Splunk-schedules-and-alerts
Splunk-スケジュールとアラート
スケジューリングは、ユーザーの介入なしにレポートを自動的に実行するトリガーを設定するプロセスです。 以下は、レポートのスケジューリングの使用法です-
- 毎月、毎週、または毎日、異なる間隔で同じレポートを実行することにより、特定の期間の結果を取得できます。
- ユーザーがダッシュボードを開く前にレポートがバックグラウンドで実行を終了するため、ダッシュボードのパフォーマンスが向上しました。
- レポートの実行が完了した後、レポートを電子メールで自動的に送信します。
スケジュールを作成する
スケジュールは、レポートのスケジュール機能を編集して作成されます。 下の画像に示すように、[編集]ボタンの[スケジュールの編集]オプションに移動します。
スケジュールの編集ボタンをクリックすると、スケジュールを作成するためのすべてのオプションをレイアウトする次の画面が表示されます。
以下の例では、すべてのデフォルトオプションを使用し、レポートは毎週月曜日の午前6時に実行されるようにスケジュールされています。
スケジューリングの重要な機能
以下は、スケジューリングの重要な機能です-
- 時間範囲-レポートがデータを取得する必要がある時間範囲を示します。 最後の15分、最後の4時間、または先週などです。
- スケジュールの優先度-複数のレポートが同時にスケジュールされている場合、特定のレポートの優先度が決定されます。
- スケジュールウィンドウ-同じ優先度のレポートスケジュールが複数ある場合は、このウィンドウ内のいつでもレポートを実行するのに役立つ時間ウィンドウを選択できます。 5分であれば、レポートは予定時間の5分以内に実行されます。 これは、実行時間を延ばすことにより、スケジュールされたレポートのパフォーマンスを向上させるのに役立ちます。
アクションのスケジュール
スケジュールアクションは、レポートの実行後にいくつかの手順を実行することを目的としています。 たとえば、レポートの実行ステータスを記載したメールを送信したり、別のスクリプトを実行したりできます。 このようなアクションは、以下に示すように、*アクションの追加*ボタンをクリックしてオプションを設定することで実行できます-
アラート
Splunkアラートは、ユーザーが定義した特定の基準が満たされたときにトリガーされるアクションです。 アラートの目的は、アクションのログ記録、電子メールの送信、またはルックアップファイルへの結果の出力などです。
アラートを作成する
検索クエリを実行し、その結果をアラートとして保存することにより、アラートを作成します。 以下のスクリーンショットでは、日ごとのファイル数を検索し、 Save As オプションを選択して結果をアラートとして保存します。
次のスクリーンショットでは、アラートプロパティを設定します。 以下の画像は、構成画面を示しています-
これらのオプションのそれぞれの目的と選択は以下に説明されています-
- タイトル-アラートの名前です。
- 説明-アラートの詳細な説明です。
- 許可-その値は、誰がアラートにアクセス、実行、または編集できるかを決定しました。 プライベートと宣言された場合、アラートの作成者のみがすべての権限を持ちます。 他のユーザーがアクセスするには、オプションを* Appで共有*に変更する必要があります。 この場合、全員に読み取りアクセス権がありますが、アラートの編集アクセス権があるのはパワーユーザーのみです。
- アラートタイプ-スケジュールされたアラートは、ドロップダウンから選択された日時によって実行時間が定義される事前定義された間隔で実行されます。 ただし、リアルタイムアラートのその他のオプションでは、バックグラウンドで検索が継続的に実行されます。 条件が満たされるたびに、アラートアクションが実行されます。
- トリガー条件-トリガー条件はトリガーで言及された基準をチェックし、アラート基準が満たされた場合にのみ変更を開始します。 検索結果に結果の数またはソースの数またはホストの数を定義して、アラートをトリガーできます。 1回に設定されている場合、結果条件が満たされたときに1回だけ実行されますが、各結果に For が設定されている場合、トリガー条件が満たされた結果セット内のすべての行に対して実行されます。
- トリガーアクション-トリガーアクションは、トリガー条件が満たされたときに、目的の出力を提供したり、電子メールを送信したりできます。 以下の画像は、Splunkで利用可能な重要なトリガーアクションの一部を示しています。
