静的閾値 🔗
静的閾値は、シグナルが静的閾値を上回った場合か下回った場合、または、範囲内にあるか範囲外にあるかによってアラートを発します。この条件は、傾向( 急激な変化 および リソースの枯渇 の条件が使用可能な場合)や過去の挙動との比較( 履歴的異常 の条件が使用可能な場合)とは対照的に、固定値に基づいてアラートする必要がある場合に使用します。この条件は、「可」の値と「不可」の値に静的な範囲があるメトリクスで使用すると最適に動作します。
あるシグナルと別のシグナルを比較する場合は、カスタム閾値 を使用します。
例 🔗
可用性SLAに「99.9」と設定していて、可用性がその値を下回るたびにアラートを受け取りたい場合
「健全」の範囲を200~300msに設定したレイテンシのシグナルがあり、その範囲から外れたときにアラートを受け取りたい場合
設定 🔗
パラメータ |
値 |
注意事項 |
---|---|---|
Alert when |
|
|
Threshold Lower threshold, Upper threshold |
数値 |
Alert when に
|
Trigger sensitivity |
|
|
Duration |
>= 1の整数の後に時間を表す指標(s、m、h、d、w)を付す。例:30s、10m、2h、5d、1w |
シグナルが閾値の条件を満たす必要のある期間。指定期間を長くすると感度が低下し、アラートの数が潜在的に少なくなります。 |
Percent of duration |
パーセンテージ:1~100の整数。継続期間:>= 1の整数の後に時間を表す指標(s、m、h、d、w)を付す。例:30s、10m、2h、5d、1w |
指定した期間中に受信した異常データポイントのパーセンテージ。 |
アラートをトリガーするための継続期間 🔗
ご想像の通り、Trigger Sensitivity に Immediately
を選択すると、シグナルが閾値に達するとすぐにアラートがトリガーされます。このオプションは、トリガー感度の3つのオプションの中で最も感度が高いものです(最も多数のアラートをトリガーする可能性があります)。
シグナルの性質によっては、アラートをすぐにトリガーすると フラッピング につながることがあります。このような場合は、他のオプションである 継続期間 または 継続期間のパーセンテージ のいずれかを選択できます。
Duration
オプションを使用すると、シグナルが閾値条件を満たし、指定した期間(例:10分)にわたってその状態を継続した場合にアラートがトリガーされます。したがって、このオプションを使用すると、Immediately
オプションよりも感度は低くなります(アラートのトリガー回数が少なくなる可能性があります)。このオプションを使用すると、たとえ受信したすべてのデータポイントが閾値条件を 満たしていても、指定した期間中にデータポイントが遅延したり、まったく到着しなかったりすれば、アラートはトリガーされません。データポイントの遅延や欠落について、詳細は 遅延または欠落したデータポイントの処理 を参照してください。
一部のデータポイントが時間通りに到着しなくてもアラートをトリガーするオプションが必要な場合は、Percent of duration
を(100未満の値のパーセンテージを指定して)使用します。
Percent of duration
オプションを使用すると、指定した時間窓の間に閾値を満たしたデータポイントの数に基づいてアラートがトリガーされます。このオプションは、閾値を満たしたデータ ポイント数のパーセンテージに基づいてアラートをトリガーするため、一部のデータポイントが時間通りに到着しなかった場合でもアラートをトリガーすることがあります。したがって、100未満のパーセンテージでこのオプションを使用すると、Duration
オプションを使用した場合よりも感度は高くなります(より多くのアラートがトリガーされる可能性があります)。
以下の例は、様々な状況でアラートがどのようにトリガーされるかを示したものです。
例1 🔗
トリガー感度 に指定するオプション:継続期間=3分
シグナルの解像度:5秒
3分間に予想されるデータポイント数:12/分* 3分(36)
アラートをトリガーするまでの異常データポイント数(閾値を満たす必要がある回数):36
予想されるデータポイントの総数
受信したデータポイントの総数
必要な異常データポイント数
受信した異常データポイント数
アラートはトリガーされるか?
36
36
36
36
はい
36
36
36
35以下
いいえ
36
35
36
35以下
いいえ
例2 🔗
トリガー感度 に指定するオプション:継続期間のパーセンテージ=3分の75%
シグナルの解像度:5秒
3分間に予想されるデータポイント数:12/分* 3分(36)
アラートをトリガーするまでの異常データポイント数(閾値を満たす必要がある回数):36の75%(27)
予想されるデータポイントの総数
受信したデータポイントの総数
必要な異常データポイント数
受信した異常データポイント数
アラートはトリガーされるか?
36
36
27
27-36
はい
36
30
27
27-30
はい
36
30
27
26以下
いいえ
上記の後の方の例では、26個の異常データポイントが到着し、26/30が指定した「75%」より大きくても、必要な異常データポイント数(27個)が到着していないことに注意してください。したがって、アラートはトリガーされません。指定するパーセンテージは、予想 データポイント数に対するパーセンテージを示すものであり、受信 データポイント数に対するパーセンテージではありません。
APIの使用に関する注意事項 🔗
Splunk Observability Cloud APIを使用してディテクターを作成する場合、 const()
関数を使用して、異なるディメンション値に対して異なる閾値を指定できます。たとえば、ホストが開発、実験、本番のいずれであるかによって、許容できるSLA値が異なるという場合があるでしょう。ここで const()
関数を使用すると、複数のディテクターや複数のルールを持つディテクターを手動で構築するよりも効率的です。詳細は、Splunk Observability Cloud API ドキュメント の、複数の時系列の作成に関するセクションを参照してください。