静的閾値 🔗
静的閾値は、シグナルが静的閾値を上回った/下回った場合、または、ある範囲内にある/範囲外にある場合にアラートを発します。この条件は、傾向( 急激な変化 および リソースの枯渇 の条件が使用可能な場合)や過去の挙動との比較( 履歴的異常 の条件が使用可能な場合)とは対照的に、固定値に基づいてアラートする必要がある場合に使用します。この条件は、「可」の値と「不可」の値に静的な範囲があるメトリクスで使用すると最適に動作します。
あるシグナルと別のシグナルを比較する場合は、カスタム閾値 を使用します。
例 🔗
可用性SLAに「99.9」と設定していて、可用性がその値を下回るたびにアラートを受け取りたい場合
「健全」の範囲を200~300msに設定したレイテンシのシグナルがあり、その範囲から外れたときにアラートを受け取りたい場合
設定 🔗
パラメータ |
値 |
注意事項 |
|---|---|---|
Alert when |
|
|
Threshold Lower threshold, Upper threshold |
数値 |
Alert when に
|
Trigger sensitivity |
|
|
Duration |
>= 1の整数の後に時間を表す指標(s、m、h、d、w)を付す。例:30s、10m、2h、5d、1w |
シグナルが閾値の条件を満たす必要のある期間。指定期間を長くすると感度が低下し、アラートの数が潜在的に少なくなります。 |
Percent of duration |
パーセンテージ:1~100の整数。継続期間:>= 1の整数の後に時間を表す指標(s、m、h、d、w)を付す。例:30s、10m、2h、5d、1w |
指定した期間中に受信した異常データポイントのパーセンテージ。 |
アラートをトリガーするための継続期間 🔗
ご想像の通り、Trigger Sensitivity に Immediately を選択すると、シグナルが閾値に達するとすぐにアラートがトリガーされます。このオプションは、トリガー感度の3つのオプションの中で最も感度が高いものです(最も多数のアラートをトリガーする可能性があります)。
シグナルの性質によっては、アラートをすぐにトリガーすると フラッピング につながることがあります。このような場合は、他のオプションである 継続期間 または 継続期間のパーセンテージ のいずれかを選択できます。
The Duration option triggers when the signal meets and remains at threshold condition for a specified period, such as 10 minutes. Therefore, using this option is less sensitive (might trigger fewer alerts) than the Immediately option. If you use this option, an alert isn’t triggered if any data points are delayed or don’t arrive at all during that time range, even if all the data points that are received do meet the threshold. For more information about delayed or missing data points, see 遅延または欠落したデータポイントの処理.
一部のデータポイントが時間通りに到着しなくてもアラートをトリガーするオプションが必要な場合は、Percent of duration を(100未満の値のパーセンテージを指定して)使用します。
The Percent of duration option triggers alerts based on the number of data points that met the threshold during the window, compared to how many data points were expected to arrive. Because this option triggers an alert based on the percentage of data points that met the threshold, it can sometimes trigger an alert even if some data points didn’t arrive on time. Therefore, using this option with a percentage below 100 is more sensitive (might trigger more alerts) than the Duration option.
以下の例は、様々な状況でアラートがどのようにトリガーされるかを示したものです。
例1 🔗
トリガー感度 に指定するオプション:継続期間=3分
シグナルの解像度:5秒
3分間に予想されるデータポイント数:12/分* 3分(36)
アラートをトリガーするまでの異常データポイント数(閾値を満たす必要がある回数):36
予想されるデータポイントの総数
受信したデータポイントの総数
必要な異常データポイント数
受信した異常データポイント数
アラートはトリガーされるか?
36
36
36
36
はい
36
36
36
35以下
いいえ
36
35
36
35以下
いいえ
例2 🔗
トリガー感度 に指定するオプション:継続期間のパーセンテージ=3分の75%
シグナルの解像度:5秒
3分間に予想されるデータポイント数:12/分* 3分(36)
アラートをトリガーするまでの異常データポイント数(閾値を満たす必要がある回数):36の75%(27)
予想されるデータポイントの総数
受信したデータポイントの総数
必要な異常データポイント数
受信した異常データポイント数
アラートはトリガーされるか?
36
36
27
27-36
はい
36
30
27
27-30
はい
36
30
27
26以下
いいえ
上記の後の方の例では、26個の異常データポイントが到着し、26/30が指定した「 75%」より大きくても、必要な異常データポイント数(27個)が到着していないことに注意してください。したがって、アラートはトリガーされません。指定するパーセンテージは、予想 ` データポイント数に対するパーセンテージを示すものであり、:strong:`受信 データポイント数に対するパーセンテージではありません。
APIの使用に関する注意事項 🔗
Splunk Observability Cloud APIを使用してディテクターを作成する場合、 const() 関数を使用して、異なるディメンション値に対して異なる閾値を指定できます。たとえば、あるホストが開発、実験、本番のいずれの環境に存在するかによって許容できるSLA値が異なるという場合があるでしょう。ここで const() 関数を使用すると、複数のディテクターや複数のルールを持つディテクターを手動で構築するよりも効率的です。詳細は、Splunk Observability Cloud API ドキュメント の、複数の時系列の作成に関するセクションを参照してください。