静的閾値

「静的閾値」条件は、シグナルが静的閾値を上回った場合か下回った場合、または、範囲内にあるか範囲外にあるかによってアラートを発します。

「静的しきい値」では、シグナルが静的しきい値を上回った場合か下回った場合、または範囲内にあるか範囲外にあるかによってアラートを発します。この条件は、傾向(急激な変化およびリソースの枯渇条件を使用可能)や過去の動作との比較(履歴的異常を使用可能)ではなく、固定値に基づいてアラートを受け取る必要がある場合に使用します。この条件は、「良好」な値と「不良」な値の静的な範囲を持つメトリックで最も適切に機能します。

あるシグナルと別のシグナルを比較する場合は、カスタムしきい値を使用します。

  • 可用性SLAに「99.9」と設定していて、可用性がその値を下回るたびにアラートを受け取りたい場合

  • 「健全」な範囲を 200 ~ 300 ms に設定したレイテンシのシグナルがあり、その範囲から外れたときにアラートを受け取りたい場合。

設定

パラメータ

備考

Alert when

AboveBelowOut of RangeWithin Range

Threshold

Lower threshold, Upper threshold

数字

Alert whenOut of Range または Within Range を選択した場合、下限および上限の閾値が利用できます。

Alert when について、Out of Range または Within Range を選択すると、Lower thresholdUpper threshold に数値を入力できます。

Within Range の場合、指定する閾値は包括的(>= および <=)です。

Out of Range の場合、指定する閾値は排他的(> および < )です。

Trigger sensitivity

ImmediatelyDurationPercent of duration

Immediately を使用すると、閾値に達するとすぐにアラートがトリガーされます。

Duration を使用すると、シグナルがしきい値状態を満たし、その状態が指定された期間(10 分間など) 継続した場合にアラートがトリガーされます。シグナルの上下変動が頻繁に発生するのが一般的な場合は、このオプションを使用するとフラッピングが減少します。このオプションを使用すると、期間中に欠落しているデータポイントがあってもアラートはトリガーされません。詳細については、「Duration to trigger an alert」を参照してください。

Percent of duration を使用すると、指定した期間中にしきい値を満たしたデータポイントの数に基づいてアラートがトリガーされます。詳細については、「Duration to trigger an alert」を参照してください。

Duration

>= 1 の整数の後に時間を表す指標(s、m、h、d、w)を付けます。例:30s、10m、2h、5d、1w

シグナルがしきい値条件を満たす必要がある時間。期間を長くするほど感度が低下し、アラートが少なくなる可能性があります。

Percent of duration

パーセンテージ:1 ~ 100 の整数。継続期間:>= 1 の整数の後に時間を表す指標(s、m、h、d、w)を付けます。例:30s、10m、2h、5d、1w

指定した期間中に受信した異常データポイントのパーセンテージ。

アラートをトリガーするための継続期間

予想できると思いますが、[Trigger Sensitivity] として Immediately を選択すると、シグナルがしきい値を満たした直後にアラートがトリガーされることになります。これは、3 つのトリガー感度オプションの中で最も高い感度です(最も多くのアラートをトリガーする可能性がある)。

シグナルの性質によっては、即座にアラートをトリガーするとフラッピングが発生することがあります。このような場合は、[Duration] または [Percent of duration] のいずれかのオプションを選択できます。

Duration オプションを使用すると、シグナルがしきい値状態を満たし、その状態が指定された期間(10 分間など) 継続した場合にアラートがトリガーされます。したがって、このオプションを使用すると、Immediately オプションよりも感度が低くなります(トリガーされるアラートが減少する可能性がある)。このオプションを使用すると、受信したすべてのデータポイントがしきい値の条件を満たしていても、データポイントが遅延した、またはその時間範囲内にまったく到着しないという場合、アラートはトリガーされません。遅延または欠落しているデータポイントの詳細については、「Handle delayed or missing data points」を参照してください。

一部のデータポイントが時間通りに到着しない場合でもアラートをトリガーするオプションが必要な場合は、Percent of duration を(100 未満のパーセンテージを指定して)使用します。

Percent of duration オプションを使用すると、期間内にしきい値を満たしたデータポイントの数と、到着が予想されていたデータポイントの数の比に基づいてアラートがトリガーされます。このオプションは、しきい値を満たすデータポイントの割合に基づいてアラートをトリガーするため、一部のデータポイントが時間どおりに到着しなかった場合でもアラートをトリガーすることがあります。したがって、100 未満のパーセンテージでこのオプションを使用すると、Duration オプションよりも感度が高くなります(トリガーされるアラートが増える可能性がある)。

以下の例は、様々な状況でアラートがどのようにトリガーされるかを示したものです。

例1

  • [Trigger Sensitivity] に指定するオプション:[Duration] = 3 分

  • シグナルの解像度:5秒

  • 3 分間に予想されるデータポイント数:12/分 * 3 分(36)

  • アラートをトリガーするまでの異常データポイント数(閾値を満たす必要がある回数):36

    予想されるデータポイントの総数

    受信したデータポイントの総数

    必要な異常データポイント数

    受信した異常データポイント数

    アラートはトリガーされるか?

    36

    36

    36

    36

    はい

    36

    36

    36

    35以下

    いいえ

    36

    35

    36

    35以下

    いいえ

例2

  • [Trigger Sensitivity] に指定するオプション:[Percent of Duration] = 3 分の 75%

  • シグナルの解像度:5秒

  • 3 分間に予想されるデータポイント数:12/分 * 3 分(36)

  • アラートをトリガーするまでの異常データポイント数(閾値を満たす必要がある回数):36の75%(27)

    予想されるデータポイントの総数

    受信したデータポイントの総数

    必要な異常データポイント数

    受信した異常データポイント数

    アラートはトリガーされるか?

    36

    36

    27

    27-36

    あり

    36

    30

    27

    27-30

    あり

    36

    30

    27

    26以下

    いいえ

    上記の最後の例では、26 個の異常なデータポイントが到着しています。26/30 は指定した 75% を超えていますが、必要な数(27)の異常なデータポイントは到着していません。したがって、アラートはトリガーされません。指定するパーセンテージは、予想されるデータポイント数に対するパーセンテージを示すものであり、受信データポイント数に対するパーセンテージではありません。

APIの使用に関する注意事項

Splunk Observability Cloud API を使用してディテクタを構築する場合は、const() 関数を使用して、異なるディメンション値に異なるしきい値を指定できます。たとえば、ホストが開発、ラボ、または実稼働のどの段階にあるかによって、許容される SLA 値が異なる場合があります。const() 関数を使用すると、複数のディテクタや複数のルールで設定されたディテクタを手動で構築するよりも効率的です。詳細については、Splunk Observability Cloud API のドキュメントで複数の時系列の作成に関するセクションを参照してください。