アラート クエリに一致するイベントの数が設定したしきい値を超える場合、vRealize Log Insight でアラートを定義して E メールまたは Webhook 通知を送信するか、vRealize Operations で通知イベントをトリガできます。

前提条件

  • URL の形式が https://log_insight-host である vRealize Log Insight Web ユーザー インターフェイスにログインしていることを確認します。ここで、log_insight-hostvRealize Log Insight 仮想アプライアンスの IP アドレスまたはホスト名です。
  • ユーザー アカウントがアラートに関連する権限を持つロールに関連付けられていることを確認します。

    ユーザー アカウントにアラートへの表示アクセス権を持つロール(ユーザー ロールなど)が割り当てられている場合は、組織内のすべてのアラートを表示できます。ただし、ユーザーが管理できるのは、自分のアラートだけです。

    ユーザー アカウントにアラートへの編集またはフル アクセス権を持つロール(スーパー管理者ロールなど)が割り当てられている場合:
    • 組織内のすべてのシステム アラートを有効または無効にできます。
    • 組織内のすべてのユーザー定義アラートを作成、変更、および削除できます。
    ロールの詳細については、『vRealize Log Insight の管理』のロールの作成と変更を参照してください。

手順

  1. [アラート] タブで [アラート] をクリックします。
  2. [新規作成] をクリックします。
    ヒント: [インタラクティブ分析] タブに移動して、クエリに基づいてアラートを作成することもできます。クエリを入力し、 [検索] ボタンの横にある "" をクリックし、 [クエリからアラートを作成] を選択します。
  3. アラートの名前を入力します。
    ${フィールド名 } の形式でフィールドを含めることにより、アラート名をカスタマイズできます。たとえば、 Alert for ${hostname} VPXA Logs のようにアラート名を入力できます。2 つのホスト名があり、アラートの E メール通知を設定した場合、E メールの件名は次のようになります。
    Alert for "hostname loginsight-01.eng.vmware.com and 1 more" VPXA Logs
    説明では、 event_typesourcefilepath など、他の静的フィールドを使用できます。抽出したフィールドを使用することもできます。
    注:
    • アラート名に追加できる静的フィールドまたは抽出したフィールドは 1 つだけです。
    • アラート名に抽出したフィールドを使用する場合は、アラート クエリの一部にする必要があります。アラートに「次でグループ化」条件がある場合、抽出されたフィールドも「次でグループ化」条件の一部である必要があります。
    • vRealize Operations に通知を送信する場合、フィールドごとに 1 つの通知イベントが送信されます。たとえば、アラート名に ${hostname} が含まれ、5 つのホスト名がある場合、各ホスト名に 1 つずつ、5 つの通知イベントが送信されます。
  4. アラートをトリガするイベントの短くわかりやすい説明を入力します。
    ${フィールド名 } の形式で 1 つ以上のフィールドを含めることにより、アラートの説明をカスタマイズできます。たとえば、 VPXA logs were generated for ${hostname} というアラートの説明を入力できます。2 つのホスト名があり、アラートの E メール通知を設定した場合、E メールにはサンプル ログがいくつかリストされ、次に以下の情報が表示されます。
    Additional notes for this alert:
    VPXA logs were generated for
    hostname
    loginsight-01.eng.vmware.com
    loginsight-02.eng.vmware.com
    説明では、 event_typesourcefilepath など、他の静的フィールドを使用できます。抽出したフィールドを使用することもできます。
    注:
    • アラートの説明では、静的フィールドまたは抽出したフィールドを 1 つのみ使用できます。
    • アラート名に抽出したフィールドを使用する場合は、アラート クエリの一部にする必要があります。アラートに「次でグループ化」条件がある場合、抽出されたフィールドも「次でグループ化」条件の一部である必要があります。
  5. アラートの基になるクエリを入力します。
  6. アラートのトリガ条件を入力します。期間を選択し、静的フィールドまたは抽出したフィールドでクエリ結果をグループ化できます。
    トリガ条件 説明
    すべての一致する項目
    注: このトリガ条件は、[期間] ドロップダウン メニューで [リアルタイム] を選択すると設定できます。

    アラート クエリは毎分自動的に実行されます。1 分以内に少なくとも 1 つのイベントがクエリに一致すると、通知がトリガされます。

    イベントの合計数

    ドロップダウン メニューで選択した期間内に発生する一致イベントの数が、X より多いか少ない場合に、通知がトリガされます。

    このタイプのアラートがトリガーされると、重複するアラートが同じ一連のイベントに対して生成されないように、当該アラートはその期間中スヌーズされます。スヌーズ中にアラートを有効にする場合は、無効にしてから再度有効にします。

    フィールドの一意の数

    ドロップダウン メニューで選択した期間内に、フィールド F の一意の数が X より多いか少ない場合に、通知がトリガされます。

    フィールドでの集計操作

    ドロップダウン メニューで選択した期間内に、フィールド F に適用される集計操作 AX より多いか少ない場合に、通知がトリガされます。

    トリガ条件に基づいて通知を送信するように、アラートを構成できます。
  7. (オプション) アラートの送信時に通知メッセージに含まれるアラートの推奨事項を入力します。
  8. (オプション) テスト アラート通知を送信するには、[テスト アラートを送信] をクリックします。
  9. [保存] をクリックします。

結果

アラートの定義が [アラート] ページに表示されます。

次のタスク

アラートを有効化、無効化、または変更できます。