ディテクターのアラートのプレビュー

ディテクターが生成するように設定されているアラートをプレビューする方法。

適切なアラートの設定は、通常、試行錯誤のプロセスになります。アラートを設定し、アラートがトリガーされたら通知を受け取り(あるいは、トリガーされたはずのタイミングで通知が届かない)、必要に応じてトリガー条件を調整し、次のアラートを待機します。Splunk Infrastructure Monitoring は、この試行錯誤のプロセスを迅速化するアラートプレビュー機能を提供します。(Splunk Observability Cloud API を使用してディテクタを管理している場合、この機能は POST /v2/signalflow/preflight API エンドポイントに対応します。)

アラートプレビューの仕組み

ディテクタルールの作成または編集中に [Alert Settings] タブに移動すると、Splunk Infrastructure Monitoring はデータに対して設定を実行し、設定が要件に適しているかどうかを判断するのに役立つプレビューチャートを生成します。プレビューには、ディテクタで指定された時間範囲内でアラートがトリガーされるタイミングが示されます。プレビューを使用してアラートをトリガーする設定を微調整し、想定するタイミングでアラートを受け取るようにできます。

アラートプレビューインターフェイスの概要
注: API を使用して作成されたディテクタを編集している場合、[Alert Rules] タブを使用してルールを管理しながら、アラートのプレビューを使用できます。プレビューは、SignalFlow のテキストを編集しているとき、またはディテクタの時間範囲を変更したときにトリガーされます。

チャートに表示されるデータは、ディテクタの時間範囲に基づいてロールアップされる場合があります。詳細ビューには、チャートで選択した期間のディテクタ解像度のデータが表示されます。つまりデータポイントは、アラートをトリガーまたは解除する必要があるかどうかを判断するために、ディテクタがシグナルを監視している頻度で表示されます。このビューでは、チャートで選択されている期間にディテクタが表示しているデータを正確に確認できます。詳細ビューの左端を選択してドラッグすると、ビューが拡大して、データがより見やすくなります。

プレビューが表示されている間、タブ間を移動できます。たとえば、[Alert Signal] タブに移動し、[Data Table] を見て、アラートのトリガー前、トリガー中、トリガー後のシグナルの値を確認することができます。

注: プレビューは過去 1 週間(-1w)までの期間に対して生成できます。ディテクタの時間範囲が 1 週間を超える場合(つまり、-31d を指定して前月のデータを表示した場合)、プレビューには、直前の 1 週間の期間のみのアラートマーカーが表示されます。

以下のセクションでは、プレビュー機能を使用してディテクターを要件に合わせて調整する方法の例を示します。

過去のアクティビティに基づいて既存のディテクターを修正する

すでにシステムでアラートをトリガーしているディテクタがある場合、それらの一部の感度が高すぎる(アラートをトリガーする頻度が高すぎる)か、または十分な感度がない(問題について通知を受けたいときにアラートをトリガーしない)ことに気づくかもしれません。いずれの場合も、プレビューオプションを使用して、適切な数のアラートをトリガーするようにディテクタの設定を変更できます。

ディテクタのプレビューオプションを使用するには、ディテクタを開き、たとえば時間範囲を「-1w」に設定して、過去 1 週間にトリガーされたすべてのアラートを表示します。(または、より短い時間範囲を設定して、対処する問題をより適切に表すことができます)。[Alert Rules] タブを表示し、アラート条件を編集して、[Alert Settings] タブを開きます。チャート表示が、過去の実際のアラート(存在する場合)の表示から、アラート条件に基づいてトリガーされるはずのアラートのプレビュー表示に変わります。

アラート条件のタイプに応じて、ディテクタの感度を高くする、または下げるためのさまざまなオプションがあります。たとえば、必要以上に多くのマーカーが表示される場合(アラートがゆるすぎる場合)、[Trigger Sensitivity] を [High] から [Medium] または [Low] に変更できる可能性があります。または、「ただちにトリガー」から「一定の時間後にトリガー」に感度を変更できます。多くのアラート条件で、[Trigger Sensitivity] を [Custom] に選択できます。これにより、アラートがトリガーされるタイミングをより詳細に制御できます。

このような変更を行うと、プレビューが更新され、新しい設定に基づいてトリガーされる可能性があるアラートの数がチャートに表示されます。目的の動作をより正確に反映するようにディテクタを変更した場合は、[Activate`] を選択してアラートルールを更新します。

注: アラート条件を変更してディテクターを保存すると、現在アクティブなアラートのステータスは「停止済み」に設定されます。

最近のアラートに基づいて新しいディテクターを作成する

過去 2 時間にシグナルのスパイクがあり、そのスパイクを監視する新しいディテクタを作成するとします。スパイクのあったシグナルを [Signals] タブで追加してから、[Alert Conditions] タブで適切な条件を選択します。

注: このシグナルをプロットラインとして含むチャートがすでにある場合、ゼロから新しいディテクタを作成する代わりに、チャートからディテクタを作成することができます。[Alert Conditions] タブでルールの作成を開始する際に、そのシグナルを選択します。

この例では、ディテクタの時間範囲を「-2h」に設定し、ディテクタと新しいルールに名前を付け、最近の値を以前の値と比較する Sudden Change 条件を選択します。トリガー感度(デフォルトは [Low])に基づいて、プレビューチャートには、過去 1 週間にアラートがトリガーされた可能性がある時間のイベントマーカーが表示されます。スパイクが発生した時刻のイベントマーカーを確認します。また、過去 1 週間にシグナルのスパイクが発生した他の時間のマーカーや、アラート状態が解除されたことを示すマーカーが表示される場合もあります。

-2h の「突然の変化」アラートディテクタのアラートプレビュー

使用するアラート条件の種類によって、感度を調整するオプションが異なります。

最近のシグナル値に基づいて新しいディテクターを作成する

この例では、静的しきい値を使用して条件を設定しています。チャートを見て、適切と思われるしきい値を選択しました。しかし、プレビューでは、前日に 11 のアラートを受信していたであろうことが示されています。

-1d の静的しきい値アラートディテクタのアラートプレビュー

閾値を上げると、予測されるアラートの数は減ります。

静的しきい値アラートディテクタのアラートプレビュー

データに合ったプレビューが表示されるまで、設定を調整します。静的しきい値条件の場合、しきい値を調整できますが、アラートがトリガーされる速度を調整することもできます。詳細については、「静的しきい値」を参照してください。これらの設定を組み合わせて、要件に合わせてディテクタをカスタマイズします。

使用するアラート条件の種類によって、感度を調整するオプションが異なります。