アラートをトリガーするディテクターを作成する 🔗
detector は、プロットライン上のシグナルを監視し、ディテクターのルールで定義した条件に基づいてアラートイベントや解除イベントをトリガーします。ディテクターは、シグナル値がアラートルールで定義した指定閾値をまたいだときにアラートをトリガーすることができるチャートと考えることができます。
ディテクターは、アラートルールで構成されます。アラートルールを作成する際は、アラートをトリガーするための閾値の定義に、さまざまな内蔵アラート条件を選択することができます。内蔵アラート条件 を参照してください。
ディテクターは、ルールの条件が満たされたと判断すると、アラートをトリガーし、イベントを作成し、通知を送信します(指定してある場合)。ディテクターは、電子メール、Slackなどの他システムを介して、またはウェブフックを使用して通知を送信できます。詳細については、Splunk Observability Cloudを使用してサービスにアラート通知を送信する を参照してください。
You can find active alerts, existing detectors, and muting rules under Detectors & SLOs. You can also find alerts in the Events Feed, available within any dashboard.
注釈
このトピックでは、Infrastructureとカスタムメトリクスのディテクターについて説明します。Splunk APMのディテクターを作成すると、サービスのリクエスト率、エラー率、レイテンシを監視できます。Splunk APMのディテクターの詳細は、Splunk APMでディテクターとアラートを設定する を参照してください。
ディテクターを作成する 🔗
ディテクターの作成手順の概要は以下の通りです:
ディテクターの作成方法 を選択します。
ディテクターに アラートルール を作成して、アラートをトリガーするタイミングを指定します。
ディテクターの作成方法を選択する 🔗
ディテクターの作成には、いくつかの方法があります。
変更を加えたい既存のディテクターがある場合は、既存のディテクターの複製を作成できます。既存のディテクターを複製する を参照してください。
AutoDetectディテクターをカスタマイズできます。AutoDetectディテクターをコピーしてカスタマイズする を参照してください。
チャートや Infrastructure Navigatorなど、現在表示している項目に基づいて、「ディテクター」タブから開始してディテクターを作成できます。チャートからディテクターを作成する を参照してください。
ダッシュボードチャートからディテクターを作成して、監視対象のシグナルとして、チャートのシグナルの1つを事前に選択できます。チャートからディテクターを作成する を参照してください。
ディテクターをゼロから作成できます。ディテクターをゼロから作成する を参照してください。
APIを使用して、ユーザーインターフェイスを使用してディテクターを作成するのではなく、プログラ ムでディテクターを作成することができます。APIを使用してディテクターを作成する を参照してください。
既存のディテクターを複製する 🔗
You can see a list of existing detectors on the Detectors tab under Detectors & SLOs.
作成したいディテクターに類似したディテクターを探します。
ディテクターを選択します。
アクションメニュー(⋯ )から を選択します。
次に、ディテクターのアラートルールを作成する を参照してください。
チャートからディテクターを作成する 🔗
アラートを発したい対象のシグナルを監視しているチャートがある場合、そのチャートを使用してディテクターを作成することができます。チャートからディテクターを作成すると、監視対象のシグナルとして、チャートのシグナルの1つが事前に選択されます。
ディテクターを作成するには、以下の手順に従います:
チャート上のベルアイコンを選択すると、ディテクター メニューが開きます。
を選択します。
続行する場合は、ディテクターのアラートルールを作成する を参照してください。
チャートからディテクターを作成すると、作成したディテクターへのリンク が自動的にチャートに追加されます。
ディテクターをゼロから作成する 🔗
To create a new detector for Infrastructure or Custom Metrics from scratch, you can either select New Detector under Detectors & SLOs, or select from the create menu on the navigation bar. Enter a detector name and then select Create Alert Rule to proceed to the alert rule builder. For instructions on building the rule, see ディテクターのアラートルールを作成する.
APIを使用してディテクターを作成する 🔗
APIを使用してディテクターを作成すると、UIでは利用できない多くの機能が提供され、より高度なルールと条件を持つディテクターを構築することができます。これらのディテクターは、UIで表示することができます。標準のディテクターで表示されるシグナルの代わりに、プログラムテキストが表示されます。
APIを使用したディテクターの作成に関する一般的な情報については、『Splunk Observability Cloud開発者ガイド』の「 ディテクターを使用した異常の検出 」のトピックを参照してください。
APIを使用して作成されたディテクターを、UIを使用して編集する方法については、SignalFlowタブでディテクターを編集する を参照してください。
注釈
ディテクターのディスプレイに「SignalFlow」タブが含まれている場合は、Splunk Observability CloudディテクターAPI を使用してプログラムで作成されたディテクターが表示されています。このAPIに精通している場合は、ディテクターのディスプレイを使用してディテクターコードを表示および編集したり、ディテクタールールを変更することができます。
ディテクターのアラートルールを作成する 🔗
ディテクターに新しいアラートルールを設定するには、以下の手順に従います:
Alert signal タブで、異常な挙動を監視するシグナルを1つ以上選択します。詳細は、アラートシグナルの選択 を参照してください。
Alert condition タブで、アラートの条件を選択します。アラート条件 を参照してください。
Alert settings タブで、利用可能な設定を使用してアラートの条件を完成させます。利用可能な設定は、Alert condition タブで選択した内容に基づきます。アラート設定 を参照してください。
Alert message タブで、アラートの重大度を選択し、アラートメッセージおよびランブックまたはヒントをカスタマイズします。アラートメッセージ を参照してください。
Alert recipients タブで、メールまたはその他のサードパーティのインテグレーションを通じて通知を受信する受信者を追加します。アラート受信者 を参照してください。
タブ上で、ルールに名前を付け、ディテクターを有効化します。有効化 を参照してください。
ディテクターを有効化すると、直ちにシグナルの監視を開始します。シグナルが指定された基準を満たすと、ディテクターはアラートをトリガーし、イベントを作成し、指定されたメッセージをアラートの受信者に送信します。
注釈
「アラートシグナル」、「アラート条件」、または「アラート設定」のタブが表示されない場合は、APIを使って作成されたディテクターが表示されています。詳細は、SignalFlowタブでディテクターを編集する を参照してください。
アラートシグナルの選択 🔗
アラートシグナル タブで、メトリクスと該当する分析を入力して、監視するシグナルを定義します。
ディテクターをゼロから作成する場合は、まず監視するシグナルを選択する必要があります。ディテクターのシグナルの選択方法は、「チャートビルダー」でのチャートのシグナルの選択と同様です。メトリクスを入力し、監視するメトリクスをリストから選択します。フィルターまたは分析を追加します。さらにシグナルを追加する場合は、Add Metric or Event または Add Formula を選択します。チャートに表示するイベントを追加することはできますが、監視対象のシグナルとしてイベントを選択することはできません。詳細は、プロット線にシグナルを指定する を参照してください。
注釈
アーカイブ済みのメトリクスをディテクターのシグナルとして選択すると、アーカイブ済みのメトリクスがディテクターにデータをレポートすることができず、ディテクターがアラートを誤発動したり動作を停止したりする原因になります。アーカイブ済みのメトリクスをディテクターに含めるには、リアルタイムにルーティングするか、例外ルールを作成してそれらを利用できるようにします。詳細については、ルーティング例外ルールを使用して、特定の MTS をルーティング、またはアーカイブされたデータをリストアします。 セクションを参照してください。
チャートから ディテクターを作成する場合または ディテクターを複製して 作成する場合は、新しいシグナルを追加する必要はありません。ただし、それでもディテクターに新しいシグナルを追加するという場合、追加したシグナルは元のチャートやディテクターには追加されません。
チャートに表示するイベントを追加することはできますが、監視対象のシグナルとしてイベントを選択することはできません。
ディテクターに複数のシグナルがある場合は、どのシグナルに対してアラートを発するかを選択します。
単一のシグナルを監視するには、Alert on 列のベルアイコンを選択し、監視するシグナルを選択します。ベルが青くなっている場合、それは監視中のシグナルです。
複数のシグナルの値に基づいて複合条件を作成する場合(例えば、「シグナルAが
xより高い OR シグナルBがyより高い」など)、Monitor multiple signals のベル2個のアイコンを選択します。複数のシグナルを監視することを選択すると、アラート条件は Custom Threshold に変更されます。
注釈
「アラートシグナル」タブが表示されない場合は、APIを使って作成されたディテクターが表示されています。詳細は、SignalFlowタブでディテクターを編集する を参照してください。
アラート条件を選択する 🔗
アラート条件 タブで、アラートをトリガーする条件のタイプを選択します。「アラート設定] タブでANDまたはOR演算子を使用して複合条件を作成する場合は、「カスタム閾値」条件を使用する必要があります。これは、単一のシグナルを監視する場合でも、複数のシグナルを監視する場合でも適用されます。
Infrastructure Monitoringおよびカスタムメトリクスのディテクターで使用可能な内蔵アラート条件のリストについては、内蔵アラート条件 を参照してください。
アラート条件を選択したら、次のタブに進み、アラートのトリガーとする設定を指定します。
注釈
「アラート条件」タブが表示されない場合は、APIを使って作成されたディテクターが表示されています。詳細は、SignalFlowタブでディテクターを編集する を参照してください。
アラート設定を指定する 🔗
アラート設定 タブで、アラートをトリガーする設定を指定します。利用可能な設定は、選択したアラート条件によって異なります。各内蔵条件で使用可能な設定については、内蔵アラート条件 を参照してください。
「カスタム閾値」条件を使用している場合、Add another condition を選択してANDおよびOR演算子を使用した複合条件を作成できます。複合条件の詳細については、カスタム閾値 を参照してください。
チャートでは、選択した設定に基づいてトリガーされるアラートのプレビューを使用します。プレビューの使い方については、ディテクターのアラートのプレビュー を参照してください。
アラートをトリガーするための設定を指定したら、次のタブに進み、アラートがトリガーされたときに送信されるメッセージを作成します。
注釈
「アラート設定」タブが表示されない場合は、APIを使用して作成されたディテクターを表示しています。アラート設定は、「 SignalFlow 」タブで定義されます。
アラートメッセージ 🔗
アラートメッセージ タブで、アラートの重大度と通知メッセージに含める情報を指定します。
重大度 🔗
このルールによって生成されるアラートの重要度を指定します。Splunk Observability Cloudには、Critical、Major、Minor、Warning、Info の5つの重大度ラベルがあります。各重大度ラベルは異なる色が付いており、イベントマーカーは、これに関連付けられた色でチャートに表示されます。
複数のルールを作成し、類似した条件に対して異なる重大度レベルのアラートを生成することができます。例えば、以下のように設定できます:
トリガー感度を「低」に設定した リソースの枯渇 のアラート条件には「Critical」のアラート
トリガー感度を「中」に設定した同じアラート条件には「Major」のアラート
トリガー感度を「高」に設定した同じアラート条件には「Minor」のアラート
別の例としては:
「レポートがなかった期間」 の条件を60分間に設定した ハートビートチェック のアラート条件には「Critical」のアラート
同期間を30分間に設定した同じアラート条件には「Major」のアラート
同期間を15分間に設定した同じアラート条件には「Minor」のアラート
これを行うための最も簡単な方法は、1つの重大度でルールを作成し、アクションメニュー(⋯ )から を選択し、設定と重大度を編集することです。
メッセージのプレビュー 🔗
アラートがトリガーまたは解除されたときに送信されるデフォルトメッセージを表示します。メッセージの件名や内容を編集するには、Customize を選択します。メッセージの作成に使用されるコードと変数を見ることができます。メッセージの編集中には、使用可能な変数がメッセージ領域の右に表示されます。変数の値がエスケープ処理されないように、指定された場所では三重の波括弧を使用します。
変数の使用は、メッセージの件名と本文でのみサポートされており、RunbookやTipフィールドではサポートされていないことに注意してください。
メッセージ内では、Markdownも使用できます。
メッセージに変数を入力する際、最初の数文字を入力すると変数のリストを絞り込むことができます。「タブ」を選択すると、リストの最初の変数がメッセージに追加されます。
カスタムメッセージの作成時に使用できるすべての変数とヘルパー関数については、アラートメッセージ変数の参照情報 を参照してください。
アラートメッセージを作成したら、次のタブに進み、アラートメッセージの送信先を指定します。
カスタムプロパティを表示する 🔗
Splunk Observability Cloud APIを使用してディテクターを作成する場合、promote() メソッドを使用してカスタムプロパティをディメンションに変換できます。
カスタムプロパティをディメンションに変換することで、そのプロパティをアラートメッセージに表示できます。詳細は、promoteメソッドの開発者用ドキュメント を参照してください。
ディテクターのAPIエンドポイントの詳細については、Splunk Observability Cloud APIリファレンスの「 ディテクター 」を参照してください。
アラート受信者 🔗
アラート受信者 タブで、アラートがトリガーまたは解除された際の通知メッセージの受信者を指定します。受信者は、ルールの受信登録者です。受信者の追加は任意ですが、この機能は多くの場合に役立ちます。
以前に アラートを他のシステムと統合している場合 は、それらのオプションは Add Recipient のドロップダウンメニューに表示されます。また、メールアドレス、ウェブフックURL および Create and manage teams に送信することもできます。条件が解除された際にも、通知が送信されます。
次の表は、さまざまなタイプのメール通知について説明したものです:
メール通知 |
説明 |
|---|---|
中止 |
アラートがトリガーされたときにディテクターがミュートまたは無効になっています |
正常に復帰 |
アラートは解除されています |
手動で解決 |
アラート状態中に、アラートが手動で |
自動解除 |
ディテクターに自動解除設定が適用されており、指定時間が経過しました。詳細は、アラートの自動解除 を参照してください |
注釈
ヒント
If you want to add the same subscribers to each of multiple rules, you can add the subscribers to all rules at once by using the Manage subscriptions option on the Detectors tab under Detectors & SLOs after you save the detector.
ディテクターによる通知の送信を一時的に停止するには、通知のミュート を実行します。
有効化 🔗
有効化 タブに、指定したディテクター設定の概要が表示されます。概要を確認し、関連タブで必要な変更を行った後、ルールに名前を付けます。 デフォルトでは、ルール名はディテクター名と同じになっています。ルール名は、「アラート」ページおよび通知に表示されます。
Select Activate Alert Rule to save the detector and begin monitoring the specified signal. After you activate the detector, the Alert Rules tab of the detector is displayed, showing the signal you selected and a summary of the rule you built. You can edit the detector name; the text you enter here is displayed as the detector name on the Detectors tab under Detectors & SLOs. You can also provide additional descriptive text below the name, for example, to clarify the purpose of the detector for others.
注釈
ディテクター名または説明を変更する場合は、Save ボタンを選択します。保存せずに「 閉じる 」ボタンを選択すると、変更内容が失われます。
SignalFlowタブでディテクターを編集する 🔗
注釈
このセクションは、Splunk Observability CloudディテクターAPI に精通していることを前提としています。
APIを使用して作成されたディテクターを変更する場合、SignalFlowタブを使用してディテクタールールを追加および編集することができます。SignalFlowのプログラムテキストは、UIを使用してディテクターを作成および編集する際に使用する「アラートシグナル」、「アラート条件」、および「アラート設定」タブの代わりです。
SignalFlowの detect ステートメント内の publish ステートメントはすべて、「アラートルール」タブのルールに対応しています。 publish ブロック内に入力したラベルは、「アラートルール」タブに表示されるアクティブなアラートの数の横に表示されます。
例えば、下記のSignalFlowの detect ブロックの場合:
detect(when(A > 1000)).publish('Weekly Starting Monday')
「アラートルール」タブでは、以下のように表示されます:
例えば以下のように、ディテクターに、ディテクターのチャートのプロットラインに対応する data ブロックが含まれている場合:
A = data('cpu.idle'.publish(label='CPU idle')
ラベルは、SignalFlowタブの画面の右側に表示されます。ラベルが表示されるようにするには、data ブロックに publish ブロックを含める必要があります。
歯車のアイコンを選択すると、ディテクターのチャートに表示されるプロットラインに指定できるオプションが表示されます。
アラートメッセージ、受信者、またはルール名を追加または編集するには、「アラートルール」タブの Edit ボタンを使用します。有効化 タブで追加したルール名は、アラート ルール タブに表示されます。このルール名は、アラート ページおよびアラート通知のアラート条件としても表示されます。
例えば、有効化 タブで以下のように表示されたルール名は:
アラートルール タブでは、以下のように表示されます:
アラートルール タブのディテクターの編集オプションの詳細については、アラートメッセージ、アラート受信者、有効化 を参照してください。
アラートルールの管理 🔗
ディテクターの Alert Rules タブで、ルールのアクションメニュー(⋯ )を使用して、アラートルールの非アクティブ化、アクティブ化、複製、削除を行うことができます。
注釈
ルールの複製または削除のオプションは、APIを使用して作成されたディテクターでは使用できません。
アラートルールの有効化/無効化 🔗
ディテクターに複数のルール(重大度レベルごとに異なるルールなど)がある場合、どのルールをアクティブまたは非アクティブにするかを指定できます。ルールを非アクティブにすると、そのルールはイベントを生成しなくなり、通知を送信しなくなります。このオプションを使用して、ディテクターがトリガーするアラートの数を増やしたり減らしたりします。
注釈
アラートルールを非アクティブにすると、そのルールのアクティブなアラートもすべて解除されます。
アラートルールの複製 🔗
チャートのプロットラインと同様に、ルールを複製することができます。このオプションは、アラート条件 のプロパティに異なる値を指定したり、アラートの重大度レベルを変更するなど、互いにわずかに異なる設定を持つルールを作成するために、よく使用されます。
アラートルールの削除 🔗
ディテクターからルールを削除するには、このオプションを使用します。
ディテクターの権限の設定 🔗
ディテクターが組織の他のメンバーによって編集または削除されないように保護するために、ディテクターに対する権限を持つユーザーおよびチームを指定できます。詳細については、ディテクターの権限の表示と管理 を参照してください。