マルチ対応者インシデント 🔗
Splunk On-Callを使用すると、インシデント発生時にチームを迅速に動員できます。通常のインシデントでは1回の承認応答でページングが停止しますが、マルチ対応者インシデントでは、ページングされている各ユーザーまたはエスカレーションポリシーからの応答が必要です。
注釈
ルーティングキーによって自動的に呼び出されるのとは対照的に、マルチ対応者によるインシデント対応を手動で呼び出すには、エンタープライズレベルのサービスが必要です。
カスケードエスカレーションポリシー 🔗
アラートが別のエスカレーションポリシーまたはエスカレーションポリシーのセットを参照するエスカレーションポリシーに送信され、マルチ対応者が有効になっている場合、エスカレーションポリシーのすべての最初のステップは、手動インシデントまたは追加の対応者を介して親エスカレーションポリシーが呼び出された場合に応答する必要があります。
これを使えば、1つのエスカレーションポリシーだけを呼び出すことで、インシデントの周囲に複数のチームを編成できるレスポンスプレイを構築できます。
マニュアルインシデント - マルチ対応者 🔗
ユーザーやエスカレーションポリシーに手動でインシデントを送信することができ、ユーザーまたはエスカレーションポリシーごとに個別の確認が必要です。
インシデントが複数の対応者を必要とする場合、必要なすべての対応者がそれを確認するまで、確認済み状態には移行しません。例として、下の図にインシデント カードのページングの状態と承認の進行状況を示します。
インシデントへの対応者の追加 🔗
対応者アイコンを選択し、特定のインシデントに応答者を追加することで、対応者の確認を要求することができます。
ここで、ページングするユーザーまたはエスカレーションポリシーを選択し、個別の承認を要求することができます。これはリルートと似ていますが、1回のAckでページングをキャンセルするのではなく、各エスカレーションポリシーまたはユーザーが、インシデントを確認済み状態に移動させるために確認する必要があります。
提案される対応者 🔗
Splunk On-Callは、支援できる可能性の高い対応者を提案することができます。Splunk On-Callは、過去のインシデントへのユーザーの関与に関する情報を活用して、インシデント対応に追加する可能性のある対応者を提案します。ユーザーが現在オンコール状態でない場合、ユーザー名の横に赤い警告マークが表示されます。
ルーティングキーを使用した自動マルチ対応者 🔗
Splunk On-Callでは、マルチ対応者機能をルーティングキーレベルで自動的に呼び出すことができます。
Settings の下にある「ルーティングキー」に移動し、Routing Keys、既存のキーの上にマウスを置くと表示される鉛筆のアイコンを選択します。「マルチ対応者」列のチェックボックスを選択し、隣のチェックマークを選択して変更を保存します。
ルーティングキーによって複数のエスカレーションポリシーが指定されている場合、インシデントが完全に承認される前に、それぞれのエスカレーションポリシーからの承認が必要となります。