Splunk On-Call 管理者向けスタートガイド

Splunk On-Call 管理者向けの開始方法についてです。

チームページは、チーム、スケジュール、ローテーション、エスカレーションポリシーを設定するための中心的な場所です。

チームページにはいくつかのタブがあり、スケジュール、ローテーション、エスカレーションポリシーにアクセスできます。

セットアップ

ユーザーの追加：Splunk On-Call のセットアップで最も重要な最初のステップは、ユーザーの追加です。新しいユーザーを追加するには、
- ポータルのメールアドレスを活用する（ Users、次に Invite User ）。
- APIを利用する（ID とキーが必要で、[Integrations]、[API] の順で見つかります）。たくさんのユーザーをアップロードしていますか？お問い合わせいただければ、サポートいたします。
チームの作成：チームは、ユーザーリスト、オンコールシフト、エスカレーションポリシーを保持します。チームを作成するには、上部のナビゲーションバーから [Teams] セクションに移動します。[Teams] ページから [Add Team] を選択します。名前を選択してください。
- チーム間で明確に区別するために、チーム名を標準化することをおすすめします。チーム名は、サービスや内部チーム名などに基づいて選択してください。組織にとって分かりやすく、統一性のあるものを使用します。
[ユーザーの招待] と管理者の決定：いくつかのチームを構築したら、次のステップは人を追加することです。招待されたユーザーを追加できます。次に、ユーザーロールに基づいてユーザーの階層を確立します。たとえば、管理者、ユーザー、[チーム管理者] などです。
[ローテーションの構築]：ローテーションは、継続的なオンコールスケジュールで、オンコールシフトのグループです。シフトは複数の人で共有されます。カスタムローテーションの設定についてはご相談ください。

注: ローテーションがスケジュールされてもオンコールであるとは限りません。ローテーションは、エスカレーションポリシーと関連付ける必要があります。
[エスカレーションポリシーの作成]：エスカレーションポリシーは、どのインシデントを誰にルーティングし、どのようにエスカレーションするかを決定します。基本的に、エスカレーションポリシーは、トリガーされたイベントを Splunk On-Call がどのようにエスカレーションするかということです。
- エスカレーションポリシーを設定する際のベストプラクティスは、最低次の3つのエスカレーションパスを設定することです：勤務中のユーザー、ローテーションの前または次のユーザー、マネージャーまたはチームリーダー。
1つのチーム内で複数のアラート動作を管理する方法についてのヒントやコツについては、こちらの記事をお読みください。
[ルーティングキーの設定]：ルーティングキーは、モニタリングツールからのアラートを Splunk On-Call の特定のチーム（またはエスカレーションポリシー）と結び付けます。これにより、その問題に関して適切なユーザーにつながり、特定のインシデントと無関係なユーザーのアラートノイズを減らすことができます。[Settings]、[Routing Keys] の順に移動して見つけることができます。
- ルールはシンプルに。アラートを処理しているチームやポリシーの名前、アラートのサービスやホストの名前、アラートの送信元であるモニタリングツールの名前を使用します。ルーティングキーでは大文字と小文字は区別されませんが、アラートがデフォルトのルーティングチームに送信されないように、すべて小文字を使用することをおすすめします。
  - マッチングチーム名：CloudOps（チーム）＝cloudops（ルーティングキー）
  - マッチング監視ツールSplunk (ツール) = splunk (ルーティングキー)
最後に、カスタムインテグレーションを設定します。インテグレーションは、Splunk On-Call にアラートをフィードしてインシデントを作成し、ページアウトします。
インテグレーションの完全なリストについては「Splunk On-Call インテグレーション」を参照してください。
- お探しの情報が見つかりませんか？汎用メールまたは REST エンドポイントをご覧ください。
- アラートインテグレーションを設定する前に、チャットインテグレーションまたはアラート以外のインテグレーションを設定することをお勧めします。
ルールエンジン：ルールエンジンはフルスタックのサービスレベル機能です。特定の条件を設定し、その条件が満たされたときに、アラートに画像、リンク、メモの注釈を付けたり、アラートフィールドを上書きしたり、新しいフィールドを追加したりといったカスタムアクションをトリガーできるルールエンジンです。

チームアクティビティとパフォーマンスのレポート

継続的に改善するためには、管理者としてチームの活動とパフォーマンスを追跡し、報告できることが重要です。上部のナビゲーションメニューで [Reports] ページに移動します。

インシデント後レビュー：インシデントの履歴インサイトを把握し、問題解決方法を文書化します。
パフォーマンス（MTTA、MTTR）レポート：Splunk On-Call への投資と DevOps の実践について説明します。
オンコールレポート：チームまたはユーザーごとのオンコールに費やされた時間とインシデントの数を確認できます。
インシデント頻度レポート：インシデントの流れを事後的に分析することで、システムで問題を引き起こしているインシデントを解決するための上流工程に進むことができます。

ライセンス番号の調整

Splunk On-Call ライセンス数の大幅な増減が必要な場合は、地域営業マネージャーまたはカスタマーサクセスマネージャーにご相談ください。担当者が不明な場合は、victorops-sales@splunk.com までお問い合わせください。