云安全中心：自定义Agentic SOC服务可观测性监控告警

步骤一：启用云可观测性功能

首先，在Agentic SOC控制台启用云可观测性功能，以允许其将监控日志投递到日志服务（SLS）。

1. 进入云可观测性配置页面

   1. 访问云安全中心控制台-系统设置-功能设置，在页面左侧顶部，选择需防护资产所在的区域：中国内地或非中国内地。

   2. 在设置页签，单击云可观测性。

2. 启用开关

   在云可观测性配置页签的基础设置区域，打开启用云可观测性功能开关。

3. 配置日志存储信息

   在云可观测性配置页签的详细配置区域，完成如下配置：

   • 监控模块：根据业务要求打开需要投递的日志信息开关。

     • 模块健康：监控各功能模块的运行状态、连接情况和性能等信息。

     • 用量计量：监控日志接入流量和日志存储容量的用量情况。

   • 日志存储位置：

     • Region选择：首次设置需选择云可观测性日志存储的地域（Region）。

       警告

       日志存储的地域（Region）首次设置后不可更改。系统将在该 Region 下自动创建专属的 SLS Project 和 Logstore。

     • Project：系统将根据地域自动创建，格式为sas-observability-账号UID-地域ID。

     • Logstore映射：系统自动创建两个 Logstore。

       • health-log：用于存储模块健康日志。

       • metering-log：用于存储用量计量日志。

   • 数据保留天数：设置云可观测性数据在日志服务中的保留时间，默认30天，支持自定义修改。

     说明

     保留时间越长，存储成本越高。

4. 保存配置：单击保存配置。等待配置生效后，Agentic SOC 会开始向指定的 SLS Project 投递日志。

   重要

   云可观测性功能产生的日志存储会产生额外的费用，由日志服务（SLS）出账。

操作步骤

1. 在云可观测性页签，单击右下角告警中心，跳转至云可观测性日志Project的告警中心配置页面 。

2. 在告警规则页签，单击新建告警。配置项说明如下：

   说明

   更多说明，请参见创建告警监控规则。

   参数	说明
   规则名称	告警监控规则的名称。
   检查频率	日志服务根据您配置的频率对查询和分析结果进行检查。 每小时：每小时检查一次查询和分析结果。 每天：在每天的某个固定时间点检查一次查询和分析结果。 每周：在周几的某个固定时间点检查一次查询和分析结果。 固定间隔：按照固定间隔检查查询和分析结果。 Cron：通过Cron表达式指定时间间隔，按照指定的时间间隔检查查询和分析结果。 说明 Cron表达式在日志服务的告警规则里最小精度为分钟，格式为24小时制。例如： 0/5 * * * *从0分钟开始，每隔5分钟检查一次 0 0/1 * * *从0点0分开始，每隔1小时检查一次 0 18 * * *每天18点0分检查一次 0 0 1 * *每月1日0点0分检查一次 Cron表达式语法，可参见Cron定时任务。
   查询统计	单击输入框，在查询统计对话框中，设置查询和分析语句。 关联报表页签：选择监控仪表盘。 高级配置页签： 在类型列表选择： 日志库：用于存储日志，相关的查询分析配置请参见查询与分析快速指引。 指标库：用于存储时序数据，相关的查询分析配置请参见查询和分析时序数据。 资源数据：用于配置特定告警监控规则所关联的外部数据。更多信息，请参见创建资源数据。 选择类型为日志库或指标库，且设置了查询和分析语句时，您可以选择是否开启独享SQL。更多信息，请参见高性能完全精确查询与分析（SQL独享版）。 自动：默认不使用独享SQL。当遇到查询并发限制或者查询结果不精确时，自动尝试使用独享SQL再次查询。 启用：始终使用独享SQL进行查询和分析。 关闭：关闭独享SQL。 配置多个查询统计时，您可以指定集合操作关联多个查询结果。更多信息，请参见设置查询统计语句。
   分组评估	日志服务支持对查询和分析结果进行分组。更多信息，请参见设置分组评估。 标签自定义：日志服务根据您配置的字段对查询和分析结果进行分组。分组后，每个组单独评估触发条件。在每个检查周期内，查询和分析结果满足触发条件时，各个分组各自产生一条告警。 支持设置多个字段。 不分组：在每个检查周期内，满足触发条件时，只产生一条告警。 标签自动：当您在查询统计中选择指标库（即监控时序数据的查询和分析结果）时 ，日志服务支持标签自动分组。 分组后，每个组单独评估触发条件。在每个检查周期内，查询和分析结果满足触发条件时，各个分组各自产生一条告警。
   触发条件	配置触发条件及严重度。 触发条件 有数据：当查询和分析结果中存在数据时，触发告警。 有特定条数据：当查询和分析结果中存在N条数据时，触发告警。 有数据匹配：当查询和分析结果中存在数据满足告警表达式时，触发告警。 有特定条数据匹配：当查询和分析结果中存在N条数据满足告警表达式时，触发告警。 严重度 主要用于告警降噪控制和告警通知控制，即您在创建告警策略或行动策略时，可添加关于告警严重度的判断条件。更多信息，请参见设置告警严重度。 简单配置：直接选择告警严重度，则表示通过该规则产生的告警都为同一严重度。 分条件配置：单击添加，分条件设置告警严重度。 告警条件表达式的相关语法，请参见告警条件表达式语法。
   添加标签	日志服务允许您给产生的告警添加标识性属性，键值对格式。主要用于告警降噪控制和告警通知控制，即您在创建告警策略或行动策略时，可添加关于标签的判断条件。更多信息，请参见添加标签和标注。
   添加标注	日志服务允许您给产生的告警添加非标识性属性，键值对格式。主要用于告警降噪控制和告警通知控制，即您在创建告警策略或行动策略时，可添加关于标注的判断条件。更多信息，请参见添加标签和标注。 您还可以打开自动添加标注开关，系统自动在告警中添加__count__等信息。更多信息，请参见自动标注。
   恢复通知	打开恢复通知开关后，告警恢复时触发一条恢复告警。例如您创建了一个告警监控规则，用于监控各个主机的CPU指标，当CPU使用率超过95%时触发告警，主机CPU使用率下降为正常值（低于等于95%）后发送一条恢复通知。更多信息，请参见设置恢复通知。
   高级配置>连续触发阈值	连续多少次执行检查评估都满足触发条件时，才会触发一次告警。不满足触发条件时不计入统计。
   高级配置>无数据告警	打开无数据告警开关后，如果查询和分析的结果（有多个时，进行集合操作后的结果）为无数据的次数超过连续触发阈值，则产生一条告警。更多信息，请参见无数据告警。
   输出目标	输出目标用于配置告警事件的输出位置，可以配置一个或多个输出目标。 事件库：将告警事件写入到EventStore。 云监控事件中心：将告警事件写入到云监控系统事件中心，通过云监控对告警进行管理和通知。 SLS通知：将告警事件输出到SLS的通知服务，通过告警策略、行动策略等对告警进行管理和通知。
   输出目标-事件库	开启：打开事件库开启开关后，告警将写入到EventStore中。 地域：告警写入的EventStore所属地域。 Project：告警写入的EventStore所属项目。 事件库：告警写入的EventStore。 授权方式： 默认角色：单击前往授权，根据界面提示完成授权，并扮演阿里云系统角色AliyunLogETLRole将告警写入目标EventStore。具体操作，请参见默认角色授权。 自定义角色：扮演自定义角色将告警写入目标EventStore，填写角色ARN。具体操作，请参见自定义角色授权。
   输出目标-云监控事件中心	开启：打开云监控事件中心开启开关后，告警将发送到云监控事件中心。更多信息，请参见查看系统事件。
   输出目标-SLS通知	开启：打开SLS通知开关后，告警将发送到SLS通知服务进行后续的管理和通知。 告警策略 极简模式 日志服务默认使用SLS内置动态告警策略（sls.builtin.dynamic）进行告警管理。 配置行动组。 您配置行动组后，日志服务自动为您创建一个名为规则名称-行动策略的行动策略。由该告警监控规则触发的所有告警都通过该行动策略发送通知。如何配置，请参见通知渠道说明。 重要 您可以在行动策略管理页面，修改该行动策略。具体操作，请参见行动策略。如果您在修改行动策略时添加了判断条件，则此处的告警策略将自动变更为普通模式。 重复等待：在重复等待时间内，重复的告警只触发一次行动策略，即只发送一次告警通知。 普通模式 日志服务默认使用SLS内置动态告警策略（sls.builtin.dynamic）进行告警管理。 选择内置的或自定义的行动策略进行告警通知。如何创建行动策略，请参见行动策略。 重复等待：在重复等待时间内，重复的告警只触发一次行动策略，即只发送一次告警通知。 高级模式 选择内置的或自定义的告警策略进行告警管理。如何创建告警策略，请参见创建告警策略。 选择内置的或自定义的行动策略进行告警通知。如何创建行动策略，请参见行动策略。还可以开启或关闭自定义行动策略。更多信息，请参见动态行动策略机制。 重复等待：在重复等待时间内，重复的告警只触发一次行动策略，即只发送一次告警通知。

3. 配置完成后，单击确定。

配置示例