アラート管理者として開始する 🔗
Splunk On-Callを初めて利用する場合は、まず ユーザーとして開始する というトピックから始めるとよいでしょう。ユーザーアクセス許可に慣れたら、アラート管理者の役割について学びましょう。アラート管理者の役割では、人やスケジュールの管理に必要なアクセス許可と、技術的な行動やリスクの高い行動の管理に必要なアクセス許可を2つの役割に分けて提供します。Splunk On-Callユーザーアクセス許可の全リストには以下が含まれます:
グローバル管理者:すべてのアクセス許可を保持します
チーム管理者:人員とスケジュールを管理します
アラート管理者:アラートの作成と最適化の技術的側面を管理します
ユーザー:アラート対応
アラート管理者は、アラート構成、インテグレーション、そのワークフローを管理する責任があります。そのアクセス許可は組織全体に及びます。インテグレーションの適切な管理と維持は、アラートワークフローに不可欠です。
アラート管理者には、以下のアクションを実行する権限があります:
インテグレーション設定
ルーティングキーとルールの管理
Webhookの作成と管理
メンテナンスモード
成功するアラート管理者になるための推奨事項 🔗
ルーティングキーを作成する:ルーティングキーは、適切なオンコールユーザーを呼び出すために、アラートを適切なエスカレーションポリシーに誘導するロールを果たします。各アラートの「郵便料金」と考えてください。エスカレーションポリシーとルーティングキーの名前が同期し、識別しやすくなるように、チーム管理者に連絡して、ルーティングキーの命名規則をサポートしてもらいましょう。
インテグレーションを有効にして設定します: Splunk On-Callインテグレーション ページで必要なインテグレーションを検索します。必要なインテグレーションが表示されない場合は、ツールの機能に基づいて、汎用レストエンドポイントまたはメールインテグレーションを使用できます。インテグレーションガイドを使用して、インテグレーションを構成します。アラートによる疲労や混乱を避けるため、Splunk On-Callには重要で実用的なアラートのみを送信するようにしてください。
アラートが対応するチームに送信されることを確認します:インテグレーションを構成した後、テストアラートを送信して、インシデントがルーティングされ、適切に動作していることを確認します。
ルールエンジンルールの作成:特定のマッチング条件に基づいて、フィールドの変更、注釈の追加、アラートのリダイレクトを行うことができます。ルールエンジンには、フィールドの一部を解析、または時間ベースのルールを作成するための正規表現機能もあります。
カスタム発信Webhookを設定します:Webhookを使用すると、トリガーされたインシデントやチャットなど、Splunk On-Call内で実行されたアクションに基づいてSplunk On-Callの外部に情報を渡すことができます。ルールエンジンと組み合わせることで、条件付きで起動するように設定できます。
メンテナンスモード:統合のいずれかに対してメンテナンスを実行する必要がある場合は、特定のルーティングキーまたはすべてのルーティングキーに対してメンテナンスモードをオンにすることができます。メンテナンスモードでは、一定期間ページングがミュートされ、終了するとページングが再開されます。
注釈
メンテナンスモードでは、アラートがSplunk On-Callに送信されるのを停止することはなく、オンコールユーザーが着信したときにページングするだけです。