このトピックでは、Open-Falcon とアラート管理を連携する方法について説明します。
ステップ 1: Open-Falcon 連携の作成
ARMS console にログインします。左側のナビゲーションペインで、 を選択します。
アラート連携タブで、OpenFalcon をクリックします。
Openfalcon 連携の作成ダイアログボックスで、Open-Falcon 連携の名前と説明を入力し、アラートイベントの自動復旧時間を指定して、保存 をクリックします。
説明指定された期間内にアラートイベントが再度トリガーされない場合、アラートイベントは自動的にクリアされます。
アラート連携タブで、作成した Open-Falcon 連携を見つけ、連携アドレス列の URL をコピーします。
ステップ 2: Open-Falcon アラートテンプレートの設定
Open-Falcon ホームページにログインします。
上部のナビゲーションバーで、テンプレート をクリックします。
テンプレートページの右上隅で、新しいアラートテンプレートの名前を入力し、+ アイコンをクリックします。
テンプレートの設定ページで、テンプレート内のポリシーセクションにアラートルールを作成します。詳細については、Open-Falcon のドキュメントを参照してください。
コールバックアドレス をステップ 1で取得した連携アドレスに設定し、保存 をクリックします。
(オプション) ステップ 3: 連携の変更
アラート管理は、Open-Falcon アラートソースと ARMS アラートイベント間のフィールドマッピングを提供します。連携の編集ページで、フィールド間のマッピングを追加または変更することもできます。
アラートソースのサンプル:
{
"name":"cpu alert",
"endpoint":"test-host",
"metric":"cpu.user",
"status":"PROBLEM",
"step":"1",
"priority":2,
"time":"2021-09-08 09:25:00",
"tpl_id":1,
"exp_id":2,
"stra_id":1,
"tags":""
}アラート統合 タブで、管理する統合を見つけて、編集 を アクション 列でクリックします。
イベントマッピングセクションで、テストデータの送信 をクリックします。
テストデータの送信ダイアログボックスで、サードパーティ製アラートソースのアラートコンテンツを JSON 形式で入力し、送信 をクリックします。
説明アップロードされました。イベントは生成されません。元のデータに基づいてマッピングを設定してください。 というメッセージが表示された場合、アラートソースのフィールドは ARMS アラートイベントのフィールドにマッピングされていません。送信されたデータは左側のボックスに表示されます。これにより、マッピングを設定するときにソースフィールドを選択できます。
アップロードされました。 というメッセージが表示された場合、アラートコンテンツはアラートイベント履歴ページに報告されます。詳細については、アラートイベント履歴の表示 を参照してください。
テストデータの送信ダイアログボックスで、無効化 をクリックします。
イベントマッピングセクションの左側で、マッピングを設定するデータレコードをクリックして詳細を表示します。
イベントマッピングセクションの右側で、アラートソースと ARMS 間のフィールドマッピングを設定します。
オプション:ルートノードの選択セクションで、バッチ処理を有効にするかどうかを指定します。
アラートデータに配列ノードが存在する場合、配列ノードをルートノードとして指定できます。ルートノードに属するデータはバッチ処理されます。
バッチ処理を使用する を選択した後、バッチ処理する配列ノードをルートノードとして選択します。
説明アラートデータに複数の配列ノードが存在する場合、バッチ処理用に配列ノードを 1 つだけ選択できます。
ソースフィールドをターゲットフィールドにマッピングするセクションで、アラートソースのフィールドを ARMS のアラートフィールドにマッピングします。
マッピングアイコンをクリックして、フィールドマッピングの方法を変更します。
直接: アラートソースの指定されたフィールドは、ARMS の指定されたアラートフィールドに直接マッピングされます。
シリーズ: 区切り文字を使用してアラートソースの複数のフィールドを 1 つのフィールドに連結し、このフィールドを ARMS の指定されたアラートフィールドにマッピングできます。区切り文字として使用できるのは特殊文字のみです。
条件付き: 指定されたアラートソースフィールドは、フィールド値が指定された条件を満たす場合にのみ、ARMS アラートフィールドにマッピングされます。
マッピングテーブル: アラートソースの重大度は ARMS アラートの重大度にマッピングされます。マッピングテーブルには、重大度フィールドのみが含まれています。
次の表に、ARMS のアラートフィールドを示します。
アラートフィールド
説明
alertname
カスタムアラートの名前。
severity
アラートの重大度レベル。このフィールドのマッピングを設定する必要があります。マッピング方法は「直接」に設定する必要があります。
message
アラートの説明。説明は、アラートメッセージのコンテンツとして使用されます。説明は 15,000 文字を超えることはできません。
value
メトリックのサンプル値。
imageUrl
Grafana メトリックを含む折れ線グラフの URL。URL は、折れ線グラフをマッピングするために使用されます。
check
アラートのチェック項目。例: CPU、JVM、アプリケーションクラッシュ、デプロイ。
source
アラートのソース。
class
アラートイベントをトリガーするオブジェクトのタイプ (例: ホスト)。
service
アラートのソースサービス。例: ログインサービス。
startat
イベントの開始時刻を表すタイムスタンプ。
endat
イベントの終了時刻を表すタイムスタンプ。
generatorUrl
イベント詳細の URL。
アラートイベントのフィールド重複除去を設定します。
重複データを削減するために、システムは関連フィールドを重複除去の基準として使用します。ARMS アラート管理では、イベントマッピングセクションに表示される履歴イベントデータの重複除去グルーピング結果をプレビューできます。重複除去するフィールドを変更できます。
説明クリアされていないイベントに対してのみ重複除去を設定できます。
イベントの重複除去ページの連携の詳細セクションで、重複除去に使用するフィールドを選択します。
複数のイベントで指定されたフィールドの値が同じ場合、イベントは 1 つのアラート通知にマージされます。
重複除去テストをクリックして、重複除去後のアラートグループをプレビューします。
説明重複除去テストは、イベントマッピングセクションの左側にアップロードされた最新の 10 件のデータレコードに対してのみ有効です。
設定が完了したら、保存 をクリックします。
アラートイベントの詳細の表示
ARMS コンソールの左側のナビゲーションペインで、 を選択します。
アラートイベント履歴ページで、アラートイベントの名前をクリックしてイベントの詳細を表示します。詳細については、アラートイベント履歴の表示 を参照してください。
連携の管理
左側のナビゲーションペインで、 を選択します。アラート連携タブで、作成した連携に対して次の操作を実行できます。
連携の詳細の表示: 連携を見つけて、行をクリックします。連携の詳細ページで、連携の詳細を表示します。
キーの更新: Grafana 連携を見つけて、アクション列のOK
重要キーを更新した後、アラートテンプレートのコールバックアドレスを変更します。詳細については、手順 2: Open-Falcon アラートテンプレートを構成するを参照してください。
を選択します。表示されるメッセージで、 をクリックします。
連携の変更: 連携を見つけて、アクション列の編集をクリックします。連携の詳細ページで、連携情報を変更し、保存 をクリックします。
連携の有効化または無効化: 連携を見つけて、アクション列の無効化または有効化をクリックします。
連携の削除: 連携を見つけて、アクション列の削除をクリックします。表示されるメッセージで、OK をクリックします。
連携へのイベント処理フローの追加: 連携を見つけて、アクション列のイベント処理フローの追加をクリックします。詳細については、イベント処理フローの操作 を参照してください。
通知ポリシーを作成します。通知ポリシーを作成する統合を見つけ、アクション列の[その他] をクリックします。表示されるリストで、通知ポリシーの作成をクリックします。詳細については、通知ポリシーの作成と管理を参照してください。
次のステップ
通知ポリシーを作成すると、システムは、作成した通知ポリシーに基づいて、報告されたアラートイベントのアラートを生成し、アラート通知を送信します。詳細については、通知ポリシーの作成と管理 を参照してください。アラート送信履歴ページで、設定された通知ポリシーに基づいて生成されたアラートを表示できます。詳細については、アラート履歴の表示 を参照してください。