ログモニター
セキュリティモニタリングが使用可能です セキュリティモニタリングが使用可能です

ログモニター

概要

組織でログ管理を有効にすると、指定された種類のログが、ユーザー定義のしきい値を一定時間超えた場合にアラートするように、ログモニターを作成することができます。

モニターの作成

Datadog でログモニターを作成するには、メインナビゲーションで Monitors –> New Monitor –> Logs の順に進みます。

検索クエリを定義する

検索クエリを定義すると、検索フィールドの上にあるグラフが更新されます。

  1. ログエクスプローラーでの検索と同じロジックを使用して検索クエリを作成します。
  2. ログカウント、ファセット、またはメジャーのモニターを選択します。
    • Monitor over a log count: 検索バーを使用し(任意)、ファセットまたはメジャーを選択しません。選択されたタイムフレームで Datadog がログ数を評価し、それをしきい値の条件と比較します。
    • Monitor over a facet: ファセットを選択すると、モニターはファセットの Unique value count に対してアラートを発出します。
    • Monitor over measure: メジャーが選択されている場合、モニターは (メトリクスモニターと同様に) ログファセットの数値に対してアラートを発出します。また、集計を選択する必要があります(minavgsummedianpc75pc90pc95pc98pc99、または max)。
  3. アラート設定のグループ化方法を構成します(任意):
    • Simple alert: すべてのソースをまとめて集計します。集計値が設定条件を満たすと、1 件のアラートを受け取ります。これは、単一のホストから受け取るメトリクスまたは多くのホストからの合計メトリクスを監視する場合に最適です。通知件数を減らしたい場合にこの方法を選択します。
    • Multi-Alert: グループパラメーターに従い、複数のアラートを各ソースに適用します(最大 100 件の一致するグループ)。アラートイベントは、設定された条件を満たすと各グループに生成されます。たとえば、system.disk.in_usedevice でグループ化すると、容量不足のデバイスに対してアラートを個別に送信できます。

アラートの条件を設定する

  • メトリクスが aboveabove or equal tobelowbelow or equal to の場合にトリガーされる
  • 最後の 5 minutes15 minutes1 hour などの間のしきい値
  • アラートのしきい値 <数値>
  • 警告のしきい値 <数値>

データなしと下限のアラート

サービス内のすべてのグループがログの送信を停止した場合に通知を受け取るには、条件を below 1 に設定します。これにより、すべての集計グループについて、指定のタイムフレームでモニタークエリと一致するログがない場合に通知が行われます。

モニターを何らかのディメンション (タグまたはファセット) で分割している場合に below 条件を使用すると、特定のグループのログが存在してカウントがしきい値未満である場合に限り、またはすべてのグループについてログが存在しない場合に、アラートがトリガーされます。

:

  • このモニターは、すべてのサービスについてログが存在しない場合にのみトリガーします。
  • このモニターは、サービス backend のログが存在しない場合にトリガーします。

通知

Say what’s happeningNotify your team のセクションに関する詳しい説明は、通知 のページを参照してください。

ログのサンプル

デフォルトでは、ログモニターをトリガーすると、サンプルまたは値が通知メッセージに追加されます。

モニターの対象通知メッセージに追加されるもの
ログ数グループ: 上位 10 個の違反値とそれぞれの数。
非グループ: 上位 10 個のログサンプル。
ファセットまたはメジャー上位 10 個のファセットまたはメジャーの値。

これらの通知の送信に、Slack、Jira、webhooks、Microsoft Teams、Pagerduty、電子メールを使用することができます。: サンプルはリカバリ通知には表示されません。

ログサンプルを無効にするには、Say what’s happening セクションの一番下にあるチェックボックスをオフにします。チェックボックスの隣に表示されるテキストは、モニターのグループ化によって変わります(上記を参照)。

上位 10 の違反値の表を含める:

10 のログのサンプルをアラート通知に含める:

その他の参考資料