ディテクターのアラートのプレビュー 🔗
Setting up the right alerts is usually a process of trial and error. You set up an alert, get notified when it is triggered (or worse, don’t get notified when it should have triggered), adjust the trigger condition if necessary, and wait for the next alert. Splunk Infrastructure Monitoring provides an alert preview functionality that accelerates this trial and error process. (If you are using the Splunk Observability Cloud API to manage detectors, this feature corresponds to the POST /v2/signalflow/preflight API endpoint.)
アラートプレビューの仕組み 🔗
When you go to the Alert Settings tab while creating or editing a detector rule, Splunk Infrastructure Monitoring runs the settings against your data and generates a preview chart to help you decide whether your settings are appropriate for your requirements. The preview indicates when alerts would have triggered during the time range specified in the detector. You can use the preview to fine-tune the settings that will trigger the alert, to assure that you will receive the alerts you expect when you expect them.
注釈
APIを使用して作成されたディテクターを編集している場合は、「アラートルール」タブを使用してルールを管理しているときにアラートプレビューを利用できます。プレビューは、SignalFlowテキストを編集しているとき、またはディテクターの時間範囲を変更したときにトリガーされます。
Data displayed in the chart may be rolled up based on the detector’s time range. The detail view displays data at detector resolution for the selected time period on the chart; that is, data points are shown at the frequency with which the detector is monitoring the signal to determine whether an alert should be triggered or cleared. This view lets you see exactly what data the detector is viewing for the period selected in the chart. You can select and drag the left edge of the detail view to enlarge it and gain more visibility into the data.
プレビューが表示されている間、タブ間を移動することができます。例えば、「アラートシグナル」タブに移動し、「データテーブル」を見て、アラートのトリガー前、トリガー中、トリガー後のシグナルの値を確認することができます。
注釈
プレビューは、1週間前(-1w)までの期間に対して生成できます。ディテクターの時間範囲が1週間を超える場合(言い換えると、-31dを指定して前月のデータを表示した場合)、プレビューには、直前の1週間の期間のみのアラートマーカーが表示されます。
以下のセクションでは、プレビュー機能を使用してディテクターを要件に合わせて調整する方法の例を示します。
過去のアクティビティに基づいて既存のディテクターを修正する 🔗
すでにシステムでアラートをトリガーしているディテクターがある場合、それらの一部の感度が高すぎる(アラートをトリガーする頻度が高すぎる)か、または十分な感度がない(問題について通知を受けたいときにアラートをトリガーしない)ことに気づくかもしれません。いずれの場合も、プレビューオプションを使用して、適切な数のアラートをトリガーするようにディテクターの設定を変更できます。
To use the preview option for the detector, open the detector and set a time range of, for example, -1w to display all alerts that were triggered in the last week. (Alternately, you can set a shorter time range that better represents the issue you are addressing). Display the Alert Rules tab, edit the alert condition, and open the Alert Settings tab. The chart display changes from showing actual past alerts (if any) to showing a preview of alerts that would have triggered based on the alert condition.
Depending on the type of alert condition, you have different options for making the detector more or less sensitive. For example, if you see more markers than you think you should (alert is too flappy), you might be able to change Trigger Sensitivity from High to Medium or Low, or you might be able to change the sensitivity from triggering immediately to triggering after a period of time. For many alert conditions, you can choose Custom for Trigger Sensitivity, which gives you more control over when alerts will be triggered.
これらの変更を行うと、プレビューが更新され、新しい設定に基づいてトリガーされるであろうアラート数がチャートに表示されます。期待する動作をより正確に反映するようにディテクターを変更したら、Activate` を選択し、アラートルールを更新します。
注釈
アラート条件を変更してディテクターを保存すると、現在アクティブなアラートのステータスは「停止済み」に設定されます。
最近のアラートに基づいて新しいディテクターを作成する 🔗
過去数時間にシグナルが急上昇し、その急上昇を監視するために 新しいディテクターを作成 するとします。「シグナル」タブで急上昇したシグナルを追加し、「アラート条件」タブで適切な条件を選択します。
注釈
このシグナルをプロットラインとして含むチャートがすでにある場合、ゼロから新しいディテクターを作成する代わりに、チャートからディテクターを作成する ことができます。「アラート条件」タブでルールの作成を開始する際に、そのシグナルを選択します。
In this example, we set the time range of the detector to -2h, named the detector and the new rule, and chose the 急激な変化 condition, which compares recent values with earlier values. Based on the trigger sensitivity (the default is Low), the preview chart shows event markers for times when the alert would have been triggered during the past week; you should see an event marker for the time the spike occurred. You might also see markers for other times the signal spiked in the past week, as well as markers indicating the alert condition cleared.
使用するアラート条件の種類によって、感度を調整するオプションが異なります。
最近のシグナル値に基づいて新しいディテクターを作成する 🔗
この例では、静的な閾値を使って条件を設定します。私たちはチャートを確認し、ちょうど良さそうな閾値を選択しました。しかしプレビューを見ると、前日に11個のアラートを受信していたであろうことがわかります。
閾値を上げると、予測されるアラートの数は減ります。
データにふさわしいプレビューが表示されるまで、設定の調整を続けます。静的閾値条件では、閾値を調整することができますが、アラートをトリガーする速さも調整することができます。詳細については、静的閾値 を参照してください。これらの設定を組み合わせて使用し、要件に合わせてディテクターをカスタマイズします。
使用するアラート条件の種類によって、感度を調整するオプションが異なります。