnya, lihat Saluran notifikasi.
Recipient Type: Penerima statis.
CatatanUntuk informasi lebih lanjut tentang cara menetapkan penerima dinamis, lihat Tetapkan penerima dinamis
Alert Template: Templat konten bawaan SLS.
Period: Any.
Repeat Interval: 10 menit.

Anomali pemasukan
Skenario: Status sumber data di Pusat Integrasi tidak normal.
Solusi: Setiap 15 menit, sistem memeriksa Logstore Module Health untuk log yang memiliki nilai
statusbukannormal. Peringatan dipicu jika ditemukan log semacam itu.Konfigurasi:
Check Frequency: Interval tetap 15 menit.
Query Statistics: Klik Create. Di dialog Query Statistics, klik tab Advanced Settings dan tentukan parameter berikut:
Type: Logstore
Authorization: Default.
Logstore:
health-logDedicated SQL: Nonaktifkan.
Time Range: 15 menit (relatif terhadap jam). SQL kuerinya sebagai berikut:
* and type: data_ingestion_health | select count(*) count from log where status != 'normal'

Trigger Condition:
Data matches condition. Evaluation Expression-nya adalahcount>0.Destination: Pilih SLS Notification dan aktifkan sakelar.
Alert Policy:
Mode: Mode sederhana.
Action Group:
Notification Method: Pesan teks. Untuk informasi lebih lanjut tentang konfigurasi saluran lainnya, lihat Saluran notifikasi.
Recipient Type: Penerima Statis.
CatatanUntuk informasi lebih lanjut tentang cara menetapkan penerima dinamis, lihat Tetapkan penerima dinamis
Alert Template: Templat konten bawaan SLS.
Period: Any.
Repeat Interval: 15 menit.

Biaya dan risiko
Biaya: Setelah Anda mengaktifkan Cloud Observability, log pemantauan terus-menerus dikirimkan ke SLS. Biaya penyimpanan log dan analisis kueri ditagih oleh SLS. Periode retensi data default adalah 30 hari.
Risiko: Wilayah penyimpanan log tidak dapat diubah setelah pengaturan awal. Pilih wilayah dengan cermat, karena pemilihan yang salah dapat meningkatkan latensi tautan data dan kompleksitas manajemen.