Docs » Splunk Observability Cloudのアラートとディテクターの概要 » アラートをトリガーするディテクターを作成する

アラートをトリガーするディテクターを作成する 🔗

detector は、プロットライン上のシグナルを監視し、ディテクターのルールで定義した条件に基づいてアラートイベントや解除イベントをトリガーします。ディテクターは、シグナル値がアラートルールで定義した指定閾値をまたいだときにアラートをトリガーすることができるチャートと考えることができます。

ディテクターは、アラートルールで構成されます。アラートルールを作成する際は、アラートをトリガーするための閾値の定義に、さまざまな内蔵アラート条件を選択することができます。内蔵アラート条件 を参照してください。

ディテクターは、ルールの条件が満たされたと判断すると、アラートをトリガーし、イベントを作成し、通知を送信します(指定してある場合)。ディテクターは、電子メール、Slackなどの他システムを介して、またはウェブフックを使用して通知を送信できます。詳細については、Send alert notifications to services using Splunk Observability Cloud を参照してください。

アクティブなアラート、既存のディテクター、ミュートルールは、Alerts & Detectors で確認できます。また、どのダッシュボードでも利用できる「イベント」フィードでもアラートを確認することができます。

注釈

このトピックでは、Infrastructureとカスタムメトリクスのディテクターについて説明します。Splunk APMのディテクターを作成すると、サービスのリクエスト率、エラー率、レイテンシを監視できます。Splunk APMのディテクターの詳細は、Splunk APMでディテクターとアラートを設定する を参照してください。

ディテクターを作成する 🔗

ディテクターの作成手順の概要は以下の通りです:

  1. ディテクターの作成方法 を選択します。

  2. ディテクターに アラートルール を作成して、アラートをトリガーするタイミングを指定します。

ディテクターの作成方法を選択する 🔗

ディテクターの作成には、いくつかの方法があります。

既存のディテクターを複製する 🔗

「アラートとディテクター」の Detectors タブで、既存のディテクターのリストを確認できます。

  1. 作成したいディテクターに類似したディテクターを探します。

  2. ディテクターを選択します。

  3. アクションメニュー(⋯)から Clone を選択します。

次に、ディテクターのアラートルールを作成する を参照してください。

チャートからディテクターを作成する 🔗

アラートを発したい対象のシグナルを監視しているチャートがある場合、そのチャートを使用してディテクターを作成することができます。チャートからディテクターを作成すると、監視対象のシグナルとして、チャートのシグナルの1つが事前に選択されます。

ディテクターを作成するには、以下の手順に従います:

  1. チャート上のベルアイコンを選択すると、ディテクター メニューが開きます。

  2. New detector from chart を選択します。

  3. 続行する場合は、ディテクターのアラートルールを作成する を参照してください。

チャートからディテクターを作成すると、作成したディテクターへのリンク が自動的にチャートに追加されます。

ディテクターをゼロから作成する 🔗

Infrastructure Monitoringまたはカスタムメトリクスの新規ディテクターをゼロから作成する場合は、「アラートとディテクター」で New Detector を選択するか、ナビゲーションバーの作成メニューから Custom Detector を選択します。ディテクター名を入力し、Create Alert Rule を選択してアラートルールビルダーに進みます。ルールの構築方法については、ディテクターのアラートルールを作成する を参照してください。

APIを使用してディテクターを作成する 🔗

APIを使用してディテクターを作成すると、UIでは利用できない多くの機能が提供され、より高度なルールと条件を持つディテクターを構築することができます。これらのディテクターは、UIで表示することができます。標準のディテクターで表示されるシグナルの代わりに、プログラムテキストが表示されます。

注釈

ディテクターのディスプレイに「SignalFlow」タブが含まれている場合は、Splunk Observability CloudディテクターAPI を使用してプログラムで作成されたディテクターが表示されています。このAPIに精通している場合は、ディテクターのディスプレイを使用してディテクターコードを表示および編集したり、ディテクタールールを変更することができます。

ディテクターのアラートルールを作成する 🔗

ディテクターに新しいアラートルールを設定するには、以下の手順に従います:

  1. Alert signal タブで、異常な挙動を監視するシグナルを1つ以上選択します。詳細は、アラートシグナルの選択 を参照してください。

  2. Alert condition タブで、アラートの条件を選択します。アラート条件 を参照してください。

  3. Alert settings タブで、利用可能な設定を使用してアラートの条件を完成させます。利用可能な設定は、Alert condition タブで選択した内容に基づきます。アラート設定 を参照してください。

  4. Alert message タブで、アラートの重大度を選択し、アラートメッセージおよびランブックまたはヒントをカスタマイズします。アラートメッセージ を参照してください。

  5. Alert recipients タブで、メールまたはその他のサードパーティのインテグレーションを通じて通知を受信する受信者を追加します。アラート受信者 を参照してください。

  6. タブ上で、ルールに名前を付け、ディテクターを有効化します。有効化 を参照してください。

ディテクターを有効化すると、直ちにシグナルの監視を開始します。シグナルが指定された基準を満たすと、ディテクターはアラートをトリガーし、イベントを作成し、指定されたメッセージをアラートの受信者に送信します。

注釈

「アラートシグナル」、「アラート条件」、または「アラート設定」のタブが表示されない場合は、APIを使って作成されたディテクターが表示されています。詳細は、SignalFlowタブでディテクターを編集する を参照してください。

アラートシグナルの選択 🔗

アラートシグナル タブで、メトリクスと該当する分析を入力して、監視するシグナルを定義します。

  • If you are creating a detector from scratch, you have to first select the signals you want to monitor. Selecting a signal for a detector is similar to selecting a signal in a chart in the Chart Builder. Enter a metric and select the metric you want to monitor from the list. Add filters or analytics. To add more signals, select Add Metric or Event or Add Formula. You can add events to be displayed on the chart, but you cannot select an event as the signal to be monitored. To learn more, see プロット線にシグナルを指定する.

    注釈

    When you select an archived metric as a signal in your detector, the archived metric can’t be report data to your detector and will cause the detector to misfire alerts or stop working. To include an archived metric in detectors, route them to real-time or create exception rules to make them available. For more information, see the Use routing exception rules to route a specific MTS or restore archived data section.

  • チャートから ディテクターを作成する場合または ディテクターを複製して 作成する場合は、新しいシグナルを追加する必要はありません。ただし、それでもディテクターに新しいシグナルを追加するという場合、追加したシグナルは元のチャートやディテクターには追加されません。

  • You can add events to be displayed on the chart, but you can’t select an event as the signal to be monitored.

ディテクターに複数のシグナルがある場合は、どのシグナルに対してアラートを発するかを選択します。

  • 単一のシグナルを監視するには、Alert on 列のベルアイコンを選択し、監視するシグナルを選択します。ベルが青くなっている場合、それは監視中のシグナルです。

  • 複数のシグナルの値に基づいて複合条件を作成する場合(例えば、「シグナルAが x より高い OR シグナルBが y より高い」など)、Monitor multiple signals のベル2個のアイコンを選択します。複数のシグナルを監視することを選択すると、アラート条件は Custom Threshold に変更されます。

注釈

「アラートシグナル」タブが表示されない場合は、APIを使って作成されたディテクターが表示されています。詳細は、SignalFlowタブでディテクターを編集する を参照してください。

アラート条件を選択する 🔗

アラート条件 タブで、アラートをトリガーする条件のタイプを選択します。「アラート設定] タブでANDまたはOR演算子を使用して複合条件を作成する場合は、「カスタム閾値」条件を使用する必要があります。これは、単一のシグナルを監視する場合でも、複数のシグナルを監視する場合でも適用されます。

Infrastructure Monitoringおよびカスタムメトリクスのディテクターで使用可能な内蔵アラート条件のリストについては、内蔵アラート条件 を参照してください。

アラート条件を選択したら、次のタブに進み、アラートのトリガーとする設定を指定します。

注釈

「アラート条件」タブが表示されない場合は、APIを使って作成されたディテクターが表示されています。詳細は、SignalFlowタブでディテクターを編集する を参照してください。

アラート設定を指定する 🔗

アラート設定 タブで、アラートをトリガーする設定を指定します。利用可能な設定は、選択したアラート条件によって異なります。各内蔵条件で使用可能な設定については、内蔵アラート条件 を参照してください。

「カスタム閾値」条件を使用している場合、Add another condition を選択してANDおよびOR演算子を使用した複合条件を作成できます。複合条件の詳細については、カスタム閾値 を参照してください。

チャートでは、選択した設定に基づいてトリガーされるアラートのプレビューを使用します。プレビューの使い方については、ディテクターのアラートのプレビュー を参照してください。

アラートをトリガーするための設定を指定したら、次のタブに進み、アラートがトリガーされたときに送信されるメッセージを作成します。

注釈

「アラート設定」タブが表示されない場合は、APIを使用して作成されたディテクターを表示しています。アラート設定は、「 SignalFlow 」タブで定義されます。

アラートメッセージ 🔗

アラートメッセージ タブで、アラートの重大度と通知メッセージに含める情報を指定します。

重大度 🔗

このルールによって生成されるアラートの重要度を指定します。Splunk Observability Cloudには、CriticalMajorMinorWarningInfo の5つの重大度ラベルがあります。各重大度ラベルは異なる色が付いており、イベントマーカーは、これに関連付けられた色でチャートに表示されます。

複数のルールを作成し、類似した条件に対して異なる重大度レベルのアラートを生成することができます。例えば、以下のように設定できます:

  • トリガー感度を「低」に設定した リソースの枯渇 のアラート条件には「Critical」のアラート

  • トリガー感度を「中」に設定した同じアラート条件には「Major」のアラート

  • トリガー感度を「高」に設定した同じアラート条件には「Minor」のアラート

別の例としては:

  • 「レポートがなかった期間」 の条件を60分間に設定した ハートビートチェック のアラート条件には「Critical」のアラート

  • 同期間を30分間に設定した同じアラート条件には「Major」のアラート

  • 同期間を15分間に設定した同じアラート条件には「Minor」のアラート

これを行うための最も簡単な方法は、1つの重大度でルールを作成し、アクションメニュー(⋯)から Clone を選択し、設定と重大度を編集することです。

メッセージのプレビュー 🔗

アラートがトリガーまたは解除されたときに送信されるデフォルトメッセージを表示します。メッセージの件名や内容を編集するには、Customize を選択します。メッセージの作成に使用されるコードと変数を見ることができます。メッセージの編集中には、使用可能な変数がメッセージ領域の右に表示されます。変数の値がエスケープ処理されないように、指定された場所では三重の波括弧を使用します。

変数の使用は、メッセージの件名と本文でのみサポートされており、RunbookやTipフィールドではサポートされていないことに注意してください。

この画像はメッセージエディターを示しています。

メッセージ内では、Markdownも使用できます。

メッセージに変数を入力する際、最初の数文字を入力すると変数のリストを絞り込むことができます。「タブ」を選択すると、リストの最初の変数がメッセージに追加されます。

カスタムメッセージの作成時に使用できるすべての変数とヘルパー関数については、アラートメッセージ変数の参照情報 を参照してください。

アラートメッセージを作成したら、次のタブに進み、アラートメッセージの送信先を指定します。

カスタムプロパティを表示する 🔗

If you are creating a detector using the Splunk Observability Cloud API, you can convert custom properties to dimensions using the promote() method.

カスタムプロパティをディメンションに変換することで、そのプロパティをアラートメッセージに表示できます。詳細は、promoteメソッドの開発者用ドキュメント を参照してください。

For more information about the detector API endpoints, see Detectors Splunk Observability Cloud API reference.

アラート受信者 🔗

On the Alert recipients tab, specify who receive notification messages when alerts are triggered or cleared. Recipients are subscribers to a rule. Adding recipients is optional, but often useful.

以前に アラートを他のシステムと統合している場合 は、それらのオプションは Add Recipient のドロップダウンメニューに表示されます。また、メールアドレス、ウェブフックURLチームの作成と管理 に送信することもできます。条件が解除された際にも、通知が送信されます。

The following table explains different types of email notifications:

Email notification

説明

Stopped

The detector is muted or disabled when the alert is triggered

Back to normal

The alert is cleared

Manually resolved

The alert is manually set as resolved during an alert state

Auto-cleared

The Auto-clear setting is applied to the detector and the specified duration has elapsed. To learn more, see アラートの自動解除

注釈

ヒント

  • 複数のルールのそれぞれに同じ受信登録者を追加する場合は、ディテクターを保存した後に、「アラートとディテクター」の「ディテクター」タブにある「 受信登録の管理 」オプションを使用して、すべてのルールに受信登録者を一度に追加できます。

  • ディテクターによる通知の送信を一時的に停止するには、通知のミュート を実行します。

有効化 🔗

有効化 タブに、指定したディテクター設定の概要が表示されます。概要を確認し、関連タブで必要な変更を行った後、ルールに名前を付けます。 デフォルトでは、ルール名はディテクター名と同じになっています。ルール名は、「アラート」ページおよび通知に表示されます。

Select Activate Alert Rule to save the detector and begin monitoring the specified signal. After you activate the detector, the Alert Rules tab of the detector is displayed, showing the signal you selected and a summary of the rule you built. You can edit the detector name; the text you enter here is displayed as the detector name on the Detectors tab under Alerts & Detectors. You can also provide additional descriptive text below the name, for example, to clarify the purpose of the detector for others.

注釈

ディテクター名または説明を変更する場合は、Save ボタンを選択します。保存せずに「 閉じる 」ボタンを選択すると、変更内容が失われます。

SignalFlowタブでディテクターを編集する 🔗

注釈

このセクションは、Splunk Observability CloudディテクターAPI に精通していることを前提としています。

APIを使用して作成されたディテクターを変更する場合、SignalFlowタブを使用してディテクタールールを追加および編集することができます。SignalFlowのプログラムテキストは、UIを使用してディテクターを作成および編集する際に使用する「アラートシグナル」、「アラート条件」、および「アラート設定」タブの代わりです。

SignalFlowの detect ステートメント内の publish ステートメントはすべて、「アラートルール」タブのルールに対応しています。 publish ブロック内に入力したラベルは、「アラートルール」タブに表示されるアクティブなアラートの数の横に表示されます。

例えば、下記のSignalFlowの detect ブロックの場合:

detect(when(A > 1000)).publish('Weekly Starting Monday')

「アラートルール」タブでは、以下のように表示されます:

この画像は、「アラートルール」タブのSignalFlowの「detect」ブロックの例です。

例えば以下のように、ディテクターに、ディテクターのチャートのプロットラインに対応する data ブロックが含まれている場合:

A = data('cpu.idle'.publish(label='CPU idle')

ラベルは、SignalFlowタブの画面の右側に表示されます。ラベルが表示されるようにするには、data ブロックに publish ブロックを含める必要があります。

この画像はプロットラベルを示しています。

歯車のアイコンを選択すると、ディテクターのチャートに表示されるプロットラインに指定できるオプションが表示されます。

この画像は、プロットラインのプロットオプションを示しています。

アラートメッセージ、受信者、またはルール名を追加または編集するには、「アラートルール」タブの Edit ボタンを使用します。有効化 タブで追加したルール名は、アラート ルール タブに表示されます。このルール名は、アラート ページおよびアラート通知のアラート条件としても表示されます。

例えば、有効化 タブで以下のように表示されたルール名は:

この画像は、「有効化」タブのルール名を示しています。

アラートルール タブでは、以下のように表示されます:

この画像は、「アラートルール」タブのルール名の別の例を示しています。

アラートルール タブのディテクターの編集オプションの詳細については、アラートメッセージアラート受信者有効化 を参照してください。

アラートルールの管理 🔗

ディテクターの Alert Rules タブで、ルールのアクションメニュー(⋯)を使用して、アラートルールの非アクティブ化、アクティブ化、複製、削除を行うことができます。

注釈

ルールの複製または削除のオプションは、APIを使用して作成されたディテクターでは使用できません。

アラートルールの有効化/無効化 🔗

ディテクターに複数のルール(重大度レベルごとに異なるルールなど)がある場合、どのルールをアクティブまたは非アクティブにするかを指定できます。ルールを非アクティブにすると、そのルールはイベントを生成しなくなり、通知を送信しなくなります。このオプションを使用して、ディテクターがトリガーするアラートの数を増やしたり減らしたりします。

注釈

アラートルールを非アクティブにすると、そのルールのアクティブなアラートもすべて解除されます。

アラートルールの複製 🔗

チャートのプロットラインと同様に、ルールを複製することができます。このオプションは、アラート条件 のプロパティに異なる値を指定したり、アラートの重大度レベルを変更するなど、互いにわずかに異なる設定を持つルールを作成するために、よく使用されます。

アラートルールの削除 🔗

ディテクターからルールを削除するには、このオプションを使用します。

ディテクターの権限の設定 🔗

ディテクターが組織の他のメンバーによって編集または削除されないように保護するために、ディテクターに対する権限を持つユーザーおよびチームを指定できます。詳細については、ディテクターの権限の表示と管理 を参照してください。

This page was last updated on 2024年11月12日.