通知の集約
通知は、短期間に多数のアラートを受信した場合に集約され始めます。
通知は、短期間に多数のアラートを受信した場合に集約され始めます。Splunk On-Call はアラートストームが検出されると自動的にこのプロセスを開始し、ページアウトする通知の数を制限します。すべてのアラートまたは特定のアラートを完全にミュートするには「 アラートルールエンジン:変換」を参照してください。
通知の集約は、60 秒の時間枠内に 3 つの一意のインシデントが開かれた場合にのみトリガーされます。通知の集約がトリガーされると、新しいインシデントの通知は開いた時にすぐに送信されるのではなく、1 分間隔で送信されます。1 つの通知には、各インシデントではなく、ユーザーがページングされているインシデントの数が表示されます。送信される通知の媒体は、ユーザーが属しているユーザーのパーソナルページングポリシー内で指定されている方法に合わせます。さらに、新しいインシデントが到着せず、トリガーされたアラートが未確認のままの場合、次のページはユーザーのページングポリシーに従います。
通知の集約がトリガーされない場合、複数のインシデントは、ユーザーのパーソナルページングポリシーに概説されているとおりに、従来の方法でページングされます。
通知の集約を終了するには、プロセスで開かれた時間に関係なく、ユーザーに関連するすべてのインシデントを確認する必要があります。別の言い方をすると、トリガー済みの状態のユーザーに関連付けられているインシデントはゼロである必要があります。
以下は、いくつかの異なるシナリオについての説明です。
|
タイムラインのアクション |
集約 |
期待される応答 |
|---|---|---|
|
60秒以内にタイムラインに2つのインシデントが作成されます。 |
いいえ |
両方のインシデントについて、オンコールのユーザーに通知を送信します。 |
|
タイムラインに4つのインシデントが60秒以内に作成されます。 |
はい |
最初の1分間に3回、次の1分間に1回の通知が送られます。 |
|
タイムラインでは、毎分10件のインシデントが5分間発生します |
あり |
最初の1分間に3回、その後の4分間に1回、通知が送られます。 |
アラートの集約
Splunk On-Callは、インシデントペイロード内のentity_idフィールド値に基づいてアラートを集約します。
次の画像では、タイムラインにインシデント #642 とそれに結び付けられた 4 つの後続のアラートが表示されています。インシデントが Ack'd または Critical の状態にあり、同じ entity_id を持つ複数のアラートがタイムラインに届き続ける場合、アラートはインシデントの下にロールアップされ、元のアラートに基づいてページアウトされます。
このアラートの集約は、entity_id がイベント間で共有されている限り、Critical、Warning、Ack’d メッセージタイプで機能します。entity_id や message_type などのフィールドの詳細については「インシデントフィールド用語集」を参照してください。