アラートをトリガーするディテクターを作成する 🔗
detector は、プロットライン上のシグナルを監視し、ディテクターのルールで定義した条件に基づいてアラートイベントや解除イベントをトリガーします。ディテクターは、シグナル値がアラートルールで定義した指定閾値をまたいだときにアラートをトリガーすることができるチャートと考えることができます。
ディテクターは、アラートルールで構成されます。アラートルールを作成する際は、アラートをトリガーするための閾値の定義に、さまざまな内蔵アラート条件を選択することができます。内蔵アラート条件 を参照してください。
ディテクターは、ルールの条件が満たされたと判断すると、アラートをトリガーし、イベントを作成し、通知を送信します(指定してある場合)。ディテクターは、電子メール、Slackなどの他システムを介して、またはウェブフックを使用して通知を送信できます。詳細については、Splunk Observability Cloudを使用してサービスにアラート通知を送信する を参照してください。
You can find active alerts, existing detectors, and muting rules under Detectors & SLOs. You can also find alerts in the Events Feed, available within any dashboard.
注釈
このトピックでは、Infrastructureとカスタムメトリクスのディテクターについて説明します。Splunk APMのディテクターを作成すると、サービスのリクエスト率、エラー率、レイテンシを監視できます。Splunk APMのディテクターの詳細は、Splunk APMでディテクターとアラートを設定する を参照してください。
ディテクターを作成する 🔗
ディテクターの作成手順の概要は以下の通りです:
ディテクターに アラートルール を作成して、アラートをトリガーするタイミングを指定します。
ディテクターの作成方法を選択する 🔗
ディテクターの作成には、いくつかの方法があります。
変更を加えたい既存のディテクターがある場合は、既存のディテクターの複製を作成できます。既存のディテクターを複製する を参照してください。
AutoDetectディテクターをカスタマイズできます。AutoDetectディテクターをコピーしてカスタマイズする を参照してください。
Create a detector from one of the signals on the chart you’re viewing. See チャートからディテクターを作成する.
ディテクターをゼロから作成できます。ディテクターをゼロから作成する を参照してください。
APIを使用して、ユーザーインターフェイスを使用してディテクターを作成するのではなく、プログラ ムでディテクターを作成することができます。APIを使用してディテクターを作成する を参照してください。
既存のディテクターを複製する 🔗
You can see a list of existing detectors on the Detectors tab of the Detectors & SLOs page.
作成したいディテクターに類似したディテクターを探します。
ディテクターを選択します。
アクションメニュー(⋯ )から
を選択します。
次に、ディテクターのアラートルールを作成する を参照してください。
チャートからディテクターを作成する 🔗
アラートを発したい対象のシグナルを監視しているチャートがある場合、そのチャートを使用してディテクターを作成することができます。チャートからディテクターを作成すると、監視対象のシグナルとして、チャートのシグナルの1つが事前に選択されます。
ディテクターを作成するには、以下の手順に従います:
Select the bell icon on a chart.
を選択します。
続行する場合は、ディテクターのアラートルールを作成する を参照してください。
After you create a detector from a chart, the detector is automatically linked to the chart.
ディテクターをゼロから作成する 🔗
To create a new detector from scratch, you can either select Create detector on the Detectors & SLOs page, or select from the create menu on the navigation bar. Enter a detector name and then select Create alert rule to proceed to the alert rule builder. For instructions on building the rule, see ディテクターのアラートルールを作成する.
APIを使用してディテクターを作成する 🔗
APIを使用してディテクターを作成すると、UIでは利用できない多くの機能が提供され、より高度なルールと条件を持つディテクターを構築することができます。これらのディテクターは、UIで表示することができます。標準のディテクターで表示されるシグナルの代わりに、プログラムテキストが表示されます。
APIを使用したディテクターの作成に関する一般的な情報については、『Splunk Observability Cloud開発者ガイド』の「 ディテクターを使用した異常の検出 」のトピックを参照してください。
APIを使用して作成されたディテクターを、UIを使用して編集する方法については、SignalFlowタブでディテクターを編集する を参照してください。
注釈
If a detector display includes a SignalFlow tab, you are viewing a detector created programmatically using the Splunk Observability Cloud detectors API . If you are familiar with that API, you can use the detector display to view and edit the detector code and make changes to the detector rules.
ディテクターのアラートルールを作成する 🔗
ディテクターに新しいアラートルールを設定するには、以下の手順に従います:
Alert signal タブで、異常な挙動を監視するシグナルを1つ以上選択します。詳細は、アラートシグナルの選択 を参照してください。
Alert condition タブで、アラートの条件を選択します。アラート条件 を参照してください。
Alert settings タブで、利用可能な設定を使用してアラートの条件を完成させます。利用可能な設定は、Alert condition タブで選択した内容に基づきます。アラート設定 を参照してください。
Alert message タブで、アラートの重大度を選択し、アラートメッセージおよびランブックまたはヒントをカスタマイズします。アラートメッセージ を参照してください。
Alert recipients タブで、メールまたはその他のサードパーティのインテグレーションを通じて通知を受信する受信者を追加します。アラート受信者 を参照してください。
タブ上で、ルールに名前を付け、ディテクターを有効化します。有効化 を参照してください。
ディテクターを有効化すると、直ちにシグナルの監視を開始します。シグナルが指定された基準を満たすと、ディテクターはアラートをトリガーし、イベントを作成し、指定されたメッセージをアラートの受信者に送信します。
注釈
「アラートシグナル」、「アラート条件」、または「アラート設定」のタブが表示されない場合は、APIを使って作成されたディテクターが表示されています。詳細は、SignalFlowタブでディテクターを編集する を参照してください。
アラートシグナルの選択 🔗
アラートシグナル タブで、メトリクスと該当する分析を入力して、監視するシグナルを定義します。
ディテクターをゼロから作成する場合は、まず監視するシグナルを選択する必要があります。ディテクターのシグナルの選択方法は、「チャートビルダー」でのチャートのシグナルの選択と同様です。メトリクスを入力し、監視するメトリクスをリストから選択します。フィルターまたは分析を追加します。さらにシグナルを追加する場合は、Add Metric or Event または Add Formula を選択します。チャートに表示するイベントを追加することはできますが、監視対象のシグナルとしてイベントを選択することはできません。詳細は、プロット線にシグナルを指定する を参照してください。
注釈
アーカイブ済みのメトリクスをディテクターのシグナルとして選択すると、アーカイブ済みのメトリクスがディテクターにデータをレポートすることができず、ディテクターがアラートを誤発動したり動作を停止したりする原因になります。アーカイブ済みのメトリクスをディテクターに含めるには、リアルタイムにルーティングするか、例外ルールを作成してそれらを利用できるようにします。詳細については、ルーティング例外ルールを使用して、特定の MTS をルーティング、またはアーカイブされたデータをリストアします。 セクションを参照してください。
チャートから ディテクターを作成する場合または ディテクターを複製して 作成する場合は、新しいシグナルを追加する必要はありません。ただし、それでもディテクターに新しいシグナルを追加するという場合、追加したシグナルは元のチャートやディテクターには追加されません。
チャートに表示するイベントを追加することはできますが、監視対象のシグナルとしてイベントを選択することはできません。
ディテクターに複数のシグナルがある場合は、どのシグナルに対してアラートを発するかを選択します。
単一のシグナルを監視するには、Alert on 列のベルアイコンを選択し、監視するシグナルを選択します。ベルが青くなっている場合、それは監視中のシグナルです。
複数のシグナルの値に基づいて複合条件を作成する場合(例えば、「シグナルAが
x
より高い OR シグナルBがy
より高い」など)、Monitor multiple signals のベル2個のアイコンを選択します。複数のシグナルを監視することを選択すると、アラート条件は Custom Threshold に変更されます。
注釈
「アラートシグナル」タブが表示されない場合は、APIを使って作成されたディテクターが表示されています。詳細は、SignalFlowタブでディテクターを編集する を参照してください。
アラート条件を選択する 🔗
On the Alert condition tab, select the type of condition that triggers an alert. If you want to create compound conditions using AND
or OR
operators on the Alert settings tab, you must use the Custom Threshold condition. This applies whether you are monitoring a single signal or multiple signals.
Infrastructure Monitoringおよびカスタムメトリクスのディテクターで使用可能な内蔵アラート条件のリストについては、内蔵アラート条件 を参照してください。
アラート条件を選択したら、次のタブに進み、アラートのトリガーとする設定を指定します。
注釈
「アラート条件」タブが表示されない場合は、APIを使って作成されたディテクターが表示されています。詳細は、SignalFlowタブでディテクターを編集する を参照してください。
アラート設定を指定する 🔗
アラート設定 タブで、アラートをトリガーする設定を指定します。利用可能な設定は、選択したアラート条件によって異なります。各内蔵条件で使用可能な設定については、内蔵アラート条件 を参照してください。
「カスタム閾値」条件を使用している場合、Add another condition を選択してANDおよびOR演算子を使用した複合条件を作成できます。複合条件の詳細については、カスタム閾値 を参照してください。
チャートでは、選択した設定に基づいてトリガーされるアラートのプレビューを使用します。プレビューの使い方については、ディテクターのアラートのプレビュー を参照してください。
アラートをトリガーするための設定を指定したら、次のタブに進み、アラートがトリガーされたときに送信されるメッセージを作成します。
注釈
If you don’t see the Alert settings tab, you are viewing a detector that was created using the API; alert settings are defined in the SignalFlow tab.
アラートメッセージ 🔗
アラートメッセージ タブで、アラートの重大度と通知メッセージに含める情報を指定します。
重大度 🔗
このルールによって生成されるアラートの重要度を指定します。Splunk Observability Cloudには、Critical
、Major
、Minor
、Warning
、Info
の5つの重大度ラベルがあります。各重大度ラベルは異なる色が付いており、イベントマーカーは、これに関連付けられた色でチャートに表示されます。
複数のルールを作成し、類似した条件に対して異なる重大度レベルのアラートを生成することができます。例えば、以下のように設定できます:
トリガー感度を「低」に設定した リソースの枯渇 のアラート条件には「Critical」のアラート
トリガー感度を「中」に設定した同じアラート条件には「Major」のアラート
トリガー感度を「高」に設定した同じアラート条件には「Minor」のアラート
別の例としては:
「レポートがなかった期間」 の条件を60分間に設定した ハートビートチェック のアラート条件には「Critical」のアラート
同期間を30分間に設定した同じアラート条件には「Major」のアラート
同期間を15分間に設定した同じアラート条件には「Minor」のアラート
これを行うための最も簡単な方法は、1つの重大度でルールを作成し、アクションメニュー(⋯ )から
を選択し、設定と重大度を編集することです。メッセージのプレビュー 🔗
アラートがトリガーまたは解除されたときに送信されるデフォルトメッセージを表示します。メッセージの件名や内容を編集するには、Customize を選択します。メッセージの作成に使用されるコードと変数を見ることができます。メッセージの編集中には、使用可能な変数がメッセージ領域の右に表示されます。変数の値がエスケープ処理されないように、指定された場所では三重の波括弧を使用します。
変数の使用は、メッセージの件名と本文でのみサポートされており、RunbookやTipフィールドではサポートされていないことに注意してください。

メッセージ内では、Markdownも使用できます。
メッセージに変数を入力する際、最初の数文字を入力すると変数のリストを絞り込むことができます。「タブ」を選択すると、リストの最初の変数がメッセージに追加されます。
カスタムメッセージの作成時に使用できるすべての変数とヘルパー関数については、アラートメッセージ変数の参照情報 を参照してください。
アラートメッセージを作成したら、次のタブに進み、アラートメッセージの送信先を指定します。
カスタムプロパティを表示する 🔗
Splunk Observability Cloud APIを使用してディテクターを作成する場合、promote()
メソッドを使用してカスタムプロパティをディメンションに変換できます。
カスタムプロパティをディメンションに変換することで、そのプロパティをアラートメッセージに表示できます。詳細は、promoteメソッドの開発者用ドキュメント を参照してください。
ディテクターのAPIエンドポイントの詳細については、Splunk Observability Cloud APIリファレンスの「 ディテクター 」を参照してください。
アラート受信者 🔗
アラート受信者 タブで、アラートがトリガーまたは解除された際の通知メッセージの受信者を指定します。受信者は、ルールの受信登録者です。受信者の追加は任意ですが、この機能は多くの場合に役立ちます。
以前に アラートを他のシステムと統合している場合 は、それらのオプションは Add Recipient のドロップダウンメニューに表示されます。また、メールアドレス、ウェブフックURL および Create and manage teams に送信することもできます。条件が解除された際にも、通知が送信されます。
次の表は、さまざまなタイプのメール通知について説明したものです:
メール通知 |
説明 |
---|---|
中止 |
アラートがトリガーされたときにディテクターがミュートまたは無効になっています |
正常に復帰 |
アラートは解除されています |
手動で解決 |
アラート状態中に、アラートが手動で |
自動解除 |
ディテクターに自動解除設定が適用されており、指定時間が経過しました。詳細は、アラートの自動解除 を参照してください |
注釈
ヒント
If you want to add the same subscribers to each of multiple rules, you can add the subscribers to all rules at once by using the Manage subscriptions option on the Detectors tab under Detectors & SLOs after you save the detector.
ディテクターによる通知の送信を一時的に停止するには、通知のミュート を実行します。
有効化 🔗
On the Activate tab you see a summary of the detector settings you specified. Review the summary and make any necessary changes in the associated tabs, then name the rule. By default, the rule name is the same as the detector name. The rule name is displayed on the Alerts page and in notifications.
Select Activate Alert Rule to save the detector and begin monitoring the specified signal. After you activate the detector, the Alert Rules tab of the detector is displayed, showing the signal you selected and a summary of the rule you built. You can edit the detector name; the text you enter here is displayed as the detector name on the Detectors tab under Detectors & SLOs. You can also provide additional descriptive text to clarify the purpose of the detector for others.
注釈
ディテクター名または説明を変更する場合は、Save ボタンを選択します。保存せずに「 閉じる 」ボタンを選択すると、変更内容が失われます。
SignalFlowタブでディテクターを編集する 🔗
注釈
This section assumes you are familiar with the Splunk Observability Cloud detectors API .
If you are modifying a detector that was created using the API, you can add and edit detector rules using the SignalFlow tab. The SignalFlow program text replaces the Alert signal, Alert condition, and Alert settings tabs that are used when creating and editing detectors using the UI.
SignalFlowの detect
ステートメント内の publish
ステートメントはすべて、「アラートルール」タブのルールに対応しています。 publish
ブロック内に入力したラベルは、「アラートルール」タブに表示されるアクティブなアラートの数の横に表示されます。
例えば、下記のSignalFlowの detect
ブロックの場合:
detect(when(A > 1000)).publish('Weekly Starting Monday')
「アラートルール」タブでは、以下のように表示されます:

例えば以下のように、ディテクターに、ディテクターのチャートのプロットラインに対応する data
ブロックが含まれている場合:
A = data('cpu.idle'.publish(label='CPU idle')
ラベルは、SignalFlowタブの画面の右側に表示されます。ラベルが表示されるようにするには、data
ブロックに publish
ブロックを含める必要があります。

歯車のアイコンを選択すると、ディテクターのチャートに表示されるプロットラインに指定できるオプションが表示されます。

アラートメッセージ、受信者、またはルール名を追加または編集するには、「アラートルール」タブの Edit ボタンを使用します。有効化 タブで追加したルール名は、アラート ルール タブに表示されます。このルール名は、アラート ページおよびアラート通知のアラート条件としても表示されます。
例えば、有効化 タブで以下のように表示されたルール名は:

アラートルール タブでは、以下のように表示されます:

アラートルール タブのディテクターの編集オプションの詳細については、アラートメッセージ、アラート受信者、有効化 を参照してください。
アラートルールの管理 🔗
ディテクターの Alert Rules タブで、ルールのアクションメニュー(⋯ )を使用して、アラートルールの非アクティブ化、アクティブ化、複製、削除を行うことができます。
注釈
ルールの複製または削除のオプションは、APIを使用して作成されたディテクターでは使用できません。
Activate or deactivate alert rules 🔗
ディテクターに複数のルール(重大度レベルごとに異なるルールなど)がある場合、どのルールをアクティブまたは非アクティブにするかを指定できます。ルールを非アクティブにすると、そのルールはイベントを生成しなくなり、通知を送信しなくなります。このオプションを使用して、ディテクターがトリガーするアラートの数を増やしたり減らしたりします。
注釈
アラートルールを非アクティブにすると、そのルールのアクティブなアラートもすべて解除されます。
アラートルールの複製 🔗
チャートのプロットラインと同様に、ルールを複製することができます。このオプションは、アラート条件 のプロパティに異なる値を指定したり、アラートの重大度レベルを変更するなど、互いにわずかに異なる設定を持つルールを作成するために、よく使用されます。
アラートルールの削除 🔗
ディテクターからルールを削除するには、このオプションを使用します。
Tag a detector 🔗
Use tags to indicate the state of a detector, its data source, or any other property you want to label. For example, you can tag a detector with prod
to indicate that it monitors a production environment.
You can tag detectors from the list view. To see a list of detectors and add tags, do the following:
To open the list view, open the Detectors & SLOs page, then select the Detectors tab.
Select the actions menu (⋯) for the detector you want to assign tags to.
Select Edit tags.
Enter tags for the detector. You can add no more than 20 tags per detector.
Select Save.
Link teams to a detector 🔗
Link teams to a detector to indicate which team is responsible for the maintenance and monitoring of the detector. Teams associated with a detector can see the detector and its active alerts on the team’s landing page.
To link teams to a detector, select the detector actions menu (⋯), either from the list view of the individual detector view, then select Link to teams. You can link no more than 20 teams to a detector.
注釈
The list of teams linked to a detector is independent of notification settings. Associated teams don’t automatically get notified of new alerts. To configure notifications, see 通知の受信登録の管理.
ディテクターの権限の設定 🔗
ディテクターが組織の他のメンバーによって編集または削除されないように保護するために、ディテクターに対する権限を持つユーザーおよびチームを指定できます。詳細については、ディテクターの権限の表示と管理 を参照してください。