パターンに基づく相関

This product is not supported for your selected Datadog site. ().

概要

パターンに基づく相関を利用すると、イベント同士をどのように相関付けるかを制御できます。また、Datadog は機械学習を活用し、Datadog 内で収集された基盤となるテレメトリーやその他のヒューリスティックを用いて、関連する Datadog のモニターイベントでパターンを自動的に強化します。

まずは、Datadog はお客様の環境に応じてパターンに基づく相関を自動的に提案します。推奨パターンの構成を開くには、推奨パターンのいずれかをクリックします。構成フィールドは事前に入力されています。

相関の推奨パターンと、パターンが作成する可能性のあるケースを示すプレビューパネル

パターンの作成

パターンを作成するには

  1. Correlation に移動します。
  2. Pattern テーブルの上部にある + Add a Pattern をクリックします。これにより、左側にすぐに使えるパターンの候補が表示され、右側にパターン出力のプレビューが表示されるパターン構成ページが開きます。
  3. 推奨パターンを調整するには、+ Continue With Pattern をクリックします。これにより、調整を追加するための事前に入力された構成ページに移動します。または、+ Personalize From Scratch をクリックして独自のパターンを作成することもできます。

まず、イベントはイベント集計キーに基づいて重複排除されてアラートにまとめられます。次に、アラートは構成に基づいてケースに相関付けられます。

集計キーでイベントを送信する方法については、Datadog にイベントを送信するを参照してください。集計キーのないイベントは、重複排除されて時間枠内で 1 つのアラートにまとめられます。

提案パターン

提案パターンは、イベント相関を素早く開始するために、よく使用されるサービスと環境タグに基づいて推奨されます。

構成

相関構成ページから

  1. ドロップダウンからグループ化するイベントソースを選択します。
  2. 上記で定義したソースからイベントを除外するには、Filter by these events or tags にイベントクエリを追加して除外します。
  3. ケースの調査をサポートするために、関連イベントを追加して、変更またはその他の補助的なイベントを関連付けます。関連イベントはケースに追加されますが、新しいケースは作成されません。
  4. グループ化タグを定義します。グループ化タグはイベントファセットです。ドロップダウンにタグが表示されない場合は、以下の 高度な設定セクションを参照してください。 : イベント属性とタグの両方でファセットを作成できます。詳細はファセットのドキュメントを参照してください。

高度な設定 (オプション)

  1. Show Advanced Settings をクリックします。

  2. グループ化タグを追加してイベントを関連付けたり、ケースのタイトルをカスタマイズすることができます。

    グループ化タグの追加
    新しいグループ化タグの追加方法は、新しいイベントファセットを追加するのと同じです。
    ケースタイトルのカスタマイズ
    自動生成されたケースタイトルを置き換えるテンプレートを作成します。たとえば、「{{tag.service}}」のような Handlebars 構文でタグのテンプレート変数を参照し、タグ値のカンマ区切りリストを含められます。

  3. Advanced correlation logic では、ケースを作成してタイムフレームを更新するために必要な相関イベントの最小数を指定できます。

    タイムフレーム

    アラートをケースに相関付ける
    新しいアラートがケースに追加される最大期間

    これらのアラートのイベントの重複を排除する : 相関付け済みだが引き続きフラッピングしている、または未解決の現在のアラートについて、ステータス遷移を反映する最大期間。新しいケースを開く前に、イベントは重複排除され、既存のケース内の対応するアラートにまとめられます。

パターン出力のプレビュー

構成によって作成される可能性のあるパターンとケースをプレビューします。プレビューパネルには以下が表示されます。

  • 取り込まれたイベントの総数 (先頭 1000 件まで)。
  • イベントから重複排除されるアラートの数。
  • 構成に基づいて作成されるケースの数。

このデータを使用して、相関の影響をプレビューし、パターンの期待される出力を理解します。

プレビューパネルをハイライトするパターンに基づく相関の構成。パネルには、構成に一致する取り込みイベントの数、それらのイベントのうちどれだけのアラートが発生するか、どれだけの重複排除が発生するか、その結果発生するケースの数が表示されます。

: プレビューケースのデフォルトタイトルは、相関の最初のアラートです。パターンを保存すると、イベント管理ケースのタイトルがインテリジェントに生成されます。

ケース管理宛先の選択

  1. Project ドロップダウンメニューから、グループ化したイベントの送信先を既存のケースから選択します。
  2. (オプション) 結果のケースにタグを追加します。
  3. Save and Activate をクリックして、このパターンをアクティブにし、イベントをケースにグループ化します。

既存のパターンの更新

既存のパターンを更新すると、すべてのライブケースは処理を停止します。パターンに一致する新しいイベントは、新しいケースを作成します。

その他の参考資料

お役に立つドキュメント、リンクや記事:

ケースのトリアージと通知についてドキュメント more more