Настройка дашбордов и алертов в Yandex Monitoring

Из руководства вы узнаете, как отслеживать состояние трейлов с помощью дашбордов и алертов Yandex Monitoring.

Руководство предполагает, что у вас уже развернута инфраструктура:

• Есть ресурсы Yandex Cloud, для которых вы собираете события безопасности.
• Создан трейл Audit Trails для сбора событий.
• Настроен приемник для хранения и управления событиями: бакет или лог-группа

Чтобы начать отслеживать статус трейлов:

• Настройте алерты.
• Настройте дашборд.

Если ресурсы вам больше не нужны, удалите их.

Настройте алертыНастройте алерты

Создайте канал уведомленийСоздайте канал уведомлений

Чтобы получать уведомления о срабатывании алерта:

1. В консоли управления перейдите в каталог, в котором хотите создать канал уведомлений.
2. Выберите сервис Monitoring.
3. На панели слева выберите Каналы уведомлений.
4. В правом верхнем углу нажмите кнопку Создать канал.
5. Укажите параметры канала:
   • В поле Имя укажите alerts-channel.
   • В поле Метод укажите метод уведомлений.
   • В поле Получатели перечислите получателей уведомлений.
6. Нажмите кнопку Создать.

Канал появится в списке.

Добавьте алертыДобавьте алерты

Вы можете настроить один или несколько алертов.

Более подробная информация о порядке создания алерта и о параметрах алерта приведена в документации Yandex Monitoring.

Переход трейла в неактивное состояниеПереход трейла в неактивное состояние

Алерт отправит уведомление о том, что трейл переходит в неактивный статус.

1. В консоли управления перейдите в каталог, в котором хотите создать алерт.
2. Выберите сервис Monitoring.
3. На панели слева выберите Алерты.
4. В правом верхнем углу нажмите кнопку Создать алерт.
5. В поле Название укажите deactivating-trail-alert.
6. В блоке Метрики справа от имени каталога нажмите и укажите:
   1. service = Audit Trails.
   2. name = trail.status.
   3. status != ACTIVE.
   4. trail = <имя_трейла>.
7. В блоке Настройки алерта укажите:
   1. Условие срабатывания — Не равно.
   2. Alarm — 0.
8. В блоке Каналы уведомлений нажмите кнопку Добавить канал и выберите канал уведомления, созданный ранее.
9. Нажмите кнопку Создать алерт.

Алерт создан.

Прекращение доставки аудитных логов в объект назначенияПрекращение доставки аудитных логов в объект назначения

Алерт отправит уведомление о том, что трейл прекратил загружать аудитные логи в объект назначения, например, по причине нехватки свободного места в бакете.

Параметр Окно вычисления зависит от конкретного трейла. В зависимости от типа и количества ресурсов в блоке сбора аудитных логов трейла, частота загрузки аудитных логов в объект назначения будет варьироваться.

1. В консоли управления перейдите в каталог, в котором хотите создать алерт.
2. Выберите сервис Monitoring.
3. На панели слева выберите Алерты.
4. В правом верхнем углу нажмите кнопку Создать алерт.
5. В поле Название укажите stopping-logs-alert.
6. В блоке Метрики справа от имени каталога нажмите и укажите:
   1. service = Audit Trails.
   2. name = trail.delivered_events_count.
   3. trail = <имя_трейла>.
7. В блоке Настройки алерта укажите:
   1. Условие срабатывания — Равно.
   2. Alarm — 0.
   3. Окно вычисления — <значение_для_трейла>.
8. В блоке Каналы уведомлений нажмите кнопку Добавить канал и выберите канал уведомления, созданный ранее.
9. Нажмите кнопку Создать алерт.

Алерт создан.

Изменение числа трейловИзменение числа трейлов

Алерт отправит уведомление о том, что число трейлов в облаке изменилось.

1. В консоли управления перейдите в каталог, в котором хотите создать алерт.
2. Выберите сервис Monitoring.
3. На панели слева выберите Алерты.
4. В правом верхнем углу нажмите кнопку Создать алерт.
5. В поле Название укажите number-trails-alert.
6. В блоке Метрики справа от имени каталога нажмите и укажите:
   1. service = Audit Trails.
   2. name = quota.trails_count.usage.
7. В блоке Настройки алерта укажите:
   1. Условие срабатывания — Не равно.
   2. Alarm — <количество_трейлов>.
8. В блоке Каналы уведомлений нажмите кнопку Добавить канал и выберите канал уведомления, созданный ранее.
9. Нажмите кнопку Создать алерт.

Израсходование квоты трейлов на облакоИзрасходование квоты трейлов на облако

Алерт отправит уведомление о том, что квота на количество трейлов в облаке израсходована более чем на 80%.

1. В консоли управления перейдите в каталог, в котором хотите создать алерт.
2. Выберите сервис Monitoring.
3. На панели слева выберите Алерты.
4. В правом верхнем углу нажмите кнопку Создать алерт.
5. В поле Название укажите trail-quota-alert.
6. В блоке Метрики справа от имени каталога нажмите и укажите:
   1. service = Audit Trails.
   2. name = quota.trails_count.usage.
7. В блоке Настройки алерта укажите:
   1. Условие срабатывания — Больше.
   2. Alarm — <число_равное_80%_от_квоты>.
8. В блоке Каналы уведомлений нажмите кнопку Добавить канал и выберите канал уведомления, созданный ранее.
9. Нажмите кнопку Создать алерт.

Попытки неавторизованного доступаПопытки неавторизованного доступа

Алерт отправит уведомление о том, что к одному из ресурсов трейла был отправлен неавторизованный запрос.

1. В консоли управления перейдите в каталог, в котором хотите создать алерт.
2. Выберите сервис Monitoring.
3. На панели слева выберите Алерты.
4. В правом верхнем углу нажмите кнопку Создать алерт.
5. В поле Название укажите unauthorized-access-alert.
6. В блоке Метрики справа от имени каталога нажмите и укажите:
   1. service = Audit Trails.
   2. name = trail.unauthorized_events_count.
7. В блоке Настройки алерта укажите:
   1. Условие срабатывания — Больше.
   2. Alarm — 0.
8. В блоке Каналы уведомлений нажмите кнопку Добавить канал и выберите канал уведомления, созданный ранее.
9. Нажмите кнопку Создать алерт.

Настройте дашбордНастройте дашборд

Создайте дашбордСоздайте дашборд

Создайте график для отслеживания пропущенных событийСоздайте график для отслеживания пропущенных событий

Вы можете отслеживать пропущенные события по метрикам Audit Trails:

• trail.processed_events_count — частота, с которой события принимаются в обработку.
• trail.delivered_events_count — частота, с которой события доставляются в объект назначения.

Скопируйте готовый график для отслеживания пропущенных событий на ваш дашборд:

1. Откройте дашборд трейла в Monitoring:

   Консоль управления

   1. В консоли управления выберите сервис Audit Trails.

   2. На панели слева выберите Трейлы.

   3. Выберите нужный трейл.

   4. Перейдите на панель Мониторинг для выбранного трейла.

   5. Справа вверху нажмите Открыть в Monitoring.

      Откроется интерфейс Monitoring.

2. Скопируйте график:

   Интерфейс Monitoring

   1. Найдите график Processed versus delivered events.

   2. Справа от названия графика нажмите → Копировать на другой дашборд.

   3. Укажите название, например Processed versus delivered events — <имя_трейла>.

   4. Выберите облако, каталог и укажите дашборд, который вы создали ранее.

   5. Нажмите Копировать и перейти к дашборду.

      Откроется ваш дашборд с новым графиком на нем.

При необходимости аналогичным способом добавьте на дашборд графики из других трейлов.

Изучите график для отслеживания пропущенных событийИзучите график для отслеживания пропущенных событий

Обратите внимание на отставание Delivered events от Processed events. В норме могут встречаться кратковременные провалы с последующими всплесками. Если сохраняется устойчивое отставание в 1 час и более, проверьте статус и лог диагностики трейла.

Узнайте статус трейлаУзнайте статус трейла

Статус Active при устойчивом отставании Delivered events от Processed events означает, что трейл работает нормально, но по каким-то причинам данные поступают в объект назначения с задержкой. В этом случае проверьте статус и логи объекта назначения:

• Получение информации о бакете и статистики бакета
• Получение информации о лог-группе

Статус Error сообщает об ошибке в работе трейла. В этом случае изучите лог диагностики трейла.

Изучите лог диагностики трейлаИзучите лог диагностики трейла

Создайте график для объекта назначенияСоздайте график для объекта назначения

Дополнительно к графику для отслеживания пропущенных событий можно добавить график для объекта назначения:

• Object Storage

  Пропуск событий может быть связан с исчерпанием места, доступного для хранения логов. Это может произойти, если трейл отправляет логи в бакет с ограниченным размером. Чтобы отслеживать доступное место в бакете, создайте график по метрике space_usage и добавьте метрику max-size в качестве порогового значения.

  Метрика max-size недоступна, если у бакета не задан максимальный размер. В таком случае необходимо самостоятельно контролировать исчерпание квоты на объем хранилища в одном облаке.

• Cloud Logging

  Добавьте на дашборд график по метрике group.service.ingested_records_per_second — она отображает реальную скорость записи логов в лог-группу. Сравнение этой величины с установленной квотой Максимальная скорость записи помогает определить, не достигает ли поток логов максимально разрешенной скорости. Дополнительный график по метрике group.service.ingest_requests_per_second со статусом ERROR позволит вовремя обнаружить ошибки при записи.

Как удалить созданные ресурсыКак удалить созданные ресурсы

• Удалите алерты
• Удалите дашборд