ルールエンジンの注釈

Splunk On-Call のルールエンジンの注釈について。注釈とは、インシデントのペイロードに追加できる情報またはリソースへのリンクのことです。

注釈とは、ルールのマッチング条件を満たすインシデントのペイロードに追加できる情報またはリソースへのリンクのことです。URL、_image/spoc URL、またはプレーンテキストのメモがこれにあたります。+ Add an Annotation を選択することで単一のルールに複数の注釈を追加できます。

要件

このインテグレーションは以下のバージョンのSplunk On-Callと互換性があります:

  • エンタープライズ

すべてのユーザーは、Splunk On-Callサポートにいつでも質問することができます。

ライブチャット:Splunk On-Callインスタンスにログインしている場合、Splunk On-Callサポートチームとライブチャットを行うことができます。

URL

URL にアノテーションを付ける場合、インシデントのペイロードでユーザーに表示されるテキストである「ラベル」を追加する必要があります。注釈を選択すると、ユーザーは URL に直接移動します。

モニタリングツールからのペイロードのフィールドにURLリンクが含まれている場合、変数展開(以下で説明)を使用して、そのフィールドの値を注釈にインポートすることができます。

変数展開:ルールエンジンはアラートフィールドの内容をルールに取り込むことができるため、ユーザーはアラートからのデータで注釈や変換を動的に更新することができます。これを行うには、構文 {{field\_name}} のペイロードフィールドを使用します。または、構文 \ {{\\n}}(n はキャプチャ グループの番号)で正規表現(RegEx)キャプチャグループを使用することもできます。

一般的な例:ランブックのURLをアラートに追加する

ルール:

When state_message matches Server is DOWN

アラートに次の注釈をつけます: URL [select from dropdown] Runbook [label linked to url]

アラートの state_message が Server is DOWN と一致すると、アラートカードの Annotations タブの下にランブックが表示されます。

画像URL

URLでホストされているすべての_image/spocは、インシデントのペイロードで_image/spocとしてレンダリングできます。

注: Splunk On-Call は添付ファイルを受け入れず、_image/spocs を保存しません。インシデントに注釈が付けられた _image/spocs は、 URLリンクを介してホストされ、利用可能である必要があります。

モニタリングツールからのペイロードのフィールドに_image/spoc URLが含まれている場合、変数展開を使って、このようにフィールドの値を注釈にインポートすることができます。

When <field_of_your_choice> matches* using wildcard

アラートに次の注釈をつけます:_image/spoc URL [selected from dropdown] Load Graph [label] ${{load_graph_field_name_here}}

備考

インシデントにメモを付けることで、特定のメッセージをプレーンテキストでユーザーに配信できます。[More Info] を選択すると、アラート上部の [Alert Annotations] セクションにメモが表示されます。

アラートフィールド経由で注釈を追加する

アラートに注釈を追加できるのはアラートルールエンジンだけではありません。アラートが REST スタイルのインテグレーションに向けられる場合、アラートペイロードに適切な構文のフィールドを含めることで、注釈を自動的に作成することができます。

注: インシデントが確認済み状態であり、同じ entity_id を持つ新しいアラートが Splunk On-Call のタイムラインに入ると、そのアラートはオープンインシデントの下に 集約され ます。最新のアラートに含まれる新しい注釈は、インシデントの Annotation タブに追加されます。注釈は、各アラートペイロード内にも反映されます。
注釈フィールドが表示されているインシデントの概要。

注釈ペイロード

注釈ペイロード。
Splunk On-Call では、以下の構文で 3 種類の注釈を使用できます。
注: 注釈構文の最後にある注釈のタイトルはカスタマイズできます。たとえば、前のスクリーンショットでは、URL 注釈のタイトルは Splunk On-Call に「Runbook」として表示されます。

ペイロードの例

URL: vo_annotate.u.url

{ "monitoring_tool": "API", "message_type":"INFO",
"entity_id":"disk.space/db01", "entity_display_name":"Approaching Low
Disk Space on DB01", "state_message":"The disk is really really full.
Here is a bunch of information about the problem",
"vo_annotate.u.Runbook":"https://help.victorops.com/knowledge-base/rest-endpoint-integration-guide/"
}

(注) vo_annotate.s.note

注: 注釈には1,124文字の制限があります。
{ "monitoring_tool": "API", "message_type":"INFO",
"entity_id":"disk.space/db01", "entity_display_name":"Approaching Low
Disk Space on DB01", "state_message":"The disk is really really full.
Here is a bunch of information about the problem",
"vo_annotate.s.Note":"Once Disk Space is critically low there will be an
incident!" }

画像URL:vo_annotate.i.image

{ "monitoring_tool": "API", "message_type":"INFO",
"entity_id":"disk.space/db01", "entity_display_name":"Approaching Low
Disk Space on DB01", "state_message":"The disk is really really full.
Here is a bunch of information about the problem",
"vo_annotate.i.Graph":"https://community.iotawatt.com/uploads/db6340/original/1X/266a3917cc86317830ae9cda3e91c7689a6c73a7.png"
}