Splunk Observability Cloudを使用してSplunkプラットフォームにアラート通知を送信する 🔗
条件によってディテクターがトリガーされたとき、および解除条件によってアラート条件が解除されたときにSplunkプラットフォームにアラート通知を自動送信するように、Splunk Observability Cloudを設定できます。
注釈
ディテクターのアラート受信者としてSplunkプラットフォームを追加するには、管理者アクセス権限が必要です。このアクセス権を得るには、既存の管理者があなたのユーザープロファイルに権限を追加する必要があります。詳細は、Splunk Observability Cloudでユーザーを作成および管理する を参照してください。
Splunk Observability Cloudのアラート通知をSplunkプラットフォームに送信するには、以下の設定タスクを実行します:
ステップ1:Splunk Observability CloudでSplunkプラットフォームインテグレーションを作成する
ステップ2:Splunk Observability Cloudのディテクターのアラート受信者としてSplunkプラットフォームインテグレーションを追加する
ステップ1:Splunk Observability CloudでSplunkプラットフォームインテグレーションを作成する 🔗
Splunk Observability Cloudにログインします。
Splunkプラットフォームガイド付きセットアップ を開きます。以下の方法で、ガイド付きセットアップに自分で移動することもできます:
ナビゲーションメニューで、 を選択します。
Available integrations タブに移動するか、Add Integration タブで Deployed integrations を選択します。
インテグレーションのフィルターメニューで、All を選択します。
Search フィールドで Splunk platform を検索し、選択します。
新規インテグレーション を選択すると、設定オプションが表示されます。
概要 ページで、Next を選択します。
接続の設定 ページで、以下のフィールドに情報を入力します:
フィールド
説明
名前
インテグレーションに一意の記述名を付けます。この名前がダウンストリームでどのように使用されるかについては、インテグレーションの命名について を参照してください。
URL
SplunkプラットフォームインスタンスのHTTP Event Collector(HEC)のURI を入力します。URIのポート番号より後の部分は含めないでください。例えば、
<protocol>://http-inputs-<host>.splunkcloud.com:<port>のようなHEC URIを入力します。詳細については、Splunk Cloud Platformのドキュメント の「 HTTP Event Collectorへのデータ送信 」セクションを参照してください。HECトークン
Splunkプラットフォームインスタンスへのアクセスを許可するためのHTTP Event Collectorトークンを入力します。詳細は、Splunk Webで HTTP Event Collectorの設定と使用 を参照してください。
注釈
Splunk Observability Cloudは、HECインデクサー確認応答に対応していません。Splunkプラットフォームインテグレーションを使用する場合は、Splunk EnterpriseインスタンスでHECトークンのインデクサー確認応答をアクティブ化しないでください。
Next を選択します。
メッセージのカスタマイズ ページでは、Splunkプラットフォームインテグレーションのデフォルトテンプレートが表示されます。ペイロードをカスタマイズすることで、対応者が問題を解決するために必要なコンテキストを確保することができます。詳細は、Splunkプラットフォームインテグレーションのカスタムペイロードでサポートされる変数 を参照してください。
Next を選択します。
インテグレーションを確認し、Save を選択します。
ステップ2:Splunk Observability Cloudのディテクターのアラート受信者としてSplunkプラットフォームインテグレーションを追加する 🔗
Splunk Observability Cloudのディテクターのアラート受信者としてSplunkプラットフォームインテグレーションを追加するには、以下の手順に従います:
Splunkプラットフォームインテグレーションを使用してアラート通知を送信するように設定したいディテクターを作成または編集します。
ディテクターに関する作業の詳細は、アラートをトリガーするディテクターを作成する および 「ディテクター」メニューを使用してアラートの受信登録をする を参照してください。
アラート受信者 のステップで、受信者の追加 を選択します。
Splunkプラットフォーム を選択し、アラート通知の送信に使用するSplunkプラットフォームインテグレーションの名前を選択します。これは、ステップ1:Splunk Observability CloudでSplunkプラットフォームインテグレーションを作成する で作成したインテグレーション名です。
ディテクターをアクティブ化し、保存します。
Splunk Observability Cloudは、ディテクターがアラートをトリガーまたは解除したときに、Splunkプラットフォームにアラート通知を送信します。
Splunkプラットフォームインテグレーションのカスタムペイロードでサポートされる変数 🔗
以下の表は、カスタマイズする際の変数の全リストです。
注釈
説明で特に断りのない限り、すべての変数は文字列型です。
変数がオプションとなっている場合は、常に利用可能であるとは限らないという意味です。ペイロードを構築するために、現状で利用できないオプションの変数を使用した場合、Handlebarsはそれを空の文字列に変換します。
変数 |
説明 |
|---|---|
|
ディテクターの名前。 |
|
この特定のインシデントを選択するためのパラメータを含む、ディテクターのURL。 |
|
ディテクターのID。 |
|
(オプション)ディテクターのルールの説明。 |
|
入力MTS内のディメンションのマップ。 |
|
(オプション)アラートのプレビュー画像のURL。 |
|
このアラート通知の一意の識別子。 |
|
通知を送信したディテクターのバージョンの一意の識別子。 |
|
アラートをトリガーしたディテクタールールの名前。 |
|
Splunk Observability Cloudが決定するルールの重大度レベル。カスタムペイロードでこの変数を使用します。 |
|
このルール内に記述されたランブックのURL。 |
|
このルール内に記述されたヒント。 |
|
このルールの通知タイトル。 |
|
このルールの通知メッセージ。 |
|
(オプション)SignalFlow形式で記述された、メトリクスデータの基準とディテクタールールの検出基準。 |
|
(オプション)SignalFlow形式で記述された、このルールの明確なメトリクスデータと検出基準。 |
|
後方互換性のために保持される、インシデントのステータス。より詳細な情報には、
|
|
インシデントのステータスの新しい変数。
|
|
ISO 8601形式で記述された、イベントの発生時刻。 |
|
このルールに関係する入力のマップ。この変数は、配列型です。詳細は、inputs 配列 を参照してください。 |
|
このイベントのスキーマのバージョン。この値は常に |
|
アラートの発生元のSplunk Observability Cloud組織の組織ID。 |
|
アラートをトリガーしたメトリクスの名前。 |
|
以下のディメンションで定義されるアラートのソース。使用可能な最初のディメンション値が、アラートのソースとして設定されます。
|
inputs 配列 🔗
inputs 配列の各オブジェクトは、それを支配するプログラム変数の名前によって命名されます。支配するプログラム変数がないオブジェクトには、_S0 や _S1 などの名前が使用されます。
各入力オブジェクトには以下の要素が含まれます:
要素 |
説明 |
|---|---|
|
(オプション)入力シグナルのディメンションのマップ。ディメンションがない場合、この要素は空白になる可能性があります(例:入力が静的な値で、スカラー値との比較ではなかった場合)。 |
|
アラートのトリガー時または解除時の入力の値。 |
|
(オプション)これは、入力を表すSignalFlowプログラムのフラグメントです。一部のディテクター、あるいは静的な匿名の入力では、この要素は存在しない可能性があります。 |
ヘルパー関数 🔗
テンプレート変数を使用してペイロードをカスタマイズする以外に、以下のヘルパー関数を使用して、送信アラートに正しい値が設定されることを保証することもできます。
関数 |
説明 |
例 |
|---|---|---|
|
空でない最初の値を返します。この関数を使用して、 |
{{{coalesce dimensions.host dimensions.aws_arn ‘No ID Found!’}}}
この例では、
dimensions.host (存在する場合)をアラートに設定し、2つ目のオプションとして dimensions.aws_arn を設定し、ホストもAWS IDも存在しない場合は文字列 “No ID Found!” を設定します。 |
|
ステータス変数が
|
{{{severityDecoder ok='ok' Major='not_ok' default='empty'}}}この例は、デフォルトの戻り値をオーバーライドしてカスタマイズしています。
|
|
文字列内の引用符と改行文字をエスケープします。 |
|
|
指定された値が空のマップでない場合にのみ、ペイロードにテキストを追加します。この関数は、 |
この例は、ディメンションが空でない場合のみ表示されます:{{#notEmpty dimensions}}
{{/notEmpty}} |
|
文字列を生のJSON値に変換します。この関数を使用して、ディテクターからのテキストを、サードパーティのインテグレーションで評価できるJSONペイロードに変換します。 |
|
|
このシーケンスのサブシーケンスである新しい文字シーケンスを返します。このサブシーケンスは、指定したインデックスの文字で始まり、最後から2番目のインデックスの文字で終わります。 |
{{substring var 1}}{{substring var 1 3}} |
|
指定された文字数より長い場合に、文字列を切り詰めます。省略の最小幅は4です。 |
|
|
文字のターゲットシーケンスにマッチするこの文字列の各部分文字列を、指定された文字の置換シーケンスで置き換えます。 |
|
|
2つの要素が等しいかどうかをチェックします。 |
{{#eq a b}}yes{{else}}no{{/eq}}{{#eq a 2}}yes{{else}}no{{/eq}} |