ログモニター

概要

組織でログ管理を有効にすると、指定された種類のログが、ユーザー定義のしきい値を一定時間超えた場合にアラートするように、ログモニターを作成することができます。ログモニターは、インデックス化ログのみを評価します。

モニターの作成

Datadog でログモニターを作成するには、メインナビゲーションで Monitors –> New Monitor –> Logs の順に進みます。

: デフォルトでは、1 アカウントあたり 1000 ログモニターという制限があります。この制限に引っかかっている場合、マルチアラートの使用を検討するか、サポートにお問い合わせください。

検索クエリを定義する

検索クエリを定義すると、検索フィールドの上にあるグラフが更新されます。

  1. ログエクスプローラーでの検索と同じロジックを使用して検索クエリを作成します。

  2. ログカウント、ファセット、属性、またはメジャーの監視を選択します。

    • Monitor over a log count: 検索バーを使用 (任意) し、属性やメジャーは選択しません。選択されたタイムフレームで Datadog がログ数を評価し、それをしきい値の条件と比較します。
    • Monitor over a facet or an attribute: 属性が選択されている場合、モニターはその属性の Unique value count (ユニーク値カウント) をアラートします。例えば、user.email のような属性がある場合、ユニーク値カウントは一意のユーザーメールの数になります。どのような属性でもモニターで使用することができますが、オートコンプリートで表示されるのはファセットのみです。
    • Monitor over measure: メジャーが選択されていると、モニターは (メトリクスモニターと同様に) ログファセットの数値に対してアラートを出します。また、集計を選択する必要があります(minavgsummedianpc75pc90pc95pc98pc99、または max)。

  3. 複数のディメンションでログをグループ化する (オプション):

    クエリに一致するすべてのログは、最大 4 つのファセットの値に基づいてグループに集計されます。複数のディメンションがある場合、上位の値は最初のディメンションに基づき決定されます。その後最初のディメンション内の上位値内の 2 番目のディメンション、最後のディメンションの順に続きます。ディメンションの制限は、ディメンションの総数に応じて異なります。

    • ファセット 1 個: 上位値 1000
    • ファセット 2 個: ファセットごとに上位値 30 (最大 900 グループ)
    • ファセット 3 個: ファセットごとに上位値 10 (最大 1000 グループ)
    • ファセット 4 個: ファセットごとに上位値 5 (最大 625 グループ)

  4. アラート設定のグループ化方法を構成します(任意):

    • Simple alert: すべてのソースをまとめて集計します。集計値が設定条件を満たすと、1 件のアラートを受け取ります。これは、単一のホストから受け取るメトリクスまたは多くのホストからの合計メトリクスを監視する場合に最適です。通知件数を減らしたい場合にこの方法を選択します。
    • Multi Alert: グループパラメーターに従い、複数のアラートを各ソースに適用します。アラートイベントは、設定された条件を満たすと各グループに生成されます。たとえば、system.disk.in_usedevice でグループ化すると、容量不足のデバイスに対してアラートを個別に送信できます。

アラートの条件を設定する

  • メトリクスが aboveabove or equal tobelowbelow or equal to の場合にトリガーされる
  • 過去 5 minutes15 minutes1 hour などの間のしきい値、または custom5 minutes2 days の値を設定します。
  • アラートのしきい値 <数値>
  • 警告のしきい値 <数値>

データなしと下限のアラート

タイムフレーム内でモニターのクエリに一致するログがない場合は、NO DATA が返されます。

特定のクエリに一致するすべてのグループがログの送信を停止した場合に通知を受け取るには、条件を below 1 に設定します。これにより、すべての集計グループについて、指定のタイムフレームでモニタークエリと一致するログがない場合に通知が行われます。

モニターを何らかのディメンション (タグまたはファセット) で分割している場合に below 条件を使用すると、特定のグループのログが存在してカウントがしきい値未満である場合に限り、またはすべてのグループについてログが存在しない場合に、アラートがトリガーされます。

:

  • このモニターは、すべてのサービスについてログが存在しない場合にのみトリガーします。
    サービスで分割された下限モニター
  • このモニターは、サービス backend のログが存在しない場合にトリガーします。
    バックエンドサービスの下限モニター

高度なアラート条件

高度なアラートオプション (評価遅延、新しいグループ遅延など) の詳細な手順については、モニターコンフィギュレーションページを参照してください。

通知

Say what’s happening セクションと Notify your team セクションの詳細については、通知ページをご確認ください。

ログのサンプルと違反値トップリスト

ログモニターがトリガーされると、サンプルまたは値を通知メッセージに追加できます。メッセージのないログはサンプルに含まれません。モニターのメッセージにログ属性の内容を追加するには、モニターのメッセージ本文に直接ログモニターテンプレート変数を使用します。

モニター設定通知メッセージに追加可能な値
グループ化されていない Simple-Alert ログ数最大 10 個のログサンプル。
グループ化された Simple-Alert ログ数最大 10 個のファセット値またはメジャー値。
グループ化された Multi Alert ログ数最大 10 個のログサンプル。
グループ化されていない Simple-Alert メジャー最大 10 個のログサンプル。
グループ化された Simple-Alert メジャー最大 10 個のファセット値またはメジャー値。
グループ化された Multi-Alert Log メジャー最大 10 個のファセット値またはメジャー値。

これらの通知の送信に、Slack、Jira、webhooks、Microsoft Teams、Pagerduty、電子メールを使用することができます。: サンプルはリカバリ通知には表示されません。

ログサンプルを無効にするには、Say what’s happening セクションの一番下にあるチェックボックスをオフにします。チェックボックスの隣に表示されるテキストは、モニターのグループ化によって変わります(上記を参照)。

上位 10 の違反値の表を含める:

上位 10 の違反値

10 のログのサンプルをアラート通知に含める:

上位 10 の違反値

その他の参考資料

お役に立つドキュメント、リンクや記事:

モニター通知の設定ドキュメント more more モニターをミュートするダウンタイムのスケジュールドキュメント more more モニターステータスを確認ドキュメント more more CIDR 表記クエリを使用して、ネットワークトラフィックログをフィルターするブログ more more