LogicMonitor + Catchpoint: 自律型ITの新時代へ

さらに詳しく
Platform
解決策
業種
職種
結果はありません。

ログアラート

最終更新日 - 11年2025月XNUMX日

LogAlertは、ログデータに特定のパターンまたはキーワードが出現するとトリガーされます。これらのアラートを管理するには、LogAlertグループを使用します。LogAlertグループは、アラートの適用方法と適用場所を定義します。LogAlertグループ関連のLogAlertは、リソースツリー内のフォルダやリソースグループがアイテムを整理する方法に似ています。

LogAlertグループは通常、リソースまたはリソースグループごとに構造化されます。この構造により、スケーラブルで直感的なアラート管理が可能になります。例えば、

  • ファイアウォール ログに関連するアラートをグループ化するには、「Cisco ASA」という名前の LogAlert グループを使用します。
  • 特定の地理的リージョン内のドメイン コントローラーにアラートを適用するには、「ドメイン コントローラー - 東部リージョン」を使用します。

各LogAlertグループは、特定のリソースセットまたはリソースグループを対象とします。LogAlertグループ内のLogAlertは、ログメッセージに特定のキーワードが含まれている場合やパターンに一致した場合など、アラートがトリガーされるタイミングを定義します。

LogAlertsは、取り込まれたログ内の特定の条件に一致するログクエリに基づいています。これらの一致は、キーワード、文字列、キーと値のペア、または正規表現(regex)パターンに基づいて行うことができます。一致が発生すると、LogicMonitorはアラートをトリガーし、ログイベントまたは異常についてユーザーに通知を送信します。

LogAlerts を使用すると、常に把握しておきたいログを追跡するための LogAlerts を追加したり、検出された異常に関するアラートを作成したりすることで、調査を高速化できます。

LogAlertsページ

LogAlertsの表示

ソフトウェア設定ページで、下図のように ログ ページで、 ログアラート グループアイコンをクリックして ログアラート ページ アラートを確認および管理できます。

  • 重大度—アラートに設定されているレベル (重大、エラー、警告) を表示します。
  • 表示—アラートの設定された表示名を表示します。
  • ログ クエリ- アラートをトリガーするログ イベントに一致する正規表現パターンを表示します。
  • LogAlertタイプ—基本アラートやステートフルアラートなどのアラートの種類を表示します。
  • LogAlertグループ—アラートが適用される LogAlert グループを表示します。
  • 詳細説明 —アラートの簡単な説明を示します。
  • 有効—アラートのオンとオフを切り替えることができます。
  • フィルター — 特定の LogAlert グループによるアラート。

LogAlertに関する考慮事項

  • アラートレート制限—各LogAlertグループは1分あたり最大90件のアラートを生成できます。このレートを超えたアラートは破棄され、処理されません。
  • LogAlertグループの制限—各ポータルは最大 20 個のログ LogAlert グループをサポートします。
  • LogAlertグループごとのアラート制限—各 LogAlert グループは、次のものを含む最大 55 個のログアラートをサポートします。
    • 時間ベースのログアラート—LogAlertグループごとに最大10個の時間ベースのアラートを作成できます。時間ベースのアラートは、選択した時間枠(10分、30分、1時間、8時間、または1日)内に、少なくとも1つのログが定義された条件に一致した場合に生成されます。
    • ステートフルログアラート—LogAlert グループごとに最大 10 個のステートフル アラートを作成できます。

注意: 期間ベースのアラートとステートフルアラートを同じログアラート内で組み合わせることはできません。時間ベースのトリガーオプションをサポートしているのは、基本アラートタイプのみです。

LogAlertsの追加

LogAlert は、ログ ページにリストされているログ イベントまたは異常から直接追加できます。また、LogAlert グループや LogAlert ページからも追加できます。

  • 上のログ イベントまたは異常から ログ ページ: ログ行の先頭にあるアクションメニューを開き、「アラートを作成」を選択して LogAlert を追加 ダイアログ。
  • ノーザンダイバー社の LogAlertグループ ページ: ログアラート アイコンまたはカウントを開く ログアラート ページを選択し、 LogAlert を追加 アラートを追加します。

注意: ログアラートを追加するには、少なくとも1つのLogAlertグループが必要です。詳細については、 ログ処理 LogAlert グループLogAlert で使用されるログ クエリには集計関数を含めることはできませんが、解析ステートメントや比較演算子 (など) を含めることができます。

LogAlertオプションの作成

次の LogAlerts を追加できます。

LogAlertの追加

 LogAlert を追加 ダイアログで、次のように情報を入力します。

  1. タイプを選択する アラートの重大度 条件が満たされたときに生成するレベル (クリティカル、エラー、警告)。
  2. 入力します 表示名 フォルダーとその下に  詳細説明  LogAlerts のリストに表示されます。
  3. ドロップダウンリストから LogAlertグループ アラートを適用します(事前に入力されていない場合)。
  4. 事前に入力されていない場合は、 ログ クエリ LogAlertグループのイベントをフィルタリングします。詳細については、 フィルタリングクエリの記述. 矢印を選択して結果をプレビューし、保存する前にクエリを絞り込みます。
  5.  トリガーアラートLogAlert をアクティブ化するには、次の手順を実行します。
    1. 一致するログごとに – 条件に一致するログごとにアラートを生成する場合は、このオプションを選択します。
    2. 内のログが一致した場合のみ – このオプションを選択すると、指定した期間内に一定数のログが条件に一致した場合にアラートが生成されます。アラートを生成するには、一致するログが少なくとも1つ必要です。以下の時間間隔を選択できます。 10分、30分、1時間、8時間、1日.

重要: アラートが生成された後、次のアラートを生成するために、最初のログの時刻が時間間隔の開始点とみなされ、その時間間隔が完了するまでアラートは生成されません。 たとえば、3 分以内に 10 件の一致するログが発生した後のみを選択すると、条件が一致する 10 件のログが 6 分以内に処理された後にアラートが生成されます。 10 分以内に条件に一致するログが 3 つある場合、一致する 10 つのログの最初のセットに対するアラートが生成されます。 その後、最初のログの時刻が 10 分の時間間隔の開始点とみなされ、XNUMX 分の時間間隔が完了するまでアラートは生成されません。

  1. 定義します アラートのクリア条件アラートが継続する時間を入力します。デフォルトは60分です。
  2. トグル 承認後に自動クリア アラートを確認した後でスイッチをオンにすると、アラートがクリアされます。
  3. トグル 有効 アラートをアクティブにするにはスイッチをオンにします。
  4.  ログノート フィールドに、インシデント対応をガイドする内部情報、リンク、または指示を入力します (たとえば、ランブック、エスカレーション手順、システム ダイアグラムなど)。
  5. まず Save アラートを追加するにはアイコンをクリックします。

注意: 当学校区の クリア後 設定すると、指定した時間が経過するとアラートがクリアされます。 承認後に自動クリア トグルはオフです。 アラートは、 承認後に自動クリア トグルがオンになっています。

LogAlert ページに戻ると、テーブルで作成したアラートを確認できます。

例:

LogAlertグループ Windows Servers (_resource.group.name="Windows") 「Windows」リソースグループに関連するログのサブセットを対象とします。アラートは特定のキーワードまたは値(イベントコード1100およびアプリケーションログファイル)でトリガーされます。アラートクエリにリソースグループ名を含めることは任意ですが、含めてもアラートの機能には影響しません。

LogAlertフォームを追加

アラートの確認

ログアラートが一致すると、 標準のLogicMonitorアラート通知 アラート設定(クリティカル、警告、エラー)に基づいて、構成されたエスカレーションチェーンを経由します。

次の操作も実行できます。

  • でログ アラートを表示します。 ログ グラフで、アラート ログ イベントの横に線として表示されます。
  • でアラートを確認またはクリアします。 アラート リスト。

ステートフル LogAlert の追加

ステートフル LogAlert を追加するには、次の手順を実行します。

  1. 上のログ イベントまたは異常から ログ ページで、ログ行の先頭にある [アクション] メニューを開いて、[アクション] メニューを選択します。 LogAlert を作成 を開く LogAlert を追加 ダイアログ。
    または、 LogAlert グループ ページで、 ログアラート アイコンまたはLogAlertカウントを開く ログアラート ページでプラス記号を選択して LogAlert を追加します。
  2.  ログアラート名 フィールドに、LogAlert の名前を入力します。
  3. ノーザンダイバー社の LogAlertタイプ ドロップダウン リスト、選択 ステートフル.
  4. ノーザンダイバー社の アラートの重大度 ドロップダウンで、条件が満たされた場合のアラートの重大度レベルの種類(重大、エラー、警告など)を選択します。
  5. アラートの説明を入力します。
  6. トグルを選択します 既存のLogAlertグループ or 新しいログアラート グループ 既存の LogAlert グループまたは新しい LogAlert グループを選択して LogAlert を作成します。

注意: 既存のLogAlertグループを選択した場合は、そのLogAlertグループの名前とクエリが表示されます。「新しいLogAlertグループ」を選択した場合は、LogAlertグループの名前、説明、およびログクエリを追加する必要があります。

  1. 事前に入力されていない場合は、 ログ クエリ LogAlertグループのイベントをフィルタリングします。詳細については、 フィルタリングクエリの記述.
  2. 矢印を選択して結果をプレビューし、保存する前にクエリを調整します。
  3.  アラート条件 フィールドにクエリを入力するか、フィールド内をクリックして既存のクエリを選択してアラート条件を追加します。この条件を使用してアラートを生成します。

注意: ステートフルアラートの場合、 アラートをトリガーする  一致するログごとに このオプションはデフォルトで選択されており、条件に一致するログごとにアラートを生成します。の 内のログが一致した場合のみ このオプションは、ステートフル アラート条件タイプでは使用できません。

  1.  警戒状態LogAlert をクリアする条件を追加するには、次の手順を実行します。
    • クエリを入力してください クリア条件 または、リストから既存のクエリを選択します。この条件を使用してアラートをクリアします。
    •  クリア後​​は、 アラートの継続時間を入力します。デフォルトは60分です。日数、時間、分単位で時間を選択できます。
    • トグル 承認後に自動クリア アラートを確認した後でスイッチをオンにすると、アラートがクリアされます。

推奨事項: ログクエリに集計関数を含めないでください。クエリを実行するには、 クエリを実行 アラート テーブルのフィールドに含まれるアラートのグループ化基準とログ メタデータ フィールドにユーザー定義の値を入力します。

  1.  グループ化基準テーブル、 アラートのグループ化基準を追加するには、次の手順を実行します。
    1. まず 加えます アラート基準を追加するにはアイコンをクリックします。
    2.  アラートのグループ化基準 および 明確なグループ化基準 フィールドで、アラートおよびクリア基準を選択または入力します。
    3. 選択する Apply.

注意:

  • アラートのグループ化基準とは、対応するフィールド値に基づいてアラートをグループ化するために使用されるログメタデータフィールド名のセットを指します。これらの値の一意の組み合わせごとに、単一のアラートインスタンスが生成されます。同じ基準に一致する後続のアラートは重複排除され、アラート疲労を軽減し、ノイズを最小限に抑えます。
  • リソースはデフォルトのアラート グループ化基準です。
  • ログ イベント間の正確な相関関係を確保するには、アラート グループ化基準フィールドの実際の値が一致している必要があります。
  • 最大 2 つのアラート グループ化基準を追加できます。
  1. トグル 有効 アラートをアクティブにするにはスイッチをオンにします。
  2. 下 アラートに含まれるログメタデータフィールド セクションで、アラート情報にメタデータを追加するには、次の手順を実行します。
    1. 選択する レコードを追加  新しいフィールドを追加します。
    2. の中に ログフィールドメタデータフィールドの名前を検索または入力し、 Apply.
    3. フィールドを削除するには、 削除 会場は   対応するフィールドの列。
  3.  ログノート フィールドに、インシデント対応をガイドする内部情報、リンク、または指示を入力します (たとえば、ランブック、エスカレーション手順、システム ダイアグラムなど)。

注意: ログメタデータフィールド名は最大10個まで追加できます。対応するフィールド値は、トリガーとなったログイベントから直接抽出され、アラート情報に追加されます。選択したログメタデータフィールドとその値は、「アラート」ページの「ログメタデータ」列と、アラートの詳細パネルに表示されます。 アラート および ログ ページ。抽出されたすべてのフィールド値は、アラートの詳細に追加される前に、JSON 形式の文字列に自動的に変換されます。

  1. を選択 Save LogAlert を追加するにはアイコンをクリックします。

14日間フルアクセス LogicMonitor プラットフォーム