メインコンテンツまでスキップ
Sumo Logic Japanese

メール アラートの作成

  1. 最後の更新
  2. PDFとして保存

Scheduled Search メール アラートの作成

  1. まず、Scheduled Search を作成します。「検索のスケジュール」を参照してください。その後、以下の手順でメール アラートを作成します。
  2. [Alert condition (アラート条件)]。[Send Notification (通知を送信)] を選択します。
    • [Every time a search is complete (検索が完了するたび)]。 このオプションを選択すると、検索が実行されるたびに検索結果がメールで送信されます (実行頻度によって、15 分ごと、毎時、または毎日メールが届きます)。
    • If the following condition is met (次の条件が成立した場合)。特定のイベントのみを通知するように Scheduled Search を設定したい場合には、このオプションを選択します。
    • Number of results (結果数)。検索が返す結果の数によってメールを送信します。保存済み検索がログ メッセージを返す場合、指定したメッセージ件数に達するとメールが送信されます。クエリで集計結果を生成する場合、未処理の結果数ではなく、生成された行や集計 (またはグループ) の数によってメールが送信されます。クエリをさらに細かく制御したい場合は、しきい値 (例: | where _count > 30) を検索に設定して、アラート条件を Greater than 0 (0 より大きい) に設定します。これにより、条件が成立した時点でクエリは結果を生成します。
      • Equal to (次に等しい)。検索結果のレコード件数がちょうどこの値になったら通知を送信します。
      • Greater than (次より多い): 生成されたメッセージやグループの件数がテキスト ボックスに入力した数を超えた時点で通知を送信します。
      • Greater than or equal to (次以上)。 生成されたメッセージやグループの件数がテキスト ボックスに入力した数と等しいか、それを超えた時点で通知を送信します。
      • Fewer than (次未満)。 生成されたメッセージやグループの件数がテキスト ボックスに入力した数より少ない場合に通知を送信します。
      • Fewer than or equal to (次以下)。 生成されたメッセージやグループの件数がテキスト ボックスに入力した数と等しいか、それを下回った時点で通知を送信します。
  3. [Alert Type (アラート タイプ)][Email (メール)] を選択します。アラート タイプについては、「Scheduled Search」を参照してください。 
  4. エラー時にメールを検索の所有者へ送信します。このオプションを選択すると、Scheduled Search が失敗したときに検索の所有者にメール通知が送信されます。Scheduled Search が失敗した原因をトラブルシューティングするには、「Scheduled Search が失敗する原因」「Scheduled Search が停止した場合の状況」を参照してください。
  5. [Recipients (受信者)]。Scheduled Search メールの受信者を入力します。複数のメール アドレスを指定する場合はコンマで区切ります。
  6. Email Subject (メール件名): 変数を使用してメールの件名をカスタマイズできます。詳細については、「メールの件名に使用できる変数」を参照してください。
  7. Include in email (メールに追加): メール結果に含めたい機能を選択します。  
    • [Search Query (検索クエリ)] 
    • [Result Set (結果セット)]  
    • ヒストグラム。 
    • [Results as a CSV attachment (結果を CSV 添付ファイルにする)]。CSV ファイルの最大サイズは 5 MB または検索結果 1,000 件です。 
  8. [Save (保存)] をクリックして検索をライブラリに保存します。メールの列はアルファベット順に並べられます。メール アラートの列の順序を指定するには、クエリで fields operator を使用してください

ルール

  • Scheduled Search 1 件当たり、1 日に最大 120 通のメールを送信できます。
  • メールの列はアルファベット順に並べられます。メール アラートの列の順序を指定するには、クエリで fields operator を使用してください
  • 未達通知を受け取ると、そのメール アドレスは 6 時間ブラックリストに登録されます。ブラックリストに登録されているメール アドレスには、メールが送信されません。

メールの件名に使用できる変数

変数 説明
{{AlertCondition}} アラートをトリガした条件。
{{FireTime}} 検索が実行された時刻。
{{NumRawResults}} 検索によって返される未処理メッセージの数。(結果は 1,000 件に制限されています。)
{{TimeRange}} 検索が実行された時間範囲。
{{Results.fieldname}} 検索結果から指定フィールドに返された値。たとえば、以下のペイロード指定では:

{{Results.client_ip}} had {{Results.errors}} errors

次のような件名となります。

70.69.152.165 had 391 errors

ペイロード指定で複数の結果が返される場合は、最初の結果のみが使用されます。

クエリでもペイロード指定でも、fieldname は検索で返されるフィールドと一致しなければならず、小文字の英数文字、アンダースコア、スペースのみを使用できます。

 

  1. このページのトップへ
  • この記事は役に立ちましたか?

おすすめの記事

  1. 記事のタイプ
    トピック
  2. タグ
    1. Scheduled Search
    2. アラート
    3. メール アラート