Docs » Send alert notifications to services using Splunk Observability Cloud » Send alert notifications to Splunk platform using Splunk Observability Cloud

Edit this page
Learn how

---

Send alert notifications to Splunk platform using Splunk Observability Cloud

You can configure Splunk Observability Cloud to automatically send alert notifications to Splunk platform when a condition triggers the detector and when a clear condition clears the alert.

注釈

• To add Splunk platform as a detector alert recipient, you must have administrator access. To get this access, an existing administrator adds it to your user profile. See Splunk Observability Cloudでユーザーを作成および管理する for more information.

To send Splunk Observability Cloud alert notifications to Splunk platform, complete the following configuration tasks:

• Step 1: Create a Splunk platform integration in Splunk Observability Cloud

• Step 2: Add a Splunk platform integration as a detector alert recipient in Observability Cloud

Step 1: Create a Splunk platform integration in Splunk Observability Cloud

1. Splunk Observability Cloudにログインします。

2. Open the Splunk platform guided setup . Alternatively, you can navigate to the guided setup on your own:

   1. ナビゲーションメニューで、Data Management を選択します。

   2. Available integrations タブに移動するか、Deployed integrations タブで Add Integration を選択します。

   3. インテグレーションのフィルターメニューで、All を選択します。

   4. In the Search field, search for Splunk platform, and select it.

   5. 新規インテグレーション を選択すると、設定オプションが表示されます。

3. On the Summary page, select Next.

4. 接続の設定 ページで、以下のフィールドに情報を入力します：

   フィールド	説明
   Name	Give your integration a unique and descriptive name. For information about the downstream use of this name, see About naming your integrations.
   URL	Enter the HTTP Event Collector (HEC) URI for your Splunk platform instance. Don’t include any part of the URI after the port number. For example, enter the HEC URI as follows: <protocol>://http-inputs-<host>.splunkcloud.com:<port>. To learn more, see the Send data to HTTP Event Collector section in the Documentation for Splunk Cloud Platform.
   HEC token	Splunkプラットフォームインスタンスへのアクセスを許可するためのHTTP Event Collectorトークンを入力します。詳細は、Splunk Webで HTTP Event Collectorの設定と使用 を参照してください。

   注釈

   Splunk Observability Cloudは、HECインデクサー確認応答に対応していません。Splunkプラットフォームインテグレーションを使用する場合は、Splunk EnterpriseインスタンスでHECトークンのインデクサー確認応答をアクティブ化しないでください。

5. Next を選択します。

6. メッセージのカスタマイズ ページでは、Splunkプラットフォームインテグレーションのデフォルトテンプレートが表示されます。ペイロードをカスタマイズすることで、対応者が問題を解決するために必要なコンテキストを確保することができます。詳細は、Supported variables for Splunk platform integration custom payload を参照してください。

7. Next を選択します。

8. Review your integration and select Save.

Step 2: Add a Splunk platform integration as a detector alert recipient in Observability Cloud

To add a Splunk platform integration as a detector alert recipient in Splunk Observability Cloud:

1. Create or edit a detector that you want to configure to send alert notifications using your Splunk platform integration.

   ディテクターに関する作業の詳細は、アラートをトリガーするディテクターを作成する および 「ディテクター」メニューを使用してアラートの受信登録をする を参照してください。

2. アラート受信者 のステップで、受信者の追加 を選択します。

3. Select Splunk platform and then select the name of the Splunk platform integration you want to use to send alert notifications. This is the integration name you created in Step 1: Create a Splunk platform integration in Splunk Observability Cloud.

4. ディテクターをアクティブ化し、保存します。

Splunk Observability Cloud sends an alert notification to Splunk platform when the detector triggers or clears an alert.

Supported variables for Splunk platform integration custom payload

The following table shows the full list of variables for customization.

注釈

• 説明で特に断りのない限り、すべての変数は文字列型です。

• 変数がオプションとなっている場合は、常に利用可能であるとは限らないという意味です。ペイロードを構築するために、現状で利用できないオプションの変数を使用した場合、Handlebarsはそれを空の文字列に変換します。

Variable	説明
detector	Name of the detector.
detectorUrl	URL of the detector, which includes a parameter to select this specific incident.
detectorId	ID of the detector.
description	(Optional) Description of the rule for the detector.
dimensions	A map of the dimensions in the input MTS.
imageUrl	(Optional) URL of the alert preview image.
incidentId	Unique identifier for this alert notification.
eventType	Unique identifier for the version of the detector that sent the notification.
rule	Name of the detector rule that triggered the alert.
severity	Splunk Observability Cloudが決定するルールの重大度レベル。カスタムペイロードでこの変数を使用します。
runbookUrl	Runbook URL specified in this rule.
tip	このルール内に記述されたヒント。
messageTitle	Notification title for this rule.
messageBody	Notification message for this rule.
detectOnCondition	（オプション）SignalFlow形式で記述された、メトリクスデータの基準とディテクタールールの検出基準。
detectOffCondition	（オプション）SignalFlow形式で記述された、このルールの明確なメトリクスデータと検出基準。
status	後方互換性のために保持される、インシデントのステータス。より詳細な情報には、statusExtended を使用します。有効な値には以下が含まれます： anomalous：検出条件が満たされているために、アラートが起動しています。 ok：検出条件が満たされなくなったか、解除条件（存在する場合）が満たされているために、アラートが解除されています。
statusExtended	インシデントのステータスの新しい変数。status の代わりに使用します。有効な値には以下が含まれます： anomalous：検出条件が満たされているために、アラートが起動しています。 ok：検出条件が満たされなくなったか、解除条件（存在する場合）が満たされているために、アラートが解除されています。 manually resolved: a user resolves the alert through the UI or the API. stopped: the detector that triggered the alert is edited or deleted.
timestamp	Time the event occurred, in ISO 8601 format.
inputs	Map of the inputs involved in this rule. This variable is of type array. For more information, see inputs 配列.
sf_schema	The schema version for this event. The value is always set to 2.
orgId	アラートの発生元のSplunk Observability Cloud組織の組織ID。
originatingMetric	Name of the metric that triggered the alert.
src	以下のディメンションで定義されるアラートのソース。使用可能な最初のディメンション値が、アラートのソースとして設定されます。 k8s.pod.name k8s.cluster.name k8s.node.name k8s.container.name host host.name aws_arn gcp_standard_id azure_resource_id sf_service sf_workflow sf_operation test

inputs 配列

Each object in the inputs array is named after the program variable it’s bound to. If an object isn’t bound to a program variable, it uses a name like _S0, _S1, and so on.

各入力オブジェクトには以下の要素が含まれます：

要素	説明
key	(Optional) Map of the dimensions of the input signal. This element might be empty if there are no dimensions; for example, if the input was a static value and not a comparison against scalar values.
value	Value of the input when the alert triggered or when it cleared.
fragment	（オプション）これは、入力を表すSignalFlowプログラムのフラグメントです。一部のディテクター、あるいは静的な匿名の入力では、この要素は存在しない可能性があります。

ヘルパー関数

テンプレート変数を使用してペイロードをカスタマイズする以外に、以下のヘルパー関数を使用して、送信アラートに正しい値が設定されることを保証することもできます。

Function	説明	Examples
coalesce	空でない最初の値を返します。この関数を使用して、src 変数のディメンションの順序を指定できます。	{{{coalesce dimensions.host dimensions.aws_arn ‘No ID Found!’}}} この例では、dimensions.host （存在する場合）をアラートに設定し、2つ目のオプションとして dimensions.aws_arn を設定し、ホストもAWS IDも存在しない場合は文字列 “No ID Found!” を設定します。
severityDecoder	ステータス変数が ok の場合、2 を返します。そうでない場合、この関数は重大度変数をチェックしデコードします： 1：情報 3: Warning 4：マイナー 5：メジャー 6: Critical empty：重大度不明	{{{severityDecoder ok='ok' Major='not_ok' default='empty'}}} この例は、デフォルトの戻り値をオーバーライドしてカスタマイズしています。
encodeString	文字列内の引用符と改行文字をエスケープします。	{{{encodeString messageTitle}}}
notEmpty	指定された値が空のマップでない場合にのみ、ペイロードにテキストを追加します。この関数は、inputs と dimensions の変数でのみ機能します。	この例は、ディメンションが空でない場合のみ表示されます：{{#notEmpty dimensions}} {{/notEmpty}}
json	文字列を生のJSON値に変換します。この関数を使用して、ディテクターからのテキストを、サードパーティのインテグレーションで評価できるJSONペイロードに変換します。	{{{json dimensions}}}
substring	このシーケンスのサブシーケンスである新しい文字シーケンスを返します。このサブシーケンスは、指定したインデックスの文字で始まり、最後から2番目のインデックスの文字で終わります。	{{substring var 1}} {{substring var 1 3}}
abbreviate	指定された文字数より長い場合に、文字列を切り詰めます。省略の最小幅は4です。	{{abbreviate long_str 5}}
replace	文字のターゲットシーケンスにマッチするこの文字列の各部分文字列を、指定された文字の置換シーケンスで置き換えます。	{{replace abbreviated '...' ''}}
eq	2つの要素が等しいかどうかをチェックします。	{{#eq a b}}yes{{else}}no{{/eq}} {{#eq a 2}}yes{{else}}no{{/eq}}

このページは 2024年11月25日 に最終更新されました。

---

❮

Previous

Splunk Observability Cloudを使用してSplunk On-Callにアラート通知を送信する

Next

Splunk Observability Cloudを使用してウェブフックにアラート通知を送信する

❯

---

• API docs
• Blog
• Training
• Free Trial