Splunk | Splunk でアラートを作成する手順 - Support and Troubleshooting

Splunk | Splunk でアラートを作成する手順 Issue この記事では、Splunk でアラートを作成し、配布リストまたは特定のユーザーセットに通知メールを送信できるようにするプロセスについて説明します。

Release 本番インスタンス。

Resolution Splunk でアラートを作成する手順は次のとおりです。

1) 次のリンクを使用して Splunk に移動します。

https://search.servicenow.net/

2) 検索ページで検索する文字列を入力します。例：

sourcetype=appnode_localhost_log instance= "OutofMemoryError: Metaspace"

次に、選択可能な 3 つのモード (高速モード、スマートモード、詳細モード) から選択し、緑色の虫眼鏡アイコンを押して検索します。

3) アラートを作成するには、[名前を付けて保存] を選択し、次のように [アラート] を選択します。

4) 次の画面が表示され、その他の詳細を入力できます。

タイトル： アラートの名前

説明： アラートのその他の詳細

権限： [プライベート] と [アプリで共有] から選択します。[プライベート] では、自分だけがアラートの表示と編集の権限を持ち、他のユーザーには表示されません。[アプリで共有] は、検索およびレポートのアプリで他のユーザーがアラートを利用できることを示します。アラートは、このコンテキストで他のユーザーに表示されます。権限に応じて、他のユーザーがダッシュボードを編集できます。

アラートタイプ： [スケジュール済み] と [リアルタイム] から選択します。詳細を以下に示します。

CRON ジョブを作成するには、アラートの種類を [スケジュール済み] に設定し、[CRON スケジュールで実行 (Run on CRON Schedule)] を選択し、[時間範囲] (CRON ジョブが実行されるたびに検索クエリで確認する時間範囲) を選択する必要があります。

上の図は、CRON ジョブが 15 分ごとに実行され ([Cron 式] フィールドに設定された値)、直近 15 分間 ([時間範囲] フィールドに設定された値) のデータを検索する例を示しています。

Cron 式： 時間範囲と Cron 式を使用して、アラートのスケジューリングをカスタマイズします。

Cron 式は、スペースで区切られた 5 つのフィールドで構成されるデータ文字列です。5 つの Cron フィールドには、左から右に次のような時間に関する値の範囲があります。

分：0 ～ 59 時間：0 ～ 23 日：1 ～ 31 月：1 ～ 12 曜日：0 ～ 6 (0 = 日曜日) 間隔 /N の Cron 式では、間隔 N で指定された範囲にあるすべての値が使用されます。範囲内の数値が間隔 N の外にある場合、値は 0 にリセットされます。

Cron 式の例を次に示します。

*/5 * * * *：5 分ごと。 */30 * * * *：30 分ごと。 0 */12 * * *：12 時間ごと、正時。 */20 * * * 1-5：月曜から金曜、20 分ごと。 0 9 1-7 * *：毎月最初の 7 日間、午前 9 時。

トリガー条件： アラートをトリガーした条件。

次の場合にアラートをトリガー： 条件が満たされたときにアラートがトリガーされます。結果の数が特定の値より多いまたは少ない場合に条件を追加することもできます。

トリガー： このアラートを 1 回だけトリガーするか、基準が満たされるたびにトリガーするかを指定します。

スロットル： スロットルを使用して、特定の期間のアラートトリガーを抑制します。類似した検索結果やスケジュール設定が原因で、アラートが頻繁にトリガーされる場合があります。 検索が頻繁に実行されるようなスケジュールを設定し、かつ結果が生成されるたびに通知を受け取りたくない場合は、アラートを長期間抑制するようにスロットルのコントロールを設定します。 リアルタイム検索の場合、特定の条件が満たされたときに 1 回トリガーされるようにアラートを構成していれば、スロットルの構成は不要です。毎回の結果に対してアラートがトリガーされる場合は、追加のアラートを抑制するようスロットルを構成する必要があります。

[スロットル] チェックボックスをオンにすると、指定された期間および (毎回の結果でのトリガーを選択した場合は) 指定したフィールド値についてアラート通知が抑制されます。デフォルトの期間は 60 秒ですが、任意の時間に変更できます。これらの設定はどちらも、電子メールの受信トレイがアラート通知の電子メールでいっぱいになるのを防止するのに役立ちます。

トリガーアクション： このセクションは、ユーザーにこのアラートを通知する方法を決定します。

このセクションのフィールドの役割は一目瞭然ですが、電子メールの件名と本文にトークンを使用することで、アラートに具体性を持たせることができます。例えば、件名フィールドと本文フィールドには、 $name$ トークンを使用するテキストが事前に入力されていて、アラートが送信されるときに検索の名前に置き換えられます。

$result. fieldname $ トークンを使用し、 fieldname を含めるフィールドの名前に置き換えれば、トリガーの検索結果自体の情報を含めることもできます。例えば、ユーザーのユーザー名を含むフィールド名を指定できます。

アラートを保存すると、次の情報が表示され、アクセス許可を変更できます。

Related Links 1) Cron ジョブアラートの例：

https://docs.splunk.com/Documentation/Splunk/7.2.6/Alert/CronExpressions

2) アラートスケジューリングのベストプラクティス：

https://docs.splunk.com/Documentation/Splunk/7.2.6/Alert/AlertSchedulingBestPractices