エスカレーションポリシーをセットアップする

Splunk On-Call用のエスカレーションポリシーの設定手順

エスカレーションポリシーは、特定のチームの実際のオンコールを決定し、作成されたローテーションを利用するためのリンクです。

留意点:

  • エスカレーションポリシーを変更できるのは、チーム管理者とグローバル管理者のみです。

  • エスカレーションポリシーの最初のステップで指定されたユーザーだけが、オンコールであることを知らせるタイムラインとプッシュ通知を受け取り、オンコールレポートにオンコールであるとして時間を記録します。エスカレーションポリシーの後続のステップでユーザーにこれらの通知を受け取り、時間をログに記録させる場合は、 複数のエスカレーションポリシーのベストプラクティスを参照してください。

  • エスカレーションポリシーが実行され、ユーザーに通知されるとき、ユーザーのパーソナルページングポリシーによって、連絡方法が決定します。カスタムの時間ベースのページングポリシーを設定する を参照してください。

エスカレーションポリシーを作成する

  1. チームの Escalation Policies タブに移動し、Add Escalation Policy を選択します。

  2. エスカレーションポリシーに名前を付けます。

    ルーティングキーを追加したり手動インシデントを作成したりする時に見つけやすいようにポリシーに名前を付けます。たとえば、チーム名が Support の場合は、エスカレーションポリシー名に「Support: Primary」を使用します。

  3. Ignore Custom Paging Policies かどうかを決定します。Ignore Custom Paging Policies ボックスにチェックマークが入っている場合、インシデントはプライマリページングポリシーを介してオンコールユーザーをページングし、彼らが設定したカスタムページングポリシーを無視します。

    ベストプラクティス:エスカレーションポリシーが重大度の高いインシデントを処理する場合は、このボックスにチェックを入れます。

  4. エスカレーションポリシーのステップ 1 の遅延時間を選択します。ステップ 1 に選択する遅延時間は、インシデントが Splunk On-Call に到達したとき、またはエスカレーションポリシーが他のエスカレーションポリシーによって呼び出されたときのいずれかを基準とします。

    後続のすべてのステップの遅延時間は、インシデントの開始ではなく、前のステップを参照します。つまり、ステップ 1 の遅延時間が 5 分、ステップ 2 の遅延時間が 10 分の場合、ステップ 2 のページングは、インシデントが Splunk On-Call に達してから 15 分後までトリガーされません。ベストプラクティスのヒント:waiting room タイプの機能が必要な場合を除き、エスカレーションポリシーの最初のステップには Immediately を選択することをお勧めします。waiting room のエスカレーションポリシーの設定については「インシデントに Waiting Room を設定する」を参照してください。

  5. ステップ 1 のエスカレーションアクションを選択します。[Select an escalation] ドロップダウンメニューをクリックし、下にスクロールして使用可能なすべてのオプションを表示して、さまざまなエスカレーションアクションにアクセスします。青色のプラスボックスを使用すると、必要に応じて 1 つのエスカレーションポリシーステップ内で複数のアクションを同時に実行することができます。

利用可能なエスカレーション ポリシー アクション

多数のエスカレーションアクションを使用できます。オプションは次のとおりです。

エスカレーションアクション

説明

ポリシーを実行する

このアクションは、別のエスカレーションポリシーを呼び出す機能を提供します。

ローテーションで勤務中のユーザーに通知する

エスカレーションアクションの最も一般的なタイプで、指定したローテーションで現在勤務中のユーザーに通知します。このエスカレーションアクションがトリガーされた時点でローテーションにオンコールユーザーがスケジュールされていない場合、結果としてこのステップではページが行われません。次のステップまでの遅延時間は設定されたままです。たとえば、インシデントが時間外にエスカレーションポリシーをトリガーし、即時ページするローテーションに待機中の人がいない場合、エスカレーションポリシーは誰にもページを行わず、指定されている時間だけ待機してからステップ 2 を実行します。

現在勤務中シフトの次のユーザーに通知します。

これにより、現在勤務中のシフト内で次に予定されているユーザーに通知されます。

現在勤務中のシフト内で、前のユーザーに通知します。

これにより、現在勤務中のシフト内で前に勤務中であったユーザー、または現在スケジュール上の位置で以前のユーザーであるユーザーに通知されます。

ユーザーに通知する

これにより、時間帯に関係なく、指定した内容がユーザーに通知されます。

チームの全メンバーに通知する

これにより、時間帯に関係なく、エスカレーションポリシーが作成されたことがチームの全メンバーに通知されます。チームのすべてのユーザーにインシデントが通知されますが、インシデントを確認する必要があるのは 1 人のユーザーのみです。

Webhookを実行する

これにより、選択したエスカレーション Webhook が実行されます。エスカレーションポリシーで Webhook を使用する を参照してください。

メールアドレスにメールを送信する

指定したメールアドレスにメールが送信されます

  1. エスカレーションポリシーのステップを追加します。インシデントを見逃さないために、複数のステップを含めます。

  2. Save を選択し、ページ下部にあるエスカレーションポリシーを保存します。

  3. [Set Up Routing] を選択して、目的のルーティングキーにエスカレーションポリシーをアタッチします。ルーティングキーは、確立したエスカレーションポリシーの 1 つにインシデントを接続するためのキーリンクです。ルーティングキーの詳細については「Splunk On-Call でルーティングキーを作成する」を参照してください。ルーティングキーがエスカレーションポリシーに接続されていない場合は、手動インシデントまたは別のエスカレーションポリシーの「ポリシーを実行する」のステップで明確に呼び出された場合にのみアクティブになります。

注: ルーティングキーを構成および編集できるのは、グローバル管理者とアラート管理者のみです。これらの権限レベルを持つユーザーと協力して、エスカレーションポリシーが正しいルーティングキーに接続されていることを確認してください。

複数のエスカレーションポリシーを使用する特徴とメリット

  • 柔軟なSLA設定:優先度の高い問題に対して多くの人に迅速に通知する緊急エスカレーションポリシーと、配信グループにメールを送信するだけの緩やかなエスカレーションポリシーを作成できます。

  • Waiting Room:自動解決することが多いインシデントを Waiting Room に送信し、誰かにアラートする前に解決する機会を与えます。

  • スケジュール表示:各エスカレーションポリシーのオンコール・スケジュールをカレンダーリンクで表示します。

  • チーム内リルート:プライマリおよびセカンダリエスカレーションポリシーを設定することで、チーム内で簡単にリルートできます。

  • フレキシブルにオンコールを受ける:プライマリまたはセカンダリエスカレーションポリシーのオンコールを受けます。

  • 柔軟な手動インシデント作成:手動インシデントを個別のエスカレーションポリシーに送信します。

  • チーム間でのポリシーの再利用:複数のチームでグローバルに利用可能なエスカレーションポリシーを再利用できます。

複数のエスカレーションポリシーを使用することでどのようなメリットが得られるかについての詳細な例については「複数のエスカレーションポリシーのベストプラクティス」を参照してください。