アラートの定義

アラートクエリに一致するイベントの数が設定したしきい値を超える場合、vRealize Log Insight でアラートを定義して E メールまたは Webhook 通知を送信するか、vRealize Operations で通知イベントをトリガできます。

前提条件

URL の形式が https://log_insight-host である vRealize Log Insight Web ユーザーインターフェイスにログインしていることを確認します。ここで、log_insight-host は vRealize Log Insight 仮想アプライアンスの IP アドレスまたはホスト名です。
ユーザーアカウントがアラートに関連する権限を持つロールに関連付けられていることを確認します。
ユーザーアカウントにアラートへの表示アクセス権を持つロール（ユーザーロールなど）が割り当てられている場合は、組織内のすべてのアラートを表示できます。ただし、ユーザーが管理できるのは、自分のアラートだけです。
ユーザーアカウントにアラートへの編集またはフルアクセス権を持つロール（スーパー管理者ロールなど）が割り当てられている場合：
- 組織内のすべてのシステムアラートを有効または無効にできます。
- 組織内のすべてのユーザー定義アラートを作成、変更、および削除できます。
ロールの詳細については、『vRealize Log Insight の管理』のロールの作成と変更を参照してください。

手順

[アラート] タブで [アラート] をクリックします。
[新規作成] をクリックします。

ヒント: [インタラクティブ分析] タブに移動して、クエリに基づいてアラートを作成することもできます。クエリを入力し、 [検索] ボタンの横にあるをクリックし、 [クエリからアラートを作成] を選択します。
アラートの名前を入力します。
${フィールド名 } の形式でフィールドを含めることにより、アラート名をカスタマイズできます。たとえば、 Alert for ${hostname} VPXA Logs のようにアラート名を入力できます。2 つのホスト名があり、アラートの E メール通知を設定した場合、E メールの件名は次のようになります。
```
Alert for "hostname loginsight-01.eng.vmware.com and 1 more" VPXA Logs
```
説明では、 event_type、 source、 filepath など、他の静的フィールドを使用できます。抽出したフィールドを使用することもできます。
注：
- アラート名に追加できる静的フィールドまたは抽出したフィールドは 1 つだけです。
- アラート名に抽出したフィールドを使用する場合は、アラートクエリの一部にする必要があります。アラートに「次でグループ化」条件がある場合、抽出されたフィールドも「次でグループ化」条件の一部である必要があります。
- vRealize Operations に通知を送信する場合、フィールドごとに 1 つの通知イベントが送信されます。たとえば、アラート名に ${hostname} が含まれ、5 つのホスト名がある場合、各ホスト名に 1 つずつ、5 つの通知イベントが送信されます。
アラートをトリガするイベントの短くわかりやすい説明を入力します。
${フィールド名 } の形式で 1 つ以上のフィールドを含めることにより、アラートの説明をカスタマイズできます。たとえば、 VPXA logs were generated for ${hostname} というアラートの説明を入力できます。2 つのホスト名があり、アラートの E メール通知を設定した場合、E メールにはサンプルログがいくつかリストされ、次に以下の情報が表示されます。
```
Additional notes for this alert:
VPXA logs were generated for
hostname
loginsight-01.eng.vmware.com
loginsight-02.eng.vmware.com
```
説明では、 event_type、 source、 filepath など、他の静的フィールドを使用できます。抽出したフィールドを使用することもできます。
注：
- アラートの説明では、静的フィールドまたは抽出したフィールドを 1 つのみ使用できます。
- アラート名に抽出したフィールドを使用する場合は、アラートクエリの一部にする必要があります。アラートに「次でグループ化」条件がある場合、抽出されたフィールドも「次でグループ化」条件の一部である必要があります。
アラートの基になるクエリを入力します。

アラートのトリガ条件を入力します。期間を選択し、静的フィールドまたは抽出したフィールドでクエリ結果をグループ化できます。

トリガ条件	説明
すべての一致する項目注：このトリガ条件は、[期間] ドロップダウンメニューで [リアルタイム] を選択すると設定できます。	アラートクエリは毎分自動的に実行されます。1 分以内に少なくとも 1 つのイベントがクエリに一致すると、通知がトリガされます。
イベントの合計数	ドロップダウンメニューで選択した期間内に発生する一致イベントの数が、`X` より多いか少ない場合に、通知がトリガされます。このタイプのアラートがトリガーされると、重複するアラートが同じ一連のイベントに対して生成されないように、当該アラートはその期間中スヌーズされます。スヌーズ中にアラートを有効にする場合は、無効にしてから再度有効にします。
フィールドの一意の数	ドロップダウンメニューで選択した期間内に、フィールド `F` の一意の数が `X` より多いか少ない場合に、通知がトリガされます。
フィールドでの集計操作	ドロップダウンメニューで選択した期間内に、フィールド `F` に適用される集計操作 `A` が `X` より多いか少ない場合に、通知がトリガされます。

トリガ条件に基づいて通知を送信するように、アラートを構成できます。

E メール通知を送信するには、受信者のメールアドレスをカンマ区切りで入力します。
E メール通知を有効にするように SMTP が構成されていることを確認します。詳細については、Log Insight の SMTP サーバの構成を参照してください。
Webhook 通知の送信については、Webhook 通知を送信するためのアラートの追加を参照してください。
vRealize Operations への通知の送信については、通知を vRealize Operations に送信するためのアラートの追加を参照してください。

（オプション） アラートの送信時に通知メッセージに含まれるアラートの推奨事項を入力します。
（オプション） テストアラート通知を送信するには、[テストアラートを送信] をクリックします。
[保存] をクリックします。

結果

アラートの定義が [アラート] ページに表示されます。

次のタスク

アラートを有効化、無効化、または変更できます。