メインコンテンツまでスキップ
Sumo Logic Japanese

LogCompare のメール アラートの作成

特定の条件が満たされたときにメール アラートを送信する Scheduled Search を作成できます。

LogCompare によって、特定の条件が満たされたときにメール アラートを送信する Scheduled Search を作成できます。たとえば、新しいシグネチャが検出されたときにアラートを受け取ることができます。

これには、次のような検索クエリを使用します。

error | logcompare timeshift -24h | where (_isNew)

次にアラートを作成するために、検索クエリを保存してスケジュールします。

LogCompare の結果に欠落が生じないようにするには、Scheduled Search の時間範囲を実際の検索の周期より少し長く設定します。たとえば、4 時間ごとに実行するように検索を設定した場合、Scheduled Search を設定するときに選択する時間範囲は -4h30m にしてください。

検索の時間範囲を選択するときは、次の点に注意してください。

  • 時間範囲を狭くすると、結果があった場合にのみメールを送信するように設定しない限り、生成されるメールが増加します。
  • 時間範囲が狭い場合には、LogReduce の結果の精度も低下します。たとえば、1 秒の時間範囲を使用する場合、新しいシグニチャの情報は役に立たない可能性が高いです。
  • 時間範囲が広いほど、メール アラートの生成にかかる時間が長くなります。

次のメールの例に示すように、デフォルトでは、LogCompare のメール通知には [Score (スコア)][Count (カウント)]、および [Signature (シグネチャ)] に関する詳細が表示されます。これらは設定できません。

LogCompare Scheduled Search およびメール アラートの作成

  1. [Search (検索)] ページで、logcompare クエリを入力します。例:
    error | logcompare timeshift -24h | where (_isNew)
  2. 検索フィールドの下にある、[Save As (名前を付けて保存)] をクリックします。
    NewSignatures.png
  3.  [Save Search As (検索の名前を付けて保存)] ダイアログで、[Search name (検索名)] に [Saved Search (保存済み検索)] の名前を入力します。この例では、New Signatures を使用しています。
  4. (省略可能) 必要に応じて、この検索を識別するために役立つ任意の説明を入力します。
  5. 保存済み検索を実行したときのデフォルトの時間範囲となる [Time Range (時間範囲)] オプションを選択します。(LogCompare の結果に欠落が生じないようにするには、検索を実行する周期よりも時間範囲を少し長くします。)
  6. [Schedule this Search (この検索をスケジュールする)] をクリックします。[Schedule this Search (この検索をスケジュールする)] ダイアログが開きます。
    SaveLogreduce.png
  7. [Run Frequency (実行頻度)] で、検索を実行する周期を選択します。この周期は、時間範囲と一致する必要があります。
  8. [Time range for scheduled search (Scheduled Search の時間範囲)] で、同様に周期に一致する時間範囲を選択します。
  9. [Alert Condition (アラート条件)] で、[Send notification every time upon search completion (検索完了時に通知を毎回送信する)] を選択します。
  10. [Alert Type (アラート タイプ)] で、[Email (メール)] を選択します。
  11. [Recipients (受信者)] に自分のメール アドレスを入力します。
  12. [Save (保存)] をクリックして検索をライブラリに保存します。
  • この記事は役に立ちましたか?