概要
Log Management is crucial for handling logs generated by various systems, enabling efficient troubleshooting, issue resolution, and security audits. Logs contain transaction details that help identify and resolve issues quickly. Log Management systems correlate logs with observability data for rapid root cause detection. Logs are essential for security investigations, and Log Management systems aid in threat detection, compliance tracking, and security monitoring.
組織でログ管理を有効にすると、指定された種類のログが、ユーザー定義のしきい値を一定時間超えた場合にアラートするように、ログモニターを作成することができます。ログモニターは、インデックス化ログのみを評価します。
モニターの作成
Datadog でログモニターを作成するには、メインナビゲーションで Monitors –> New Monitor –> Logs の順に進みます。
注: デフォルトでは、1 アカウントあたり 1000 ログモニターという制限があります。この制限に引っかかっている場合、
マルチアラートの使用を検討するか、
サポートにお問い合わせください。
検索クエリを定義する
検索クエリを定義すると、検索フィールドの上にあるグラフが更新されます。
ログエクスプローラーでの検索と同じロジックを使用して検索クエリを作成します。
Choose to monitor over a log count, facet, an attribute, or measure:
- Monitor over a log count: Use the search bar (optional) and do not select an attribute or measure. Datadog evaluates the number of logs over a selected time frame, then compares it to the threshold conditions.
- Monitor over a facet or an attribute: If a an attribute is selected, the monitor alerts over the
Unique value count of the attribute. For example, if you have an attribute such as user.email, the unique value count is the number of unique user emails. Any attribute can be used in a monitor, but only facets are shown in the autocompletion. - Monitor over measure: メジャーが選択されていると、モニターは (メトリクスモニターと同様に) ログファセットの数値に対してアラートを出します。また、集計を選択する必要があります(
min、avg、 sum、median、pc75、pc90、pc95、pc98、pc99、または max)。
複数のディメンションでログをグループ化する (オプション):
クエリに一致するすべてのログは、最大 4 つのファセットの値に基づいてグループに集計されます。複数のディメンションがある場合、上位の値は最初のディメンションに基づき決定されます。その後最初のディメンション内の上位値内の 2 番目のディメンション、最後のディメンションの順に続きます。ディメンションの制限は、ディメンションの総数に応じて異なります。
- ファセット 1 個: 上位値 1000
- ファセット 2 個: ファセットごとに上位値 30 (最大 900 グループ)
- ファセット 3 個: ファセットごとに上位値 10 (最大 1000 グループ)
- ファセット 4 個: ファセットごとに上位値 5 (最大 625 グループ)
アラート設定のグループ化方法を構成します(任意):
- Simple alert: すべてのソースをまとめて集計します。集計値が設定条件を満たすと、1 件のアラートを受け取ります。これは、単一のホストから受け取るメトリクスまたは多くのホストからの合計メトリクスを監視する場合に最適です。通知件数を減らしたい場合にこの方法を選択します。
- Multi Alert: グループパラメーターに従い、複数のアラートを各ソースに適用します。アラートイベントは、設定された条件を満たすと各グループに生成されます。たとえば、
system.disk.in_use を device でグループ化すると、容量不足のデバイスに対してアラートを個別に送信できます。
アラートの条件を設定する
- メトリクスが
above、above or equal to、below、below or equal to の場合にトリガーされる - 過去
5 minutes、15 minutes、1 hour などの間のしきい値、または custom に 5 minutes ~ 2 days の値を設定します。 - アラートのしきい値
<数値> - 警告のしきい値
<数値>
データなしと下限のアラート
タイムフレーム内でモニターのクエリに一致するログがない場合は、NO DATA が返されます。
特定のクエリに一致するすべてのグループがログの送信を停止した場合に通知を受け取るには、条件を below 1 に設定します。これにより、すべての集計グループについて、指定のタイムフレームでモニタークエリと一致するログがない場合に通知が行われます。
モニターを何らかのディメンション (タグまたはファセット) で分割している場合に below 条件を使用すると、特定のグループのログが存在してカウントがしきい値未満である場合に限り、またはすべてのグループについてログが存在しない場合に、アラートがトリガーされます。
例:
- このモニターは、すべてのサービスについてログが存在しない場合にのみトリガーします。
- このモニターは、サービス
backend のログが存在しない場合にトリガーします。
高度なアラート条件
高度なアラートオプション (評価遅延、新しいグループ遅延など) の詳細な手順については、モニターコンフィギュレーションページを参照してください。
通知
For detailed instructions on the Configure notifications and automations section, see the Notifications page.
ログのサンプルと違反値トップリスト
ログモニターがトリガーされると、サンプルまたは値を通知メッセージに追加できます。メッセージのないログはサンプルに含まれません。モニターのメッセージにログ属性の内容を追加するには、モニターのメッセージ本文に直接ログモニターテンプレート変数を使用します。
| モニター設定 | 通知メッセージに追加可能な値 |
|---|
| グループ化されていない Simple-Alert ログ数 | 最大 10 個のログサンプル。 |
| グループ化された Simple-Alert ログ数 | 最大 10 個のファセット値またはメジャー値。 |
| グループ化された Multi Alert ログ数 | 最大 10 個のログサンプル。 |
| グループ化されていない Simple-Alert メジャー | 最大 10 個のログサンプル。 |
| グループ化された Simple-Alert メジャー | 最大 10 個のファセット値またはメジャー値。 |
| グループ化された Multi-Alert Log メジャー | 最大 10 個のファセット値またはメジャー値。 |
これらの通知の送信に、Slack、Jira、webhooks、Microsoft Teams、Pagerduty、電子メールを使用することができます。注: サンプルはリカバリ通知には表示されません。
ログサンプルを無効にするには、Say what’s happening セクションの一番下にあるチェックボックスをオフにします。チェックボックスの隣に表示されるテキストは、モニターのグループ化によって変わります(上記を参照)。
例
上位 10 の違反値の表を含める:
10 のログのサンプルをアラート通知に含める:
その他の参考資料
