Comments
Description
Transcript
アラートマニュアル - Splunk Docs
S plu nk ® E nt er pr is e 6 . 4 . 0 アラートマニュアル 作成⽇時:2016/03/22 7:10 pm Copyright (c) 2016 Splunk Inc. All Rights Reserved T abl e o f C o nt e nt s アラートの概要 アラートについて アラート⽣成ワークフロー 3 3 3 アラートタイプの選択 アラートタイプ アラートタイプと⽣成シナリオ 3 3 4 アラートの作成 スケジュール済みアラートの作成 アラートスケジュールのヒント リアルタイムアラートの作成 5 5 6 7 アラート⽣成条件および抑制の管理 アラート⽣成条件の設定 アラートの抑制 7 8 9 アラートアクションの設定 アラートアクションの設定 メール通知アクション メール通知内でのトークンの使⽤ Webhook アラートアクションの使⽤ ログイベント ⽣成されたアラートの監視 アラートアクションのスクリプトの実⾏ 10 10 10 12 13 14 15 16 カスタムアラートアクション カスタムアラートアクションの使⽤について 16 16 アラートとアラートアクションの権限の管理 アラート権限 アラートアクションの権限 16 16 17 アラートの確認と更新 アラートへのアクセスと更新 [アラート] ページ アラートアクション管理の使⽤ ⽣成されたアラート 追加のアラート設定オプション 17 17 18 19 19 20 アラートの例 アラートの例 21 21 .con f ファイルによるアラートの⼿動設定 savedsearches.conf 内のアラート設定 アラートアクションのスクリプトの設定 23 23 24 アラートの概要 アラートについて 特定のイベントの監視や応答にはアラートを使⽤します。アラートは、リアルタイムまたはスケジュールにあるイ ベントを探すために保存済みサーチを使⽤します。アラートはサーチ結果が特定の条件を満たした時に⽣成されま す。アラートが⽣成された時はアラートアクションで応答できます。 このリソースには、アラートとアラートアクションを使⽤するにあたっての情報、⼿順、シナリオが含まれていま す。アラートの詳細については、アラート⽣成ワークフローをご覧ください。アラートオプションについては、ア ラートタイプをご覧ください。 アラート⽣成ワークフロー アラートは、保存済みサーチ、タイプと⽣成条件の各種設定、そしてアラートアクションを組み合わせたもので す。以下は、アラートの様々な要素がどのように連携しあっているかを説明しています。 サーチ:何を追跡しますか? 追跡するイベントのサーチを開始します。サーチをアラートとして保存します。 アラートタイプ:どのくらいの頻度でイベントを確認しますか? アラートは保存済みサーチを使⽤してイベントを確認します。アラートタイプを変更してサーチ実⾏の頻度 を調整して下さい。スケジュール済みアラートを使⽤してイベントを定期的に確認できます。また、リアル タイムアラートを使⽤してイベントを継続的に監視できます。 アラート⽣成の条件と抑制:どのくらいの頻度でアラートを⽣成しますか? アラートは、サーチ結果が出る度ごとに⽣成する必要はありません。⽣成条件を設定して、アラート⽣成を 管理してください。またアラートを抑制して、初回アラート後から次回アラートが⽣成されるまでの期間を コントロールできます。 アラートアクション:アラートが⽣成されると何が起きるのでしょうか? アラートの⽣成と同時に、1 つ以上のアラートアクションを初期化できます。アラートアクションにアラー トの⽣成を通知させて、対応に役⽴てることもできます。アラートアクションの設定では、頻度とタイプを 指定できます。 アラートタイプの選択 アラートタイプ アラートタイプには、スケジュール式とリアルタイム式の 2 種類があります。アラートタイプの定義は、アラー トをサーチするタイミングに基づきます。シナリオに沿ってタイミング、⽣成条件や、その他の動作を各アラート タイプに設定できます。 アラートタイプの⽐較 スケジュール式アラートとリアルタイム式アラートを⽐較してみましょう。 アラー トタイ プ: イベントをサーチするタイ ミング ⽣成オプション スケ ジュー ル式 スケジュールに合わせてサー チします。利⽤可能なタイミ ングオプションを選択する か、または Cron 式の使⽤に よりサーチスケジュールを設 定します。 結果または結果フィールド数に基いて、アラートの⽣成 条件を設定します。⼀連のサーチ結果が⽣成条件を満た すと、アラートは⼀度または結果の発⽣ごとに⽣成され ます。 抑制する 期間を指 定しま す。 継続的にサーチします。 結果単位: サーチ結果が出るごとに⽣成されます。 抑制に は、期間 とオプ ションの フィール ド値を指 定しま す。 継続的にサーチします。 ローリングタイムウィンドウ: ローリングタイムウィ ンドウ内の結果または結果フィールド数に基いて、ア ラートを⽣成する条件を指定します。たとえば、5 分間 リアル タイム 式 リアル タイム 3 抑制オプ ション 抑制する 期間を指 タイム 式 継続的にサーチします。 のウィンドウの中で 10 件以上の結果が発⽣した時は、 常にリアルタイムアラートを⽣成するという条件を指定 できます。 定しま す。 アラートタイプと⽣成シナリオ スケジュール済みアラートまたはリアルタイムアラートを選択したら、結果からアラートを⽣成する⽅法を設定で きます。監視しているイベントによって、すべてのサーチ結果から⽣成されるリアルタイムアラート、またはサー チ結果が⼀定の条件を満たした時のみ⽣成されるスケジュール済みアラートが必要です。次のシナリオは、アラー トタイプや⽣成に対するさまざまな使⽤事例を⽰したものです。 スケジュール済みアラート スケジュール済みアラートを使⽤して定期的にイベントをサーチし、特定の条件を満たすかどうかを監視します。 スケジュール済みアラートは、アラートへの即時対応やリアルタイム監視がさほど重要ではない場合に役⽴ちま す。 シナリオ あるオンライン販売業者には、⼀⽇に 500 件という売上⽬標があるとします。そこで、その販売業者の管理 者は、売上動向を監視するスケジュール済みアラートを作成します。毎⽇ 23:00 に売上イベントをサーチす るアラートのスケジュールを設定します。また結果数が 500 未満の場合にアラートが⽣成されるよう設定し ます。 ある管理者は、ユーザーがどのくらいの頻度で 404 エラーページへのリンクをクリックするのかを監視した いとします。その管理者は、毎時に 404 エラーをサーチし、その結果が 100 件を超えたら⽣成されるスケ ジュール済みアラートを作成しています。 ある管理者は、特定のホストが過去数時間の間に Splunk プラットフォームに対して何らかのデータを送信 していないかどうかを確認するスケジュール済みアラートを作成しています。そしてそのホストからのイベ ントを 3 時間ごとにをサーチするアラートのスケジュールを設定しています。そしてサーチ結果がない場合 にアラートが⽣成されるよう設定しています。 リアルタイムアラート リアルタイムアラートは、イベントを常時サーチします。即時の監視および対応が重要な場⾯で特に役⽴ちます。 結果の発⽣ごとに、または特定のローリングタイムウィンドウの中である条件が満たされた時に、⽣成されるリア ルタイムアラートを使⽤することができます。 結果単位アラートの⽣成 結果単位の⽣成条件をもつリアルタイムアラートは、「結果単位アラート」と呼ばれる場合があります。このア ラートタイプおよび⽣成を使って、イベントを常時サーチし、イベント発⽣時に通知を受け取ります。 警告: ⾼可⽤性デプロイ環境での結果単位アラートのご使⽤には注意してください。ピアが利⽤できない場 合、リアルタイムサーチではサーチが不完全な可能性があることが警告されません。このようなデプロイ環 境では、スケジュール済みアラートを使⽤してください。 シナリオ 以下は、結果単位で⽣成されるリアルタイムアラートの使⽤例です。 あるソーシャル ネットワーク ウェブサイトの管理者は、ログインの失敗の発⽣時、常にそれを知りたいと します。そしてリアルタイムアラートを設定してログインの失敗をサーチします。また結果単位の⽣成条件 を選択すれば、ログインの失敗をそれぞれ追跡できます。 ある管理者は、⼀連のホストのエラーをリアルタイムに監視したいとします。しかしエラーの中には、他の エラーより素早い対応を要するものもあります。そこで結果単位の⽣成条件をもつリアルタイムアラートを 設定しました。緊急性のないエラーコードを表すフィールド、および 1 時間の抑制期間を使ってアラートを 抑制しています。このアラートは、緊急のエラーに対してはその都度⽣成される⼀⽅、緊急性を要しないも のに対してはせいぜい 1 時間に 1 回しか⽣成されません。 ローリング タイム ウィンドウによる⽣成 ローリング タイム ウィンドウにより⽣成されるリアルタイムアラートは、「ローリング ウィンドウ アラート」 と呼ばれる場合があります。このアラートタイプおよび⽣成が役⽴つのは、特定のタイムウィンドウが、リアルタ イムで監視するイベントパターンで重要な場合です。 シナリオ 以下は、ローリング タイム ウィンドウにより⽣成されるリアルタイムアラートの使⽤例です。 ある管理者は、ユーザーが 10 分間以内に 3 回ログインに失敗した時に通知を受けたいとします。そしてロ グイン失敗をサーチするリアルタイムアラートを設定し、 10 分のローリング タイム ウィンドウを設定しま す。その管理者はアラートを抑制し、同⼀のユーザーからのログイン失敗に対して、1 時間に 1 回のみ⽣成 するようにしています。 ある管理者は、ウェブアプリケーションに 1 分間に 5 回以上のデータベース接続エラーが発⽣した時に通知 4 を受けたいとします。そしてエラーイベントをサーチするリアルタイムアラートを設定し、1 分のローリン グウィンドウを設定しています。サーチである結果が返された後、その 5 分後にさらに 4 件の結果が返され ても、アラートは⽣成されません。しかし 1 分間に 5 件の結果が返された場合は、アラートが⽣成されま す。 その他のリソース その他の抑制シナリオについては、アラートの抑制を参照して下さい。 アラートの作成 スケジュール済みアラートの作成 スケジュール済みアラートを作成してイベントを定期的にサーチできます。アラートをカスタマイズするために、 スケジュール、⽣成条件、そして抑制が設定できます。 スケジュール済みアラートとリアルタイムアラートの⽐較は、アラートタイプを参照して下さい。アラートタイプ と⽣成のためのシナリオについては、アラートタイプと⽣成シナリオを参照して下さい。 スケジュール済みアラートの作成 前提条件 (任意) 以下のトピックを参照してください。 アラート⽣成条件の設定 Cron 式の使⽤ アラートスケジュールのヒント スケジュール済みアラート作成の⼿順 1. 2. 3. 4. 5. 6. [ サーチとレポート] App の中で [ サーチ] ページに移動します。 サーチを作成します。 [ 名前を付けて保存] > [ アラート] を選択します。 タイトルとオプションの説明を⼊⼒します。 権限を指定します。 アラートスケジュールの設定スケジュール設定には 2 つのオプションがあります。 オプション このオプションのための次の⼿順 利⽤可能なスケジュール設 定オプションを 1 つ選択 し、時刻を設定します。 さらにカスタマイズを⾏う 場合は、[ Cro n スケ ジュールを実⾏] を選択 し、期間と Cron 式を使⽤ して下さい。 7. 8. 9. 10. なし 1. サーチ期間に [ 最短] および [ 最遅] 値を⼊⼒します。この値は、設定 済みのサーチ期間を上書きします。重複やギャップを避けるため、実 ⾏スケジュールをサーチ時間範囲と⼀致させます。たとえば、サーチ を 20 分ごとに実⾏するには、サーチの時間範囲も 20 分 (-20m) に してください。 2. サーチのスケジュールを設定するための Cron 式を⼊⼒します。以下 の Cron 式の例を参照して下さい。 アラート⽣成条件の設定 (任意) アラート⽣成の抑制期間の設定 1 つまたはそれ以上の、アラート⽣成時に発⽣するアラートアクションを選択します。 [ 保存] をクリックします。 Cron 式の使⽤ 期間設定と Cron 式を使⽤してアラートスケジュールをカスタマイズします。 Cro n パラメータ Cron 式を指定する場合、5 つの Cron パラメータのみ利⽤できます。6 つではありません。他の cron 表記で利 ⽤できる 6 番⽬の年に関するパラメータは利⽤できません。 minute hour day month day-of-week に対応する Cron パラメータは Cro n 式の例 下記は Cron 式の使⽤事例です。 */5 * * * * Every 5 minutes. */30 * * * * Every 30 minutes. 0 */12 * * * Every 12 hours, on the hour. */20 Every 20 minutes, Monday through Friday. * * * 1-5 5 * * * * * になります。 0 9 1-7 * 1 First Monday of each month, at 9am. その他のリソース スケジュール済みアラートのベストプラクティスについては アラートスケジュールのヒント 確認してくだ さい。 アラートの例を参照してください。 アラートスケジュールのヒント このトピックはベストプラクティスとスケジュール済みアラートの使⽤に関するヒントを提供します。 ベストプラクティス アラートスケジュールとサーチ期間の設定 アラートのスケジュールをサーチ期間と合わせることで、サーチがイベントデータを 2 回評価することを防⽌で きます。サーチの時間範囲がサーチスケジュールを超過する場合は、イベントデータは重複しても構いません。 サーチの時間範囲がスケジュール済みアラートの時間範囲よりも短い場合、いくつかのイベントが評価されないこ とがあります。 少なくとも 1 分遅らせてアラートスケジュールを設定する これは、インデクサーにイベントデータが即時に到着しないことがある、分散サーチデプロイ環境の場合に重要に なります。遅延を設定することにより、先にインデックスが作成されたイベントだけでなく、すべてのイベントが 正しくカウントされます。 ベストプラクティスの例 この例は、アラートスケジュールに 30 分の遅延を取り⼊れたアラートの設定⽅法を表しています。サーチ期間と アラートのスケジュール間隔はどちらも 1 時間で、イベントデータの重複や漏れはありません。 1.[サーチ] ページで、サーチを作成し[ 名前を付けて保存] > [ アラート] を選択します。 2.[ アラートとして保存] ダイアログで、次の項⽬を次に⽰すとおり指定します。 タイトル: アラート例 (30 分遅延) アラートタイプ :スケジュール済み 時間範囲: cron スケジュールを実⾏ 最短: -90m 最遅: -30m Cro n 式: 30 * * * * 3.アラートのアクションをさらに定義します。 ここで最短 および最遅 値は、サーチ期間をサーチが始まる 90 分前 から 30 分前に設定しています。アラートは 毎時 30 分に実⾏されます。1 時間のタイムフレームからイベントデータを収集します。たとえば、スケジュール 済みサーチを指定した時間の午後 3 時 30 分に開始した場合、午後 2 時から午後 3 時までに発⽣したイベント データが収集されます。 同時スケジュール済みサーチの優先度管理 デプロイ環境によっては、スケジュール済みサーチを 1 度に 1 つしか実⾏できない場合もあります。この場合、 複数のサーチを同時に実⾏するようスケジュールされていたとしても、サーチスケジューラーにより、スケジュー ル済みサーチは順番に実⾏されます。 サーチが現在のデータを取得するため、または収集データ間の差異の発⽣を防ぐために、スケジュール済みサーチ の優先度を変更する必要があるかもしれません。スケジュール済みサーチの優先度は savedsearches.conf ファイル で設定します。詳細は、『レポート』マニュアルの「スケジュール済みレポートの優先度の設定」を参照してくだ さい。 スケジュール済みレポートとスケジュール済みアラートの違い スケジュール済みレポートは、いくつかの点でスケジュール済みまたはリアルタイムアラートに似ています。レ ポートのスケジュールを設定して、スケジュール済みレポートが起動するたびに実⾏するアクションの設定を⾏う ことができます。 しかし、スケジュール済みレポートは、レポートが実⾏される度に設定したアクションが実⾏されるという点にお いてアラートと異なります。レポートアクションは⽣成条件に左右されません。 例えば、時間ごとのサーチを使ってホテルの宿泊客のチェックイン状況をモニターできます。ここで、スケジュー ル済みレポートとメール通知アクションと連携しているスケジュール済みアラートの違いを説明します。 スケジュール済みレポート: アクションを実⾏し、チェックインを⽰すサーチ結果が無かったとしてもレ ポートが完了すると都度メールを送信します。この場合、1時間ごとにメール通知を受信します。 6 スケジュール済みアラート: 1 件またはそれ以上のチェックインイベントを⽰すサーチ結果によって⽣成 される場合にのみ、アラートアクションを実⾏します。この場合、結果がアラートアクションを⽣成した際 に、メール通知を受信します。 スケジュール済みレポートに関する詳細は、『Splexicon』マニュアルの「スケジュール済みレポート」および 『レポート』マニュアルの「レポートのスケジュール」を参照してください。 リアルタイムアラートの作成 リアルタイムアラートを使⽤して、イベントやイベントパターンの発⽣を監視します。リアルタイムアラートは、 結果単位で⽣成されるもの、またはローリングタイムウィンドウにより⽣成されるものを作成できます。リアルタ イムアラートの使⽤は、コンピューターリソースの消費が⼤きくなることがあるので、可能な限りスケジュール済 みアラートの使⽤を検討して下さい。 スケジュール済みアラートとリアルタイムアラートの⽐較は、アラートタイプを参照して下さい。アラートタイプ と⽣成のためのシナリオについては、アラートタイプと⽣成シナリオを参照して下さい。 結果単位で⽣成されるリアルタイムアラートの作成 結果単位で⽣成されるリアルタイムアラートは、「結果単位アラート」と呼ばれる場合があります。このアラート タイプと⽣成は、イベントの検知のために常時リアルタイムにサーチします。各サーチ結果によりアラートが⽣成 されます。 警告: ⾼可⽤性デプロイ環境での結果単位アラートのご使⽤には注意してください。ピアが利⽤できない場 合、リアルタイムサーチではサーチが不完全な可能性があることが警告されません。このようなデプロイ環 境では、スケジュール済みアラートを使⽤してください。 この⼿順に沿って、結果単位で⽣成されるリアルタイムアラートを作成してください。 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. [ サーチとレポート] App の中で [ サーチ] ページに移動します。 サーチを作成します。 [ 名前を付けて保存] > [ アラート] を選択します。 タイトルおよび必要に応じて説明を⼊⼒します。 権限を指定します。 [ リアルタイム] アラートタイプを選択します。 [ 結果単位] ⽣成オプションを選択します。 (任意) アラート⽣成の抑制期間の設定 1 つまたはそれ以上の、アラート⽣成時に発⽣するアラートアクションを選択します。 [ 保存] をクリックします。 ローリングウィンドウにより⽣成されるリアルタイムアラートの作成 ローリング タイム ウィンドウにより⽣成されるリアルタイムアラートは、「ローリング ウィンドウ アラート」 と呼ばれる場合があります。ローリング タイム ウィンドウは、例えば 5 分といった時間間隔あるいは増分です。 スケジュールされた時間のことではありません。リアルタイムアラートは常時サーチしているため、イベントに適 ⽤されるタイムウィンドウもそれに合わせて移動していきます。 特定の時間間隔が、リアルタイムで監視するイベントパターンの⼀部の場合に、このアラートタイプと⽣成を使⽤ して下さい。このアラートタイプと⽣成は、最もリソースを消費するアラートオプションです。可能な限り、他の アラートタイプの使⽤を考慮するのがよいでしょう。 この⼿順に沿って、結果単位で⽣成されるリアルタイムアラートを作成してください。 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. [ サーチとレポート] App の中で [ サーチ] ページに移動します。 サーチを作成します。 [ 名前を付けて保存] > [ アラート] を選択します。 タイトルおよび必要に応じて説明を⼊⼒します。 権限を指定します。 [ リアルタイム] アラートタイプを選択します。 利⽤可能な結果ベースの条件の 1 つを選択するか、またはカスタム⽣成条件を⼊⼒してください。結果単位 の⽣成を選択しないでください。 ⽣成条件に追加する時間間隔を指定してください。 (任意) アラート⽣成の抑制期間の設定 1 つまたはそれ以上の、アラート⽣成時に発⽣するアラートアクションを選択します。 [ 保存] をクリックします。 その他のリソース アラートおよびアラートアクション権限については、アラート権限を参照してください。 アラートの例で紹介されたアラート例を参照してください。 ⽣成条件の使⽤については、アラート⽣成条件の設定を参照してください。 アラート⽣成条件および抑制の管理 7 アラート⽣成条件の設定 アラートはイベントをスケジューラーにより、あるいはリアルタイムでサーチ可能ですが、サーチ結果が出る度に 毎回⽣成する必要はありません。⽣成条件は、イベントデータのパターン監視や、特定のイベントに優先度をつけ るのに役⽴ちます。 アラート⽣成およびアラート抑制 アラートの抑制は⽣成条件の設定とは異なります。⽣成条件が作成されるとき、サーチ結果が条件に合うかどうか 評価されます。サーチ結果が⽣成条件に合う場合は、⽣成を⼀定時間抑えるかどうかを抑制がコントロールしま す。抑制についての詳細は、「アラートの抑制」を参照してください。 ⽣成の設定のためのワークフロー アラート⽣成の設定に際し、以下の事項を判断にお役⽴てください。 アラートが監視しているイベントパターンは何ですか? ⽣成条件は、特定のパターンに対してアラートのサーチ結果を評価します。このパターンは結果フィールドとその 動作を組み合わせたものです。たとえば、ホスト数 のようなビルトインのフィールドカウントオプションを選択 し、host フィールドにフォーカスすることができます。そして、いつその数値が 5 だけ減少するかといった、監 視のための動作を指定することができます。またカスタム⽣成条件を⼊⼒することもできます。 そのイベントパターンは、結果が出るごとにアラートを⽣成しますか? イベントパターンが発⽣した時、アラートは 1 回あるいはパターンの結果に対して 1 回⽣成されます。通知やそ の他の希望するアラートアクションの動作に基いてオプションを選択することができます。 アラートタイプと⽣成オプション 両アラートタイプは、アラートサーチ結果を使⽤するための⽣成の設定オプションを提供します。以下は、各タイ プの利⽤可能な⽣成オプションを⽐較したものです。 アラー トタイ プ ⽣成オプション ⽣成条件 の指定 照合結果からのアラート⽣成⽅ 法 スケ ジュー ル式 サーチ結果を評 価するために⽣ 成条件を追加し ます。 ビルトインの結果とフィールドカウントオプ ションまたはカスタム⽣成条件 サーチ結果が特定条件に⼀致する ごとに 1 度、または結果が⼀致す るごとに 1 度、アラートが⽣成さ れる リアル タイム 式 結果単位 N/A デフォルト設定により、結果が⼀ 致するごとに 1 度、アラートが⽣ 成される リアル タイム 式 ローリングタイ ムウィンドウを 含む⽣成条件 ビルトインの結果とフィールドカウントオプ ションまたはカスタム条件またローリング タイム ウィンドウまたは時間間隔を指定す る。 サーチ結果が特定条件に⼀致する ごとに 1 度、または結果が⼀致す るごとに 1 度、アラートが⽣成さ れる サーチと⽣成条件が連動する仕組み ⽣成条件は、アラートの最初のサーチ結果を評価するセカンダリサーチとして動作します。セカンダリサーチが結 果を返さない場合は、アラートは⽣成されません。セカンダリサーチが結果を⽣成すれば、アラートは⽣成されま す。 希望のアラートアクションに基いて、アラートを⽣成した結果に関する情報にアクセスすることができます。⽣成 条件のためのセカンダリサーチは、通知やその他のアラートアクションに対して利⽤可能な情報を決定しません。 結果フィールドとその他の情報は最初のベースサーチから⽣じます。 ⽣成条件のないアラート ベース サーチを使⽤すると、通知に使⽤可能な情報が制限されることがあります。以下 の例は、カスタム⽣成条件のあるベースサーチの使⽤と、⽣成条件のないベースサーチの使⽤とを⽐較したもので す。 例 このスケジュール済みアラートは、10 あるいはそれ以上の緊急度の log_level イベント発⽣により⽣成されま す。アラートの⽣成時には、サーチ結果をメールで送信します。 カスタマイズされた⽣成条件のあるサーチの使⽤ アラートは、タイムレンジピッカーで選択した過去 7 ⽇間 ともにこのサーチを使⽤します。 index=_internal (log_level=ERROR OR log_level=FATAL OR log_level=CRITICAL) | stats count by log_level 以下のカスタム⽣成条件が追加されます。 search count > 10 8 このシナリオでは、オリジナルのサーチ結果はすべてのログレベルのカウントをもちますが、アラートは log_level カウントが 10 を超える時のみ⽣成されます。これはすべての log_level カウントがアラート通知の⼀部 として利⽤可能であるということです。 ⽣成条件のないサーチの使⽤ 以下のサーチは、これまでのサーチの例と同様に⾒え、同様のアラート⽣成の動作が⽣まれます。しかしながら、 異なる結果を⽣み出し、通知やその他のアラートアクションに利⽤可能な log_level 情報を制限します。 log_level=ERROR OR log_level=FATAL OR log_level=CRITICAL) | stats count by log_level | search count > 10 この場合、サーチ結果には 10 を超える log_level 値だけが含まれます。⽐較により、前の例で⽰した条件付きの ⽣成するサーチを使⽤すれば、その結果にはすべての log level フィールドのカウントが含まれるということで す。 アラートの抑制 抑制を使⽤して、特定の時間枠でのアラートの⽣成を抑えて下さい。アラートは似たようなサーチ結果やスケ ジュールのため頻繁に⽣成されることがあります。 アラートの抑制は⽣成条件の設定とは異なります。⽣成条件は、指定のフィールドカウント、イベントタイミング またはその他のパターンを確認することにより、アラートの最初のサーチ結果を評価します。アラート⽣成の詳細 については、アラート⽣成条件の設定を参照して下さい。 抑制の設定とシナリオ アラートを作成あるいは編集するときは抑制の設定ができます。以下はアラートタイプと⽣成に基づいて抑制オプ ションを⽐較したものです。 アラー トタイ プ ⽣成オプ ション スケ ジュー ル式 いずれで も可 時間値フィールドとドロップダウンインクリメントを使って抑制期間を指定します。時 間値は 0 より⼤きな値でなければなりません。 リアル タイム 式 結果単位 1 つまたは複数のカンマ区切りのフィールドを指定して、値を照合します。値の⼀致に関 するイベントは抑制されます。抑制期間の値とインクリメントを追加します。期間は必 須で、時間値は 0 より⼤きな値でなくてはなりません。 リアル タイム 式 ローリン グ タイム ウィンド ウ 時間値フィールドとドロップダウンインクリメントを使って抑制期間を指定します。時 間値は 0 より⼤きな値でなければなりません。 抑制のための設定 抑制シナリオ 管理者は、結果単位で⽣成されるリアルタイムアラートを使⽤して、エラーなどを含むシステムイベントを 監視します。システムイベントは 1 分間に 20 回以上発⽣します。通知⽬的のために、アラート⽣成を 1 時 間抑制することができます。管理者は、フィールド値と 1 時間の抑制時間を使⽤して、イベントを抑制でき ます。 結果単位で⽣成されるリアルタイムアラートは、ディスクエラーを監視します。アラートのサーチ結果の中 にあるイベントによっては、同じ clientip や host 値を持つものもありますが、短時間で複数のアラート⽣成 を⽣み出すこともあります。管理者は、最初のアラートが⽣成された後、次の⽣成を 10 分間抑えるように アラートを抑制できます。 スケジュール済みアラートは、売上イベントを毎時サーチします。結果数が 100 増加し、かつメール通知を セールスチームに送信するよう設定されている時は、アラートは常に⽣成されてしまいます。そこでセール スチームはメール通知を制限したいとします。管理者は、最初のアラートが⽣成された後、次の⽣成を 3 時 間抑え、メール通知を初期化するように、アラートを抑制できます。 スケジュール済みサーチとリアルタイムサーチの抑制 アラートの抑制は、スケジュール済みサーチおよびリアルタイムサーチの抑制と同様に機能します。 頻繁に実⾏するサーチをスケジュール済みで、実⾏ごとに通知を受け取りたくない場合は、抑制制御で⻑時間のタ イムウィンドウを設定し、アラートを抑制します。 リアルタイムサーチの場合、⽣成条件に対して 1 回⽣成されるようにアラートを設定した場合、抑制を設定する 必要はありません。⽣成条件に対してアラートが複数回⽣成される場合は、設定によって結果を抑制することを検 討してください。 リアルタイムサーチに対して抑制を設定する場合、まずベースサーチの時間ウィンドウに合わせた抑制期間を試し ます。それから、必要であれば抑制期間を延ばしていきます。こうすることによって、特定のイベントに対して複 数の通知を受け取ることを防⽌できます。 9 アラートアクションの設定 アラートアクションの設定 アラートアクション は⽣成されたアラートへの対応に役⽴ちます。1 つまたは複数のアラートアクションを有効 にすることができます。利⽤可能なオプションについては、以下のとおりです。 次の事項について詳しく知りたい⽅は 以下を参照してください。 アラートが⽣成された際のメールによる通知の送信 メール通知アクション サーチから取得した情報をメールや他の通知に加える メール通知トークン チャットルームへのメッセージ表⽰、または別のウェブリソースの更 新 Webhook アラートアクションの使⽤ サーチ可能なアラートイベントのロギングおよびインデックス作成 ログイベント 監視のため最近⽣成されたアラート⼀覧へのアラートの追加 ⽣成されたアラートの監視 推奨されないアラートアクション: スクリプトによるアラートアクションは推奨されません。代わりに、スクリプトを含むカスタマイズされたアラー トアクションの構築の詳細は、「カスタムアラートアクションについて」を参照してください。 その他のリソース アラート⽣成については、アラート⽣成条件の設定を参照して下さい。 メール通知アクション アラート⽣成時に指定した受信者にメール通知を送信するメール通知にはサーチ結果、サーチジョブ、アラート⽣ 成からの情報を記載できます。サーチ ページ、アラート ページ、またはサーチコマンドで直接、メール通知アク ションをセットアップできます。 アラートに加えて、他のメール通知コンテキストもあります。レポートのメール通知については、『レポート』マ ニュアルの「レポートのスケジュール」を参照してください。ダッシュボードの PDF メール配信の詳細について は、『ダッシュボードと視覚エフェクト』マニュアルの「ダッシュボード PDF の⽣成」を参照してください。 [サ ー チ ] ま た は [ア ラ ー ト ] ペ ー ジ か ら メ ー ル 通 知 を 設 定 す る サーチをアラートとして保存する場合にメール通知を設定することができます。また、アラートのアクションを編 集する際にメール通知を設定することもできます。⼿順は両オプションとも共通です。 前提条件 メール通知を送信する前に、[ 設定] ページでメール通知の設定を⾏う必要があります。「メール通知の設 定」を参照してください。 PDF 配信には、ユーザーロールの設定が追加で必要になります。「PDF 配信のためのユーザーロール設 定」を参照してください。 トークン使⽤の詳細については、このマニュアルの「メール通知におけるトークン使⽤」を参照して下さ い。 メールによる通知の⼿順 1.新規にアラートを作成した時、あるいは既存のアラートアクションを編集した時、メール通知アクションを設定 できます。以下のオプションの 1 つに従って下さい。 オプション ⼿順 新しいア ラートを作 成する。 [ サーチとレポート] App の [ サーチ] ページで、[ 名前を付けて保存] > [ アラー ト] を選択します。アラートの詳細を⼊⼒し、必要に応じて⽣成条件と抑制を設定 します。 既存のア ラートの編 集 [ サーチとレポート] App の [ アラート] ページで、既存のアラートに対し、[ 編 集] > [ アクションの編集] を選択します。 以下の⼿順は、新規アラートの保存または既存アラートの編集に共通です。 2.[ アクションの追加 ] メニューから、[ メールの送信 ] を選択します。 3.以下の情報を指定します。 [ To ] 、[ CC] や [ BCC] フィールド:メール受信者のカンマ区切りリストを追加します。メール受信者を指 定するテキストやトークンを追加します。 優先度: 優先度レベルを指定します。優先度の扱いは、メールクライアントにより異なります。 10 [ 件名] :テキストやトークンを追加します。 [ メッセージ] :テキストやトークンを追加します。 [ 含める] :メール通知に追加する情報を選択します。オプションには下記の項⽬などが挙げられます: アラートへのリンク サーチ⽂字列 ⽣成条件 ⽣成時刻 サーチ結果に関する情報 結果へのリンク テーブル形式、raw イベント、または CSV 形式によるインライン結果 CSV 形式の添付ファイル PDF 形式の添付ファイル タイプ :[ HTMLおよびプレーンテキスト] (マルチ MIME メッセージ) または[ プレーンテキスト] を選択 します。 4.[ 保存] をクリックします。 サーチコマンドからのメール通知の送信 sendemail サーチコマンドから直接メール通知を送信することができます。以下に例を⽰します。 index=main | head 5 | sendemail to=<email address> server=<server info> subject="Here is an email notification" message="This is an example message" sendresults=true inline=true format=raw sendpdf=true 詳細は『サーチリファレンス』マニュアルの sendemail コマンド⼀覧を参照してください。 サーチ結果から異なる受信者にメール送信を⾏う このサーチの例では、送信先 メール通知フィールドのトークンを利⽤して、結果カウントをもとに異なる通知を します。結果が 3500 件を超えると、通知は recipient1に送信されます。また結果が 500 件に満たなければ、通 知は recipient2に送信されます。どの条件も満たさなければ、通知は送信されません。 サーチは以下のようになります。 "error" | stats count | eval recipient=case(count > 3500, "[email protected]", count >= 500, "[email protected]", 1==1, null()) | where isnotnull(recipient) サーチがアラートとして保存される時、送信先 の受信者フィールドに次のトークンを含む、メールの送信 アラー トアクションを設定します。 $result.recipient$ メール通知の設定 アラートのメール通知を送信する前に、メール通知の設定を⾏います。 1. [ サーチとレポート] App のホームページから、[ 設定] > [ サーバーの定] > [ メールの設定] を選択しま す。 2. [ メールサーバー設定] を選択します。 3. 以下のフィールドに値を⼊⼒します。 1. [ メールホスト] :デフォルト値は localhost です。 2. [ メールのセキュリティ] :以下のオプションからひとつを選択します。 3. (任意) [ ユーザーネーム] および[ パスワード] 。SMTP サーバーで認証するためのユーザーネームおよ びパスワードです。 4. [ メール形式] 設定を指定します。 1. [ リンクホスト名] :送信する結果⽤ URL のホスト名IPv6 アドレスを⾓括弧で囲みます。たとえ ば、[2001:db8:0:1] を使⽤します。 2. [ メール送信形式] :メールの「From」フィールドを使⽤して、メールの送信者を特定します。 3. [ メールフッター] :すべてのメールのフッターテキストやトークンを追加します。 5. 必要に応じて [ PDF レポート設定] を指定します。 6. [ 保存] をクリックします。 alertactions.conf 設定ファイルでメールアラート設定を⾏うには、alert_actions.conf を参照してください。 P DF 配信のためのユーザーロール設定 PDF 配信のスケジュール設定には、以下の権限が必要です。 schedule_search admin_all_objects.この権限は、メールホストがログイン資格情報を要求する場合にのみ必要です。 11 詳細は、『セキュリティ』マニュアルの「権限を持つロールの定義について」を参照してください。 メール通知内でのトークンの使⽤ トークンとは、サーチが⽣成するデータを表し、プレースホルダーや、サーチが完了した時に設定するデータ値の ための変数として機能します。 メール通知の以下のフィールドにトークンを使⽤することができます。 宛先 Cc Bcc 件名 メッセージ フッター (代わりのフッターテキストを alertactions.conf に指定する。) サーチ結果の値を参照するために、トークン構⽂を使⽤して下さい。 $<token>$ たとえば、サーチジョブのサーチ ID を参照するには、メール通知の件名フィールドに以下のテキストとトークン を指定します。 Search results from $job.sid$ メール通知に利⽤できるトークン サーチが⽣成するデータにアクセスするトークンは、4 つのカテゴリに分けられます。トークンの可⽤性はコンテ キストにより異なります。 コンテキスト:アラート アクション コンテキスト:スケジュール 済みレポート コンテキスト:スケジュール済 み PDF 配信 サーチメタ データ はい はい はい サーチ結果 はい はい いいえ ジョブ情報 はい はい いいえ サーバー情 報 はい はい はい カテゴリ このトピックの通常のトークンに加えて、savedsearches.conf および alert_action.conf にある属性値にアクセスす るためにトークンを利⽤できます。属性名を標準トークン構⽂で使⽤します。たとえば、メール通知の件名にアク セスするには、$action.email.subject$ を使⽤します。 メタデータトークンのサーチ サーチに関する情報にアクセスする⼀般的なトークン。 トークン 説明 $action.email.hostname$ メールサーバーのホスト名 $action.email.priority$ サーチの優先度 $alert.expires$ アラートの有効期限 $alert.severity$ アラートの重⼤度レベル $app$ サーチの App コンテキスト $cron_schedule$ サーチの Cron スケジュール $description$ ユーザーが理解できるサーチの記述 $name$ サーチ名 $next_scheduled_time$ 次回のサーチ実⾏時刻 $owner$ サーチの所有者 $results_link$ (アラートアクションとスケジュール済みレポートのみ) サーチ結果へのリンク $search$ サーチ⽂字列 $trigger_date$ (アラートアクションのみ) Month(string) 12 Day, Year フォーマットでアラートが⽣成 $trigger_date$ された⽇付 $trigger_time$ (アラートアクションのみ) エポック時フォーマットでアラートが⽣成された時刻 $type$ サーチがアラート、レポート、ビュー、またはサーチコマンドからのものかどう かを⽰します $view_link$ 保存済みレポートを表⽰するためのリンク 結果トークン サーチが返す結果の最初の⾏からフィールド値にアクセスできます。トークンのためのフィールド可⽤性は、サー チ結果で利⽤可能なフィールドに基づきます。 トークン 説明 サーチ内の最初の結果から、指定したフィールド名の最初の値を返します。サーチがア $result.fieldname$ クセス中のフィールドを⽣成しているか確認します。 結果から特定のフィールドを含めるまたは除くには、アラートのベースサーチで 詳細は、『サーチリファレンス』のフィールドを参照してください。 fields コマンドを使⽤します。 ジョブ情報トークン サーチ ID やサーチジョブが⽣成したメッセージなどの、サーチジョブ固有のデータにアクセスする⼀般的なトー クンです。 トークン 説明 $job.earliestTime$ 最初のジョブ開始時間 $job.eventSearch$ 任意の変換コマンド前のサーチのサブセット $job.latestTime$ サーチジョブに記録された最も遅い時刻 $job.messages$ サーチジョブが⽣成したエラーおよびデバッグメッセージのリスト $job.resultCount$ サーチジョブの結果数 $job.runDuration$ サーチジョブが終了するまでの時間 (秒) $job.sid$ サーチ ID $job.label$ サーチジョブ名 サーバートークン Splunk プラットフォームサーバーから利⽤できる詳細情報を提供する⼀般的なトークン トークン $server.build$ 説明 Splunk プラットフォームインスタンスのビルド番号 $server.serverName$ Splunk Enterprise インスタンスのホスト先サーバー名。 $server.version$ Splunk Enterprise インスタンスのバージョン番号 廃⽌予定のメール通知トークン 以下のトークンは推奨されません。 トークン 代わりのオプション $results.count$ (廃⽌予定) $job.resultCount$ を使⽤してください。 $results.file$ (廃⽌予定) 代わりに利⽤できるトークンはありません。 $results.url$ (廃⽌予定) $results_link$ を使⽤してください。 $search_id$ (廃⽌予定) $job.id$ を使⽤してください。 Webh ook アラートアクションの使⽤ Webhook は特定のウェブリソース上のカスタムコールバックを定義することができます。例えば、Webhook を 設定して、チャットルーム内にアラートメッセージをポップアップしたり、ウェブページ上で通知を投稿したりす 13 ることが可能です。アラートが⽣成されると、Webhook はその URL で HTTP POST リクエストを作成します。 Webhook は POST リクエストの本⽂でアラートに関する JSON フォーマットの情報を渡します。 W ebho o k ア ラ ー ト ア ク シ ョ ン の 使 ⽤ アラートに対してアラートアクションを選択する時、Webhook をセットアップして下さい。 1. 新規にアラートを作成した時、あるいは既存のアラートアクションを編集した時、webhook のアクション を設定できます。以下のオプションの 1 つに従って下さい。 オプション ⼿順 新しいア ラートを作 成する。 [ サーチとレポート] App の [ サーチ] ページで、[ 名前を付けて保存] > [ ア ラート] を選択します。アラートの詳細を⼊⼒し、必要に応じて⽣成条件と抑 制を設定します。 既存のア ラートの編 集 [ サーチとレポート] App の [ アラート] ページで、既存のアラートに対 し、[ 編集] > [ アクションの編集] を選択します。 以下の⼿順は、新規アラートの保存または既存アラートの編集に共通です。 2. [ アクションの追加] メニューから、[ W ebho o k] を選択します。 3. Webhook ⽤の URL を⼊⼒します。 4. [ 保存] をクリックします。 W ebho o k シ ナ リ オ 以下は Webhook アラートアクションの使⽤例です。 ある管理者は、リアルタイムで顧客のサインアップ状況を監視したいとします。そこで新規顧客が会社のウェブサ イト上でサインアップしたら⽣成されるアラートを作成します。管理者は、職場のウェブベースのチャットクライ アントにリアルタイムアラート情報を表⽰したいとします。そこでチャットクライアントの URL を使⽤するため に webhook アラートアクションを設定します。アラートが⽣成される度に、Webhook は そのチャットクライ アントの URL に HTTP POST リクエストを⾏います。POST リクエストには、その URL へのアラート情報をも つデータペイロードが記述されています。 webhook POST リクエストのJSON データペイロードには以下の情報が含まれます。 アラートを⽣成する保存済みサーチのサーチ ID または SID サーチの所有者および App アラートを⽣成したサーチ結果の最初の⾏ JSON 情報は、以下のようになります。 { âresultâ: { âsourcetypeâ : âmongodâ, âcountâ : â8â }, âsidâ : âscheduler_admin_search_W2_at_14232356_132â, âresults_linkâ : âhttp://web.example.local:8000/app/search/@go? sid=scheduler_admin_search_W2_at_14232356_132â, âsearch_nameâ : null, âownerâ : âadminâ, âappâ : searchâ } この例では、SID は "scheduler__admin__search__W2_at_14232356_132" になります。所有者のロールは「adimin」で、 このアラートはサーチとレポート App から⽣成されています。 データペイロードには、アラートからの他の情報が含まれていることがあります。データペイロードを処理する ウェブリソースを設定することができます。 ログイベント インデックスを作成しメタデータをサーチするためにカスタムログイベントを構築してください。ログイベントは Splunk プラットフォームに、インデックス作成のために返送されます。その他のアラートアクションについて は、ログイベントを単独で、あるいは他の任意のアラートに対するアラートアクションに追加して使⽤することが できます。 ログイイベントのトークン ログイベントアラートアクションをセットアップするときは、イベントフィールドに、プレーンテキストまたは 14 サーチ、ジョブ、あるいはサーバーのメタデータを表すトークンを設定します。最初の⼀連のサーチ結果にアクセ スするトークンを使⽤することもできます。 メール通知に利⽤できるトークンは、ログベントにも利⽤可能です。アラートアクションにトークンを使⽤する詳 細については、このマニュアルの メール通知でのトークン使⽤ を参照して下さい。 ログイベントアラートアクションのセットアップ 以下は、クエリを作成後にカスタムログイベントアラートアクションをセットアップするための⼿順です。 前提条件 トークン使⽤の詳細については、このマニュアルの「メール通知におけるトークン使⽤」を参照して下さい。 1.新規にアラートを作成した時、あるいは既存のアラートアクションを編集した時、ログイベントを設定できま す。以下のオプションの 1 つに従って下さい。 オプショ ン ⼿順 新規ア ラートの 作成 [ サーチとレポート] App の [ サーチ] ページで、[ 名前を付けて保存] > [ アラート] を選択します。アラートの詳細を⼊⼒し、必要に応じて⽣成と抑制を設定します。 既存ア ラートの 編集 [ サーチとレポート] App の [ アラート] ページで、既存のアラートに対し、[ 編集] > [ アクションの編集] を選択します。 以下の⼿順は、新規アラートの保存または既存アラートの編集に共通です。 2.[ アクションの追加] メニューから、[ イベントのロギング ] を選択します。 3.以下のイベント情報を追加してアラートアクションを設定します。サーチ、ジョブ、あるいはサーバーのメタ データをサーチするために、プレーンテキストまたはトークンを使⽤して下さい。 イベントテキスト ソースとソースタイプ ホスト ログイベントのための宛先インデックス main インデックスがデフォルトの宛先となります。既存の異なっ たインデックスを指定することができます。 4.[ 保存] をクリックします。 ⽣成されたアラートの監視 ⽣成されたアラート⼀覧へのアラートを追加します。⽣成されたアラートは、App コンテキスト、所有者、そし て重⼤度レベルにより確認できます。 [⽣成されたアラート] ページまたは [アラートの詳細] ページから最近⽣成されたアラートの履歴を確認すること ができます。[⽣成されたアラート] ページは⽣成されたアラートのインスタンスをすべて表⽰します。⽣成された アラートの詳細は、デフォルトで 24 時間確認することができます。 本マニュアルの「⽣成されたアラートの確認」を参照してください。 ⽣成されたアラート⼀覧へのアラートの追加 1.新規にアラートを作成した時、あるいは既存のアラートアクションを編集した時、メール通知アクションを設定 できます。以下のオプションの 1 つに従って下さい。 オプショ ン ⼿順 新規ア ラートの 作成 [ サーチとレポート] App の [ サーチ] ページで、[ 名前を付けて保存] > [ アラート] を選択します。アラートの詳細を⼊⼒し、必要に応じて⽣成と抑制を設定します。 既存のア ラートの 編集 [ サーチとレポート] App の [ アラート] ページで、既存のアラートに対し、[ 編集] > [ アクションの編集] を選択します。 以下の⼿順は、新規アラートの保存または既存アラートの編集に共通です。 2.[ アクションの追加] メニューから、[ ⽣成されたアラート⼀覧へ追加] を選択します。 3.[ 重⼤度] ドロップダウンを使⽤して、アラートの重⼤度レベルを指定します。 重⼤度レベルは単なる参考情報です。⽣成されたアラート リストのアラートをグループ化するのに使⽤さ れます。デフォルトは [中] です。 4.[ 保存] をクリックします。 15 ⽣成されたアラート⼀覧を表⽰する 最近⽣成されたアラートを確認します。 1. トップレベルのナビゲーションバーから、[ アクティビティ] > [ ⽣成されたアラート] を選択します。 2. リストのアラートをフィルタリングするために、App、所有者、重⼤度、そしてアラートのドロップダウン を使⽤します。 アラートアクションのスクリプトの実⾏ スクリプトによるアラートアクションの実⾏は正式に廃⽌されました。拡張性と安定性のある、カスタムアク ションの統合⽤フレームワークであるカスタムアラートアクションに置き換えられました。スクリプトを含 む、カスタマイズされたアラートアクションの構築に関する詳細は、「カスタムアラートアクションについ て」を参照してください。 アラート⽣成時に、アラートスクリプトを実⾏することができます。[アクションの追加 ] メニューから [スクリ プトを実⾏ ] を選択します。実⾏するスクリプトのファイル名を⼊⼒します。 例えば、アラートを設定して、Simple Network Management Protocol (SNMP) トラップ通知を⽣成するスク リプトを実⾏できます。スクリプトは Network Systems Management コンソールといった別のシステムに通知 を送信します。また、API を呼び出すスクリプトを実⾏し、⽣成を開始するイベントを他のシステムに送信するア ラートを設定することもできます。 注意: セキュリティの確保のため、次のロケーションのいずれかにすべてのアラートスクリプトを配置して ください。 $SPLUNK_HOME/bin/scripts $SPLUNK_HOME/etc/<AppName>/bin/scripts 作成したシェルスクリプトやバッチファイルに関する savedsearches.conf のアラートスクリプトの設定⽅法につい ては、本マニュアルの「スクリプトアラートの設定」を参照してください。 アラートスクリプトに関して問題がある場合は、Splunk Community Wiki 内のアラートスクリプトのトラブル シューティングに関するトピックを参照してください。 カスタムアラートアクション カスタムアラートアクションの使⽤について App デベロッパーはユーザーが設定可能なカスタムアラートアクションを⾃⾝の App に構築することができま す。ユーザーはアラートアクション管理ページからカスタムアラートアクションが組み込まれた App を⾒つける ことができます。 カスタムアラートアクションを試すために、組み込み済みの Webhook アラートアクションを使ってチャット ルームやブログなどのウェブリソースに通知を送信できます。詳細は「Webhook アラートアクションの使⽤」を 参照してください。 アラートアクションが組み込まれた App を⾒つける⽅法については、「アラートアクション管理の使⽤」を参照 してください。 カスタムアラートアクションの開発と使⽤⽅法に関する詳細は、『Splunk Web ⽤のビューと App の開発』の 「カスタムアラートアクション」を参照してください。 アラートとアラートアクションの権限の管理 アラート権限 アラートは定義された権限を持つナレッジオブジェクトです。ユーザーのロールと権限によりアラートの作成、使 ⽤、編集、その他の権限が決まります。 デフォルトでは、Admin または Power ロールを持つユーザーのみが以下の作業を⾏うことができます。 アラートの作成 リアルタイムサーチの実⾏ サーチのスケジュール化 サーチの保存 アラートの共有 権限をもつユーザーは、アラートの権限を編集してアラートを他の App ユーザーと共有することができます。 Admin または Power ロールをもたないユーザーとアラートを共有する時は、そのユーザーはアラート機能にア クセスする権限をもつ必要があります。たとえば、あるユーザーが、リアルタイムアラートにアクセスするために リアルタイムサーチを実⾏する権限が必要になる場合です。 16 Admin ロールによってアラートアクションの権限を設定し、特定の App のユーザーが使⽤可能なアラートアク ションの種類を変更することが可能です。詳細は、「アラートアクションの権限」を参照してください。 アラートの共有 アラートの作成時または後のアラート権限の編集時に、共有設定をすることができます。以下は、アラートの権限 を編集する⼿順です。 1.[ サーチとレポート] App の中で [ アラート] ページに移動します。 2.共有したいアラートを探し、[ 編集] > [ 権限の編集] を選択します。 3.アクセス可能なユーザーを設定してアラートを共有します。オプションを以下に⽰します。 オプション 共有の説明 所有者 アラートを作成者に所属させます。 App App のすべてのユーザーにアラートを表⽰します。 すべての App Splunk プラットフォームインスタンスのすべてのユーザーにアラートを表⽰しま す。 4.リストのユーザーロールに対して、読み取りおよび書き込み権限を選択します。 [ 読み取り] : ユーザーは [ アラート] ページでアラートを参照し、App でアラートを実⾏することができま す。 [ 書き込み] : 適切な権限を持つユーザーは、アラートを変更、有効化、無効化することができます。 アラートアクションの権限 ユーザーロールによって、利⽤可能なアラートにアラートアクションの権限を設定できます。 例えば、admin ユーザーは、サーチとレポート App に対してアラートアクションの権限を調整できます。 admin ユーザーは、この App でアラートを作成するユーザーが利⽤可能なアラートアクションを変更できます。 アラートアクションの権限を確認および変更するには、アラートアクション 管理ページを使⽤します。詳細は、 「アラートアクション管理の使⽤」を参照してください。 アラートアクションはナレッジオブジェクトです。ナレッジオブジェクト権限の管理については、『ナレッジ管 理』マニュアルの「ナレッジオブジェクト権限の管理」を参照してください。 アラートの確認と更新 アラートへのアクセスと更新 アラートにアクセスし更新するにはいくつかの⽅法があります。以下は、よくあるアラート管理タスクとそれを⾏ う Splunk Web のページを表⽰したものです。 作業 ロケーション 現在の App コンテキストの中ですべてのアラートを 表⽰ [ アラート] ページ 確認や更新をするアラートを選択 [ アラート] ページ アラートの詳細を表⽰し編集 [ アラート] ページからアラートを選択し、詳細ページ を開く 利⽤可能なアラートアクションを確認し、アクション を閲覧 アラートアクション 管理ページ 最近⽣成されたアラートを確認 ⽣成アラート ⼀覧ページ [ア ラ ー ト ] ペ ー ジ の 使 ⽤ ⽅ 法 アラート ページには、App のすべてのアラートが表⽰されます。[アラート] ページへは、App のトップレベル のナビゲーションメニューからアクセスできます。アラート ページでは、以下の作業を⾏うことができます。 オプション アラート表⽰のためのフィルタリン グオプションの選択 説明 すべて 閲覧する権限のあるすべてのアラートを表⽰します。 ⾃分所有 ⾃分が所有するアラートを表⽰します。 現在の App 現在の App のアラートを表⽰します。閲覧権限のあ るアラートのみリストに表⽰されます。 17 表⽰された任意のアラートを選択し ます。 アラートの詳細ページが表⽰されます。詳細ページでアラートを確認 し、追加の編集が可能です。 サーチで開く アラートのサーチを[ サーチ] ページで表⽰、変更します。 編集 アラートの詳細ページが表⽰されます。詳細ページでアラートを確認 し、追加の編集が可能です。 アラートサーチの編集 1. [ アラートページ] よりアラートを探し、[ サーチで開く] をクリックします。アラートサーチは、[ サーチ] ページに表⽰されます。 2. 必要に応じてサーチを編集します。 3. 変更したサーチを実⾏します。 4. [ 保存] をクリックして、アラートを更新します。プロンプトが再度表⽰されたら、[ 保存] をクリックしま す。 5. 以下のオプションから選択します。 オプション 説明 アラートの表⽰ アラートの詳細ページを開きます。 編集の続⾏ [ サーチ] ページに戻ります。 権限 アラートの権限を表⽰し編集します。 アラートの詳細へのアクセス [ アラート] ページからアラートを選択し、設定ページを開いて編集します。権限をもつユーザーは以下のアラー ト設定を変更できます。 アラートの有効化/無効化 App コンテキスト 権限 アラートタイプとタイミング ⽣成条件 アラートアクション [ アラート] ページ [ アラート] ページには、App のすべてのアラートが表⽰されます。[アラート] ページへは、App のトップレベ ルのナビゲーションメニューからアクセスできます。[ アラート] ページでは、以下の作業を⾏うことができま す。 オプション 説明 アラート表⽰のためのフィルタリ ングオプションの選択 すべて :表⽰する権限のあるすべてのアラートを表⽰します。 ⾃分所有 :⾃分が所有するアラートを表⽰します。 現在の App :現在の App のアラートを表⽰します。閲覧権限の あるアラートのみリストに表⽰されます。 表⽰された任意のアラートを選択 アラートの詳細ページが表⽰されます。詳細ページでアラートを確認 し、追加の編集が可能です。 サーチで開く アラートのサーチを [ サーチ] ページで表⽰、変更します。 編集 アラートの詳細ページが表⽰されます。詳細ページでアラートを確認 し、追加の編集が可能です。 アラートサーチの編集 1. [ アラートページ] よりアラートを探し、[ サーチで開く] をクリックします。アラートサーチは、[ サーチ] ページに表⽰されます。 2. 必要に応じてサーチを編集します。 3. 変更したサーチを実⾏します。 4. [ 保存] をクリックして、アラートを更新します。プロンプトが再度表⽰されたら、[ 保存] をクリックしま す。 5. 以下のオプションから選択します。 オプション アラートの表⽰ 説明 アラートの詳細ページを開きます。 18 編集の続⾏ [ サーチ] ページに戻ります。 権限 アラートの権限を表⽰し編集します。 アラートアクション管理の使⽤ アラートアクション管理ページにある利⽤可能なアラートアクションの設定を確認したり変更したりできます。 前提条件 (Optional) Review Alert action permissions. ⼿順 1. トップレベルのナビゲーションバーから、[ 設定] > [ アラートアクション] を選択します。 2. 権限によりアラートアクションに対して、以下の作業が可能です。 アラートアクションの有効化/無効化 権限の更新 使⽤状況の確認 ログイベントの表⽰ 3. (任意) [ もっと⾒る] をクリックしてカスタムアラートアクションが組み込まれた App を探します。 ⽣成されたアラート [ ⽣成されたアラート⼀覧] ページでは、最近⽣成されたすべてのアラートを確認できます。詳細ページではま た、特定のアラートに対して最近⽣成されたアクティビティについても閲覧できます。 [⽣成されたアラート⼀覧へ追加] アクションの設定の詳細については、⽣成されたアラートの監視を参照して下さ い。 ⽣成されたアラート⼀覧 アラートは以下の条件で、[ ⽣成されたアラート⼀覧] ページに表⽰されます。 アラートの [⽣成されたアラート⼀覧へ追加] アクションが有効になっている場合。 最近アラートが⽣成された場合。 アラートの保持期間が満了でない場合。 ⽣成されたアラートのリストが削除されていない場合。 [ ⽣成されたアラート⼀覧] ページでは、詳細は以下のカテゴリに分類されます。 カテ ゴリ 説明 時間 ⽣成⽇時 ⽣成 ア ラー ト ⽣成されたアラート名 App アラート App コンテキスト タイ プ アラートタイプ 重⼤ 度 アラートの重⼤度レベル重⼤度レベルは、このページ上のアラートを序列化またはフィルタリン グするのに役⽴ちます。 モー ド アラートの⽣成を設定するモードです。「結果単位」とは、単⼀のイベント発⽣によりアラート が⽣成されるという意味です。「ダイジェスト」とは、⼀連のイベント発⽣によりアラートが⽣ 成されるという意味です。 ⽣成アラートへのアクセスと更新 Here are steps for accessing and using the Triggered Alert s page. 前提条件 (Optional) Review Triggered alert listing. ⼿順 1. トップレベルのナビゲーションバーから、[ アクティビティ] > [ ⽣成されたアラート] を選択します。 2. [ App] 、[ 所有者] 、[ 重⼤度] 、そして [ アラート] (アラート名) により表⽰のアラートをフィルタリングで きます。 3. (任意) キーワードサーチを使って、アラート名または App コンテキストで⽣成されたアラートを検索しま す。 4. (任意) アラート管理で以下の作業を⾏います。 19 アラートサーチ結果の表⽰ アラートサーチの編集 ⽣成されたアラートのリストを削除する。 ⽣成されたアラートの削除 デフォルトでは、[ ⽣成されたアラート⼀覧] ページ上の⽣成アラートのレコードは、24 時間後に失効します。 以下の⽅法により、⽣成アラートの⼀覧をこのページ上に表⽰するかどうかを変更できます。 ⽣成されたアラート⼀覧の有効期限を延⻑ ⽣成されたアラート⼀覧を[ ⽣成されたアラート⼀覧] ページより削除 アラートを⽣成されないよう無効化 追加のアラート設定オプション [ サーチ] ページでアラートを作成し、それを [ アラート] ページで編集することが推奨されます。まれに権限を もつユーザーが、以下の設定のために、[ サーチ、レポート、アラート] ページにアクセスできる場合がありま す。 サマリーインデックス化を有効にする サマリーインデックス化は、スケジュール済みアラートで利⽤可能です。サマリーインデックス化を使えば、⻑期 間にわたって⼤量のデータを分析したりレポートしたりすることが可能です。⼀般に、これはかなりの時間がかか り、複数のユーザーが定期的に同様のサーチを実⾏している場合はパフォーマンスの低下につながります。 前提条件 アラートのサーチが、統計またはサマリーデータを⽣成していることを確認して下さい。 ⼿順 1. トップレベルのナビゲーションバーから、[ 設定] > [ サーチ、レポート、アラート] を選択します。 2. アラートを選択してアラートの詳細ページを表⽰します。 3. サマリーインデックスを有効にして定期的にデータを収集するために、[ アラートの条件] を [常時] にしま す。 4. スケジュール済みアラートでは、[ サマリーインデックス化] の下の [ 有効化] を選択します。まだ指定が されていなければ、これにより [ アラートの条件] が [常時] になります。このオプションはリアルタイムア ラートでは利⽤できません。 5. [ 保存] をクリックします。 サーチとサマリーのインデックス化 アラートでサマリーインデックス化を使⽤するために、⼀定期間に発⽣したイベントの統計またはサマリーを計算 するサーチを作成します。サーチ結果は、指定のサマリーインデックスに保存されます。また、オリジナルの⼤規 模なデータセットを利⽤する代わりに、この⼩規模のサマリーインデックスをサーチすることもできます。 通常は、サマリーインデックスを⽣成するサーチでレポートコマンドを使⽤します。『ナレッジ管理』マニュアル の「サマリーインデックスを使ったレポート効率の向上」を参照してください。 ⽣成されたアラートの有効期限を設定する デフォルトでは、[ ⽣成されたアラート⼀覧] ページ上の⽣成アラートのレコードは、24 時間後に失効します。以 下は、⽣成されたアラートの有効期限を更新する⼿順です。この⼿順は、[⽣成されたアラート⼀覧へ追加] アク ションが有効になっているアラートにのみ有効になります。 1. 2. 3. 4. 5. トップレベルのナビゲーションバーから、[ 設定] > [ サーチ、レポート、アラート] を選択します。 [ サーチ名] の下で変更するアラートを探します。 アラートを選択します。編集ダイアログが表⽰されます。 [ 有効期限] 設定ドロップダウンまでスクロールします。 有効期限を設定します。以下は利⽤可能なオプションです。 オプション このオプションのための追加的⼿順 プリセットされた有効期間オプションか ら 1 つを選択します。 なし カスタム を選択 テキストフィールドとドロップダウンを使って、カスタ ムの有効期限を設定します。 6. [保存 ] をクリックします。 既存のサーチのアラートへの変換 20 1. 2. 3. 4. 5. 6. トップレベルのナビゲーションバーから、[ 設定] > [ サーチ、レポート、アラート] を選択します。 アラートに変換したいサーチを探します。 サーチを選択します。編集ダイアログが表⽰されます。 [ スケジュールとアラート] オプションより「サーシをスケジュール」をクリックします。 アラートの詳細を設定します。 [ 保存] をクリックします。 アラートの例 アラートの例 アラートタイプと⽣成オプションの使⽤法については、この例を参照して下さい。各例には、アラートの使⽤事例 およびコンポーネントのサマリーが記載されています。この例には、例を作成する⼿順も記載されています。 スケジュール済みアラートの例 スケジュール済みアラートは、イベントを定期的にサーチします。結果が指定した条件を満たせば、アラートアク ションが⽣成されます。 アラート例のサマリー 使⽤事例: 24 時間の間にエラーが 5 件を超えて発⽣すると、メール通知が送信されます。 アラートタイプ: スケジュール式 サーチ: 過去 24 時間に発⽣したエラーイベントを探します。 スケジュール: 毎⽇、同時刻にサーチを実⾏します。この例では、サーチは午前 10:00 に実⾏されます。 ⽣成条件: サーチより 5 件を超える結果が返ると、アラートアクションを⽣成します。 アラートアクション: サーチ結果の詳細を含むメール通知を送信します。 アラートの設定 1. [サーチ] ページで、以下のサーチを作成します。index=_internal " error " NOT debug source=*splunkd.log* earliest=-24h latest=now 2. [ 名前を付けて保存] > [ アラート] を選択します。 3. [ アラートとして保存] ダイアログボックスのフィールドに、以下の値を設定します。 [ タイトル] 過去 24 時間に発⽣したエラー [ アラートタイプ] スケジュール済み [ 期間 ] 毎⽇実⾏ [ スケジュール時間] 10:00 [ ⽣成条件] 結果数 [ 結果数が次の場合に⽣成] 5 より⼤きい場合 4. [ メールの送信] アラートアクションを選択します。 5. [ 件名] と [ メッセージ] フィールドでトークンを使って、以下のメール設定をします。 [ 送信先] メールの受信者 [ 優先度] 普通 [ 件名] エラーのアラートが多すぎる: $name$ [ メッセージ] $trigger_date$ に $job.resultCount$ 件のエラーが報告されています。 [ 含める] アラートおよびサーチ結果へのリンク その他のオプションについては、すべてデフォルト値にしておきます。 6. [ 保存] をクリックします。 リアルタイムアラートの例 リアルタイムアラートは結果をリアルタイムに得るため、常時サーチを実⾏します。結果が返る度に、あるいは特 定のタイムウィンドウの中で結果が⽣成条件に⼀致した時に、リアルタイムアラートを⽣成するよう設定すること ができます。 アラート例のサマリー 使⽤事例: Splunk プラットフォームインスタンス上でのエラーの発⽣を監視します。1 分間に 5 件を超えるエラーが 発⽣すると、メール通知を送信します。 21 アラートタイプ: リアルタイム式 サーチ: インスタンス上で常時、エラーの発⽣を監視します。 ⽣成条件: 1 分間に 5 件を超えるサーチ結果が返ると、アラートを⽣成します。 アラートアクション: メール通知を送信します。 アラートの設定 1. [サーチ] ページで、以下のサーチを作成します。index=_internal " error " NOT debug source=*splunkd.log* 2. [ 名前を付けて保存] > [ アラート] を選択します。 3. 以下の値をアラートフィールドに指定します。 [ タイトル] 報告されたエラー (リアルタイム) [ アラートタイプ] リアルタイム [ ⽣成条件] 結果数 [ 結果数が次の場合に⽣成] 1 分間で 5 より⼤きい 4. [ メールの送信] アラートアクションを選択します。 5. [ 件名] と [ メッセージ] フィールドでトークンを使って、以下のメール設定をします。 [ 送信先] メールの受信者 [ 優先度] 普通 [ 件名] リアルタイムアラート:$name$ [ メッセージ] $job.resultCount$ 件のエラーがあります。 [ 含める] アラートへのリンク、結果へのリンク、 ⽣成条件、そして⽣成時刻 その他のオプションについては、すべてデフォルト値のままにしておきます。 6. [ 保存] をクリックします。 リアルタイムアラートの抑制 ⽣成頻度を下げてアラートを抑制し、アラートアクションの動作を制限します。たとえば、必要以上にメール通知 を⽣成するアラートを抑制することができます。 リアルタイムアラートの例の抑制以下の設定はアラート⽣成の挙動を変更し、メール通知が 10 分に 1 回しか起こ らないようにするものです。 1. [ サーチとレポート] App の [ アラート] ページで、アラートを選択します。アラート詳細ページを開きま す。 2. アラートの [ ⽣成条件] の隣りにある、[ 編集] を選択します。 3. [ 抑制] オプションを選択します。10 分間を指定します。 4. [ 保存] をクリックします。 カスタム⽣成条件の例 アラートを作成したときは、利⽤可能な結果のひとつ、またはフィールドカウント⽣成条件オプションを使⽤でき ます。またカスタム⽣成条件を指定することもできます。カスタム条件は、最初の結果に対するセカンダリサーチ として機能します。 アラート例のサマリー 使⽤事例: WARNING エラーインスタンスの記録に [⽣成されたアラート⼀覧 ] リストを使⽤します。 アラートタイプ: リアルタイム式 サーチ: リアルタイムですべてのエラーを検知します。 ⽣成条件: アラートサーチ結果がエラータイプ WARNING かどうかを確認します。WARNING エラーが結果に含まれる時 は、アラートアクションを⽣成します。 アラートアクション: [ ⽣成されたアラート⼀覧] ページのアラートを表⽰します。 アラートの設定 1. [ サーチとレポート] ホームページで、以下のサーチを作成します。index=_internal log_level=ERROR OR log_level=WARN* OR log_level=FATAL OR log_level=CRITICAL) 2. [ 名前を付けて保存] > [ アラート] を選択します。 3. 以下のアラートフィールド値を指定します。 [ タイトル] WARNING エラー 22 source="*splunkd.log" ( [ アラートタイプ] リアルタイム [ ⽣成条件] カスタム [ カスタム条件] 1 分間の log_level=WARN* をサーチする 4. [ ⽣成されたアラート⼀覧] アラートアクションを選択します。 5. [ 保存] をクリックします。 .c onf ファイルによるアラートの⼿動設定 sa v edsea r ch es.conf 内のアラート設定 のアラート設定 savedsearches.conf は Splunk Web のアラート設定とは異なります。Splunk Web を使って⼤ 部分のアラートを設定することができます。 でアラートを設定する前に savedsearches.conf『管理』マニュアルで、以下のトピックを確認して下さい。 設定ファイルについて savedsearches.conf の例 Alertactions.conf 仕様ファイル 設定ファイルパス を作成あるいは編集します。 savedsearches.conf ローカルディレクトリの $SPLUNK_HOME/etc/system/local/ App の場合、アプリケーションディレクトリ内に savedsearches.conf を作成、または編集します。 $SPLUNK_HOME/etc/apps/ s av eds ear c hes .c o nf ス タ ン ザ の 例 アラートは保存済みサーチを使⽤してイベントを確認します。 savedsearches.conf は、それぞれの保存済みサー チのスタンザを含みます。保存済みサーチのスタンザおよびそのアラートアクション設定の例を、以下に⽰しま す。この場合、アラートは⽣成時にメール通知を送信します。 [Too Many Errors Today] # send an email notification action.email = 1 action.email.message.alert = The alert condition for '$name$' in the $app$ fired with $job.resultCount$ error events. action.email.to = [email protected] action.email.useNSSubject = 1 alert.suppress = 0 alert.track = 0 counttype = number of events quantity = 5 relation = greater than # run every day at 14:00 cron_schedule = 0 14 * * * #search for results in the last day dispatch.earliest_time = -1d dispatch.latest_time = now display.events.fields = ["host","source","sourcetype","latitude"] display.page.search.mode = verbose display.visualizations.charting.chart = area display.visualizations.type = mapping enableSched = 1 request.ui_dispatch_app = search request.ui_dispatch_view = search search = index=_internal " error " NOT debug source=*splunkd.log* earliest=-7d latest=now disabled = 1 詳細は『管理』マニュアルの savedsearches.conf の例を参照してください。 23 アラートアクションのスクリプトの設定 スクリプトによるアラートアクションの実⾏は正式に廃⽌になりました。拡張性と安定性のある、カスタムア クションの統合⽤フレームワークであるカスタムアラートアクションに置き換えられました。スクリプトを含 む、カスタマイズされたアラートアクションの構築に関する詳細は、「カスタムアラートアクションについ て」を参照してください。 アラート⽣成時にシェルスクリプトまたはバッチファイルを実⾏するように、アラートを設定できます。ここで は、アラートアクションとして実⾏されるスクリプト内での、アラートに関する情報へのアクセス⽅法を説明して いきます。 アラートが⽣成するスクリプトまたはバッチファイルは、以下の場所のいずれかに保管する必要があります。 $SPLUNK_HOME/bin/scripts $SPLUNK_HOME/etc/apps/<AppName>/bin/scripts スクリプトの作業ディレクトリ パスが必要な場合には絶対パスを使⽤して下さい。相対パスを使⽤する際は、[ サーチとレポート] App の フォルダがルートディレクトリになることに留意してください。 bin アラートアクションとして実⾏するスクリプトの引数へのアクセス アラートアクションとしてスクリプトを実⾏する際、アラート情報を取得する位置引数がスクリプトに渡されま す。位置引数は環境変数としても利⽤できます。 各引数からの情報にアクセスするには、以下の表の表記を使⽤します。 引数 環境変数 値 0 SPLUNK_ARG_0 スクリプト名 1 SPLUNK_ARG_1 返されたイベント数 2 SPLUNK_ARG_2 サーチ単語 3 SPLUNK_ARG_3 完全修飾クエリー⽂字列 4 SPLUNK_ARG_4 レポート名 5 SPLUNK_ARG_5 6 SPLUNK_ARG_6 レポートを表⽰するためのブラウザ URL。 7 SPLUNK_ARG_7 履歴的な理由で使われていません。 8 SPLUNK_ARG_8 ⽣成理由 例:「The number of events was greater than 1.」 サーチの結果を保管するファイル。 gzip ファイル形式の raw 結果が含まれます。 UNIX シェルスクリプトまたは Microsoft バッチファイルで、これらの引数が取得した情報を参照することがで きます (後述)。perl や python などその他の⾔語では、それらの⾔語に実装されている⼿法を使って、スクリプ ト引数にアクセスしてください。 # UNIX scripts can access environment variables and positional args $SPLUNK_ARG_0 $0 # Microsoft batch files capture environment variables reliably %SPLUNK_ARG_0% 位置引数にアクセスするテストスクリプト 位置引数にアクセスした結果を⾒るには、以下のテストスクリプトを使⽤してください。 テストスクリプトを使⽤するには、このスクリプトをアラートアクションとして実⾏するアラートを作成します。 次に⽣成された、echo_output.txt ファイルの内容を参照してください。 # $SPLUNK_HOME/bin/scripts/echo.sh # simple script that writes parameters 0-7 to 24 # $SPLUNK_HOME/bin/scripts/echo_output.txt # $SPLUNK_ARG_0 and $0 show how to use the long and short form. read sessionKey echo "'$SPLUNK_ARG_0' '$0' '$1' '$2' '$3' '$4' '$5' '$6' '$7' '$8' '$sessionKey'" >> \ "$SPLUNK_HOME/bin/scripts/echo_output.txt" 注意:sessionKey は URL でエンコードされています。 ス ク リ プ ト 例 : s y s lo g へ の 書 き 込 み システムログデーモンに書き込むアラート⽤スクリプトを設定することができます。この⽅法は、他のアプリケー ションにアラートを送信するように syslog を設定しており、Splunk プラットフォームからのアラートもそれに 含めたいような場合に役⽴ちます。 1. 、または syslog に書き込む他のプログラムを呼び出すスクリプト このスクリプトを $SPLUNK_HOME/bin/scriptsに保管します。 2. logIt に以下の項⽬を追加します。 logger $5 logger logIt を作成します。 このスクリプトは、アラートアクションとして呼び出された場合、利⽤できる任意の引数にアクセスできま す。 3. をアラートアクションとして実⾏するレポートのアラートを作成します。 アラート⽣成時は、ログエントリは以下のようなものになります。 Aug 15 15:01:40 localhost logger: Report [j_myadmin]: The number of events(65) was greater than 10 logIt syslog ⼊⼒を設定する際に、Splunk Community Wiki で UDP の使い⽅のベストプラクティスをご覧くださ い。 ス ク リ プ ト 例 : W i ndo w s イ ベ ン ト ロ グ へ の 書 き 込 み Windows プラットフォームの場合、Windows イベントログに書き込むスクリプトを実⾏するアラートアクショ ンを設定できます。 イベントログに書き込む EVENTCREATE ユーティリティを呼び出すスクリプトの例を以下に⽰します。このスクリプ トは、アラートで利⽤できる任意の環境変数にアクセスできます。EVENTCREATE ユーティリティの代わりに、 イベントログに書き込む任意のコマンドライン実⾏形式ファイルを指定できます。 1. バッチファイル logIt.bat を作成します。 このスクリプトを $SPLUNK_HOME/bin/scriptsに保管します。 2. バッチファイルに以下のコマンドを指定します。 @echo off EVENTCREATE /T ERROR /SO Splunk /D %SPLUNK_ARG_5% 引数に含まれているメッセージに適したタイプを使⽤してください。この例では、ERROR を使⽤します。 3. logIt.bat をアラートアクションとして実⾏するアラートを作成します。 アラートから起動するスクリプトのトラブルシューティング Splunk Community Wiki のトピック「Troubleshooting alert scripts」には、アラートから起動するスクリプ トの設定とトラブルシューティングに役⽴つ情報が記載されています。 25