メインコンテンツまでスキップ
Sumo Logic Japanese

ラボ 15 - 意味のあるアラートの作成

このラボでは、定義したログ結果のしきい値を基にアラートを作成する方法について説明します。
このラボでは、単純にカウント値のみでアラートを生成するのではなく、全体的なトラフィック (200 メッセージの数から測定) よりも速いレートで 404 エラーが増加したときにアラートを生成するクエリを作成します。  詳しい説明は、こちらのブログ記事を参照してください。

 

  1. ステータス コードが 200 または 404 のメッセージのみを検索します。

  2. 200 メッセージは成功、404 メッセージはエラーとしてカウントします。

  3. 成功とエラーの数を合計してカウント値を得ます。

  4. 成功に対するエラーの比率を計算します。

  5. outlier operator を使用して、この比率の異常値を検出します。

_sourceCategory=Labs/Apache/Access (status_code=200 or status_code=404)
| timeslice 1m
| if (status_code = "200", 1, 0) as successes
| if (status_code = "404", 1, 0) as fails
| sum(successes) as success_cnt, sum(fails) as fail_cnt by _timeslice
| (fail_cnt/(success_cnt+fail_cnt)) * 100 as failure_rate_pct
| sort _timeslice desc
| outlier failure_rate_pct window=5, threshold=3, consecutive=1, direction=+

  1. この行を追加して、外れ値 (比率が通常よりも高い値) のみを除外します。これで、このクエリに結果が返された時点でアラートを生成する Scheduled Search を作成できます。

| where failure_rate_pct_indicator > 0

  • この記事は役に立ちましたか?