メインコンテンツまでスキップ
Sumo Logic Japanese

メール アラートの作成

スケジュール済み検索メール アラートの作成

  1. まず、スケジュール済み検索を作成します。「検索のスケジュール」を参照してください。その後、以下の手順でメール アラートを作成します。
  2. [Alert condition (アラート条件)]。[Send Notification (通知を送信)] を選択します。
    • [Every time a search is complete (検索が完了するたび)] このオプションを選択すると、検索が実行されるたびに検索結果がメールで送信されます (実行頻度によって、15 分ごと、毎時、または毎日メールが届きます)。
    • If the following condition is met (次の条件が成立した場合)。特定のイベントのみを通知するようにスケジュール済み検索を設定したい場合には、このオプションを選択します。
    • Number of results (結果数)。検索が返す結果の数によってメールを送信します。保存済み検索がログ メッセージを返す場合、指定したメッセージ件数に達するとメールが送信されます。クエリで集計結果を生成する場合、未処理の結果数ではなく、生成された行や集計 (またはグループ) の数によってメールが送信されます。クエリをさらに細かく制御したい場合は、しきい値 (例: | where _count > 30) を検索に設定して、アラート条件を Greater than 0 (0 より大きい) に設定します。これにより、条件が成立した時点でクエリは結果を生成します。
      • Equal to (次に等しい)。検索結果のレコード件数がちょうどこの値になったら通知を送信します。
      • Greater than (次より大きい)。 生成されたメッセージやグループの件数がテキスト ボックスに入力した数を超えた時点で通知を送信します。
      • Greater than or equal to (次以上)。 生成されたメッセージやグループの件数がテキスト ボックスに入力した数と等しいか、それを超えた時点で通知を送信します。
      • Fewer than (次未満)。 生成されたメッセージやグループの件数がテキスト ボックスに入力した数より少ない場合に通知を送信します。
      • Fewer than or equal to (次以下)。 生成されたメッセージやグループの件数がテキスト ボックスに入力した数と等しいか、それを下回った時点で通知を送信します。
  3. [Alert Type (アラート タイプ)][Email (メール)] を選択します。アラート タイプについては、「スケジュール済み検索」を参照してください。 
  4. エラー時にメールを検索の所有者へ送信します。このオプションを選択すると、スケジュール済み検索が失敗したときに検索の所有者にメール通知が送信されます。スケジュール済み検索が失敗した原因をトラブルシューティングするには、「スケジュール済み検索が失敗する原因」「スケジュール済み検索が停止した場合の状況」を参照してください。
  5. [Recipients (受信者)]。スケジュール済み検索メールの受信者を入力します。複数のメール アドレスを指定する場合はコンマで区切ります。
  6. [Email Subject (メール件名)]。変数を使用してメールの件名をカスタマイズできます。詳細については、「メールの件名に使用できる変数」を参照してください。
  7. [Include in email (メールに追加)]。 メール結果に含めたい機能を選択します。  
    • [Search Query (検索クエリ)] 
    • [Result Set (結果セット)]  
    • [Histogram (ヒストグラム)] 
    • [Results as a CSV attachment (結果を CSV 添付ファイルにする)]。CSV ファイルの最大サイズは 5 MB または 検索結果 1,000 件です。 
  8. [Save (保存)] をクリックして検索をライブラリに保存します。メールの列はアルファベット順に並べられます。メール アラートの列の順序を指定するには、クエリで fields 演算子を使用してください

メールの件名に使用できる変数

変数 説明
{{AlertCondition}} アラートをトリガーした条件。
{{FireTime}} 検索が実行された時刻。
{{NumRawResults}} 検索で返された未処理メッセージの件数 (上限は 1,000 件です。)
{{TimeRange}} 検索が実行された時間範囲。
{{Results.fieldname}} 検索結果から指定フィールドに返された値。たとえば、以下のペイロード指定では:

{{Results.client_ip}} had {{Results.errors}} errors

次のような件名となります。

70.69.152.165 had 391 errors

ペイロード指定で複数の結果が返される場合は、最初の結果のみが使用されます。

クエリでもペイロード指定でも、fieldname は結果で返されるフィールドと完全に一致しなければならず、スペースなしで、すべて小文字でなければなりません。たとえば、customername や customer_name は有効ですが、CustomerName、Customer_Name、Customer Name は無効です。 

 

  • この記事は役に立ちましたか?