Topik ini menjelaskan cara menggunakan fitur cloud observability dari Agentic SOC dan Simple Log Service (SLS) untuk menyiapkan pemantauan dan peringatan otomatis terhadap metrik inti Agentic SOC, seperti kesehatan layanan dan penggunaan log, guna meningkatkan ketersediaan layanan serta efisiensi Operasi dan Pemeliharaan (O&M).
Scenarios
Agentic SOC adalah layanan keamanan inti yang stabilitas dan kesehatannya sangat penting. Selama O&M harian, Anda mungkin menghadapi masalah berikut:
Risiko ketersediaan layanan: Masalah seperti gangguan pada ingestion log Agentic SOC atau operasi abnormal modul inti mungkin tidak terdeteksi secara tepat waktu, sehingga dapat menurunkan atau menonaktifkan kemampuan analitik keamanan.
Kesulitan manajemen biaya: Jika traffic ingestion log melebihi ekspektasi, hal ini dapat menyebabkan biaya penyimpanan dan kueri tak terduga di SLS. Diperlukan pemantauan efektif dan peringatan dini.
Efisiensi O&M rendah: Kurangnya tampilan pemantauan terpadu dan mekanisme peringatan menghambat integrasi status operasional Agentic SOC ke dalam sistem O&M yang sudah ada.
Workflow
Solusi ini menggunakan fitur cloud observability Agentic SOC untuk mengirimkan log runtime ke SLS. Fitur alerting SLS kemudian digunakan untuk memantau log tersebut dan mengirimkan notifikasi.
Log generation: Modul-modul Agentic SOC, seperti usage metering dan kesehatan modul, menghasilkan log pemantauan saat runtime.
Log delivery: Setelah Anda mengaktifkan fitur cloud observability, Agentic SOC mengirimkan log pemantauan tersebut secara real time ke proyek SLS yang Anda tentukan.
Log storage: Log tersebut disimpan dalam Logstore SLS.
Alerting and monitoring: Anda dapat membuat aturan peringatan di SLS untuk secara berkala mengeksekusi pernyataan kueri (SQL). Sistem kemudian menentukan apakah kondisi pemicu terpenuhi berdasarkan hasil kueri tersebut.
Notification sending: Saat peringatan dipicu, notifikasi dikirimkan ke saluran yang ditentukan, seperti pesan teks, DingTalk, atau email, menggunakan kebijakan tindakan.
Steps
Step 1: Enable the cloud observability feature
Pertama, Anda perlu mengaktifkan fitur cloud observability di konsol Agentic SOC untuk mengirimkan log pemantauan ke Simple Log Service (SLS).
Go to the Cloud Observability configuration page
Buka Konsol Security Center > Pengaturan Sistem > Pengaturan Fitur, lalu di sudut kiri atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Pada tab Settings, klik Cloud Observability.
On/Off switch
Pada tab konfigurasi Cloud Observability, di area Basic Settings, aktifkan sakelar Enable Cloud Observability.
Configure log storage information
Pada area Detailed Configuration di tab konfigurasi Cloud Observability, konfigurasikan pengaturan berikut:
Monitoring Module: Aktifkan sakelar untuk log yang ingin Anda kirimkan.
Module Health: Memantau status operasional, status koneksi, dan performa setiap modul fungsional.
Usage Metering: Memantau penggunaan traffic ingestion log dan kapasitas penyimpanan log.
Log Storage Location:
Region: Saat penyiapan awal, Anda harus memilih wilayah untuk menyimpan log Cloud Observability.
PeringatanWilayah penyimpanan log tidak dapat diubah setelah konfigurasi awal. Sistem secara otomatis membuat Proyek SLS dan Logstore khusus di wilayah tersebut.
Project: Sistem secara otomatis membuat proyek berdasarkan wilayah. Formatnya adalah
sas-observability-AccountUID-RegionID.Logstore Mapping: Sistem secara otomatis membuat dua Logstore.
health-log: Menyimpan log Module Health.metering-log: Menyimpan log Usage Metering.
Data Retention Days: Tentukan periode retensi untuk data cloud observability di Simple Log Service. Nilai default adalah 30 hari. Anda dapat mengubah nilai ini sesuai kebutuhan.
CatatanPeriode retensi yang lebih lama mengakibatkan biaya penyimpanan yang lebih tinggi.
Save Configuration: Klik Save Configuration. Setelah konfigurasi disimpan, Agentic SOC mulai mengirimkan log ke Proyek SLS yang ditentukan.
PentingPenyimpanan log untuk fitur cloud observability dikenakan biaya tambahan, yang ditagih oleh SLS.
Step 2: Configure alert notification rules
Procedure
Pada tab Cloud Observability, klik Alert Center di pojok kanan bawah untuk menuju halaman konfigurasi Alert Center proyek Cloud Observability .
Pada tab Alert Rules, klik Create Alert. Parameter-parameter tersebut dijelaskan sebagai berikut:
CatatanUntuk informasi selengkapnya, lihat Buat aturan pemantauan peringatan.
Parameter
Description
Rule Name
Nama aturan peringatan.
Check Frequency
Simple Log Service memeriksa hasil kueri dan analisis sesuai frekuensi yang Anda konfigurasi.
Hourly: Memeriksa hasil kueri dan analisis setiap jam.
Daily: Memeriksa hasil kueri dan analisis pada waktu tetap setiap hari.
Weekly: Memeriksa hasil kueri dan analisis pada waktu tetap di hari tertentu setiap minggu.
Fixed Interval: Memeriksa hasil kueri dan analisis pada interval tetap.
Cron: Memeriksa hasil kueri dan analisis pada interval yang ditentukan oleh ekspresi cron.
CatatanPersis minimum untuk ekspresi cron dalam aturan peringatan adalah satu menit. Formatnya menggunakan sistem 24 jam. Contohnya:
0/5 * * * *: Memeriksa setiap 5 menit, dimulai dari menit ke-0.0 0/1 * * *: Memeriksa setiap jam, dimulai dari pukul 00:00.0 18 * * *: Memeriksa setiap hari pukul 18:00.0 0 1 * *: Memeriksa pada pukul 00:00 di hari pertama setiap bulan.
Untuk informasi selengkapnya tentang sintaks ekspresi cron, lihat Cron jobs.
Query Statistics
Klik kotak input. Di dialog box Query Statistics, konfigurasikan pernyataan kueri.
Tab Associated Report: Pilih dasbor.
Tab Advanced Configuration:
Dari daftar Type, pilih tipe data:
Logstore: menyimpan log. Untuk informasi selengkapnya tentang konfigurasi kueri dan analisis, lihat Get started with log query and analysis.
Metricstore: menyimpan metrik. Untuk informasi selengkapnya tentang konfigurasi kueri dan analisis, lihat Query and analyze metric data.
Resource Data: mengonfigurasi data eksternal yang dikaitkan dengan aturan peringatan. Untuk informasi selengkapnya, lihat Create resource data.
Jika Anda mengatur Type ke Logstore atau Metricstore dan menentukan pernyataan kueri, Anda dapat menentukan apakah akan mengaktifkan Dedicated SQL. Untuk informasi selengkapnya, lihat High-performance and fully accurate query and analysis (Dedicated SQL).
Auto: Dedicated SQL tidak digunakan secara default. Jika batas konkurensi kueri tercapai atau hasil kueri tidak akurat, Simple Log Service secara otomatis mencoba ulang kueri menggunakan Dedicated SQL.
Enable: Dedicated SQL selalu digunakan untuk kueri dan analisis.
Disable: Dedicated SQL dinonaktifkan.
Jika Anda mengonfigurasi beberapa pernyataan kueri, Anda dapat menentukan Set Operation untuk mengaitkan hasil kueri. Untuk informasi selengkapnya, lihat Configure query statements.
Group Evaluation
Simple Log Service dapat mengelompokkan hasil kueri dan analisis. Untuk informasi selengkapnya, lihat Configure group evaluation.
Custom Label: Simple Log Service mengelompokkan hasil kueri dan analisis berdasarkan bidang yang Anda tentukan. Setelah hasil dikelompokkan, kondisi pemicu dievaluasi untuk setiap kelompok. Dalam setiap siklus pemeriksaan, jika hasil dalam suatu kelompok memenuhi kondisi pemicu, peringatan dibuat untuk kelompok tersebut.
Anda dapat menentukan beberapa bidang.
No Grouping: Dalam setiap siklus pemeriksaan, hanya satu peringatan yang dibuat ketika kondisi pemicu terpenuhi.
Auto Label: Jika Anda memilih Metricstore di bagian Query Statistics untuk memantau hasil kueri dan analisis metrik, Simple Log Service secara otomatis mengelompokkan hasil tersebut.
Setelah hasil dikelompokkan, kondisi pemicu dievaluasi untuk setiap kelompok. Dalam setiap siklus pemeriksaan, jika hasil dalam suatu kelompok memenuhi kondisi pemicu, peringatan dibuat untuk kelompok tersebut.
Trigger Condition
Konfigurasikan kondisi pemicu dan tingkat keparahan peringatan.
Kondisi pemicu
Data exists: Peringatan dipicu jika data ada dalam hasil kueri dan analisis.
A specific number of data entries exists: Peringatan dipicu jika N entri data ada dalam hasil kueri dan analisis.
Data matches the expression: Peringatan dipicu jika data yang sesuai dengan ekspresi kondisional ada dalam hasil kueri dan analisis.
A specific number of data entries matches the expression: Peringatan dipicu jika N entri data yang sesuai dengan ekspresi kondisional ada dalam hasil kueri dan analisis.
Tingkat keparahan
Parameter ini terutama digunakan untuk penghilangan derau peringatan dan kontrol notifikasi. Anda dapat menambahkan kondisi berdasarkan tingkat keparahan peringatan saat membuat kebijakan peringatan atau kebijakan tindakan. Untuk informasi selengkapnya, lihat Set alert severity.
Konfigurasi sederhana: Pilih tingkat keparahan peringatan. Semua peringatan yang dihasilkan oleh aturan ini akan memiliki tingkat keparahan yang sama.
Konfigurasi kondisional: Klik Add untuk mengatur tingkat keparahan peringatan berdasarkan kondisi berbeda.
Untuk informasi selengkapnya tentang sintaks ekspresi kondisional, lihat Syntax of conditional expressions.
Add Label
Tambahkan atribut identifikasi ke peringatan yang dihasilkan dalam format pasangan kunci-nilai. Label terutama digunakan untuk penghilangan derau peringatan dan kontrol notifikasi. Anda dapat menambahkan kondisi berdasarkan label saat membuat kebijakan peringatan atau kebijakan tindakan. Untuk informasi selengkapnya, lihat Add labels and annotations.
Add Annotation
Tambahkan atribut non-identifikasi ke peringatan yang dihasilkan dalam format pasangan kunci-nilai. Anotasi terutama digunakan untuk penghilangan derau peringatan dan kontrol notifikasi. Anda dapat menambahkan kondisi berdasarkan anotasi saat membuat kebijakan peringatan atau kebijakan tindakan. Untuk informasi selengkapnya, lihat Add labels and annotations.
Anda juga dapat mengaktifkan sakelar Auto-add Annotations. Sistem kemudian secara otomatis menambahkan informasi seperti __count__ ke peringatan. Untuk informasi selengkapnya, lihat Automatic annotations.
Recovery Notifications
Jika Anda mengaktifkan sakelar Recovery Notifications, peringatan pemulihan dipicu ketika suatu peringatan terselesaikan. Misalnya, Anda membuat aturan peringatan untuk memantau metrik CPU setiap host. Peringatan dipicu jika penggunaan CPU melebihi 95%. Notifikasi pemulihan dikirimkan setelah penggunaan CPU turun ke nilai normal (kurang dari atau sama dengan 95%). Untuk informasi selengkapnya, lihat Set up recovery notifications.
Advanced Configuration > Continuous Trigger Threshold
Jumlah pemeriksaan berturut-turut di mana kondisi pemicu terpenuhi sebelum peringatan dibuat. Pemeriksaan di mana kondisi tidak terpenuhi tidak dihitung.
Advanced Configuration > No-data Alert
Jika Anda mengaktifkan sakelar No-data Alert, peringatan dibuat jika jumlah kali tidak ada data yang dikembalikan dalam hasil kueri dan analisis melebihi Continuous Trigger Threshold. Jika digunakan beberapa pernyataan kueri, perhitungan didasarkan pada hasil operasi himpunan. Untuk informasi selengkapnya, lihat No-data alerts.
Outputs
Konfigurasikan tujuan pengiriman event peringatan. Anda dapat mengonfigurasi satu atau beberapa output.
Event Store: Menulis event peringatan ke eventstore.
CloudMonitor Event Center: Menulis event peringatan ke Event Center CloudMonitor. Anda kemudian dapat menggunakan CloudMonitor untuk mengelola peringatan dan mengirimkan notifikasi.
SLS Notification: Mengirimkan event peringatan ke layanan notifikasi SLS. Anda kemudian dapat menggunakan kebijakan peringatan dan kebijakan tindakan untuk mengelola peringatan dan mengirimkan notifikasi.
Outputs - EventStore
Enable: Jika Anda mengaktifkan sakelar ini, peringatan ditulis ke EventStore yang ditentukan.
Region: Wilayah tempat EventStore tujuan berada.
Project: Proyek tempat EventStore tujuan berada.
Event Store: Eventstore yang menyimpan peringatan.
Authorization Method:
Default Role: Klik Go to Authorize dan selesaikan otorisasi sesuai petunjuk. Ini memberikan izin peran sistem AliyunLogETLRole kepada Simple Log Service untuk menulis peringatan ke EventStore tujuan. Untuk informasi selengkapnya, lihat Grant permissions using a default role.
Custom Role: Asumsikan peran kustom untuk menulis peringatan ke EventStore tujuan. Masukkan Nama Sumber Daya Alibaba Cloud (ARN) dari peran tersebut. Untuk informasi selengkapnya, lihat Grant permissions using a custom role.
Outputs - CloudMonitor Event Center
Enable: Jika Anda mengaktifkan sakelar ini, peringatan dikirimkan ke Event Center CloudMonitor. Untuk informasi selengkapnya, lihat View system events.
Outputs - SLS Notification
Enable: Jika Anda mengaktifkan sakelar ini, peringatan dikirimkan ke layanan notifikasi SLS untuk dikelola dan dikirimkan notifikasinya.
Alert Policy
Simple Mode
Simple Log Service secara default menggunakan kebijakan peringatan dinamis bawaan (sls.builtin.dynamic) untuk mengelola peringatan.
Konfigurasikan kelompok tindakan.
Setelah Anda mengonfigurasi kelompok tindakan, Simple Log Service secara otomatis membuat kebijakan tindakan bernama
Rule Name-Action Policy. Semua peringatan yang dipicu oleh aturan peringatan ini menggunakan kebijakan tindakan ini untuk mengirimkan notifikasi. Untuk informasi selengkapnya tentang cara mengonfigurasi kelompok tindakan, lihat Notification channels.PentingAnda dapat memodifikasi kebijakan tindakan ini di halaman Action Policies. Untuk informasi selengkapnya, lihat Action policies. Jika Anda menambahkan ekspresi kondisional saat memodifikasi kebijakan tindakan, mode Alert Policy secara otomatis berubah menjadi Standard Mode.
Repeat Interval: Dalam interval ini, peringatan duplikat hanya memicu kebijakan tindakan sekali. Artinya, hanya satu notifikasi peringatan yang dikirimkan.
Standard Mode
Simple Log Service secara default menggunakan kebijakan peringatan dinamis bawaan (sls.builtin.dynamic) untuk mengelola peringatan.
Pilih kebijakan tindakan bawaan atau kustom untuk mengirimkan notifikasi peringatan. Untuk informasi selengkapnya tentang cara membuat kebijakan tindakan, lihat Action policies.
Repeat Interval: Dalam interval ini, peringatan duplikat hanya memicu kebijakan tindakan sekali. Artinya, hanya satu notifikasi peringatan yang dikirimkan.
Advanced Mode
Pilih kebijakan peringatan bawaan atau kustom untuk mengelola peringatan. Untuk informasi selengkapnya tentang cara membuat kebijakan peringatan, lihat Create an alert policy.
Pilih kebijakan tindakan bawaan atau kustom untuk mengirimkan notifikasi peringatan. Untuk informasi selengkapnya tentang cara membuat kebijakan tindakan, lihat Action policies. Anda juga dapat mengaktifkan atau menonaktifkan Custom Action Policy. Untuk informasi selengkapnya, lihat Dynamic action policy mechanism.
Repeat Interval: Dalam interval ini, peringatan duplikat hanya memicu kebijakan tindakan sekali. Artinya, hanya satu notifikasi peringatan yang dikirimkan.
Setelah menyelesaikan konfigurasi, klik OK.
Configuration examples
Traffic drop to zero
Scenario: Traffic ingestion log tiba-tiba turun ke 0, dan tidak ada lagi data yang ditulis ke Agentic SOC.
Solution: Sistem memeriksa volume log 10 menit terakhir setiap 10 menit. Jika volume log adalah 0, sistem menentukan bahwa pelaporan data terganggu dan memicu peringatan. Peringatan dikirimkan ke penerima yang ditentukan melalui pesan teks. Periode tenang 10 menit ditetapkan untuk memastikan deteksi dan respons cepat terhadap anomali tautan data.
Configuration parameters:
Check Frequency: Fixed Interval 10 menit.
Query Statistics: Klik Add. Pada tab Advanced Configuration di dialog box Query Statistics, gunakan konfigurasi berikut:
Type: Logstore
Authorization Method: Default.
Logstore:
metering-logDedicated SQL: Disable.
Query Interval: 10 menit (relatif terhadap jam). SQL kueri adalah sebagai berikut:
* and type: log_traffic | select if(t.log_size is null, 0, t.log_size) from (select sum(log_size) log_size from log) t
Evaluation by Group: No Grouping.
Trigger Condition:
Data matches condition. Evaluation Expression adalah_col0<=0.Output Target: Pilih SLS Notification dan aktifkan sakelar.
Alert Policy:
Mode: Simple Mode.
Action Group:
Channel: Text Message. Untuk informasi tentang cara mengonfigurasi saluran lain, lihat Notification channel overview.
Recipient Type: Static Recipient.
Content Template: Templat konten bawaan SLS.
Sending Period: Any.
CatatanUntuk mengatur penerima dinamis, lihat Set a dynamic recipient
Retry Interval: 10 menit.
Access issues
Scenario: Status akses sumber data di Integration Center tidak normal.
Configuration: Logstore untuk Module Health diperiksa setiap 15 menit. Peringatan dipicu jika berisi data di mana nilai
statustidak sama dengannormal.Configuration items:
Check Frequency: Fixed Interval 15 menit.
Query Statistics: Klik Add. Pada tab Advanced Configuration di dialog box Query Statistics, gunakan konfigurasi berikut:
Type: Logstore
Authorization Method: Default.
Logstore:
health-logDedicated SQL: Disable.
Query Interval: 15 menit (relatif terhadap jam). SQL kueri adalah sebagai berikut:
* and type: data_ingestion_health | select count(*) count from log where status != 'normal'
Trigger Condition:
Data matches condition. Evaluation Expression adalahcount>0.Output Target: Pilih SLS Notification dan aktifkan sakelar.
Alert Policy:
Mode: Simple Mode.
Action Group:
Channel: Text Message. Untuk informasi tentang cara mengonfigurasi saluran lain, lihat Notification channel overview.
Recipient Type: Static Recipient.
Content Template: Templat konten bawaan SLS.
Sending Period: Any.
CatatanUntuk mengatur penerima dinamis, lihat Set a dynamic recipient
Retry Interval: 15 menit.
Costs and risks
Cost description: Setelah Anda mengaktifkan fitur Cloud Observability, log pemantauan terus-menerus dikirimkan ke Simple Log Service (SLS), sehingga menimbulkan biaya untuk penyimpanan log (dengan periode retensi default 30 hari) serta kueri dan analisis. Biaya ini ditagih oleh SLS.
Key risk: Wilayah penyimpanan log tidak dapat diubah di konsol setelah konfigurasi awal. Oleh karena itu, pilih wilayah dengan cermat saat konfigurasi awal. Pemilihan wilayah yang salah dapat meningkatkan latensi tautan data dan kompleksitas manajemen.