無料診断
    お問い合わせ

    Sumo Logicのアラート作成方法について

     2023.12.25  株式会社テリロジー 技術統括部

    こんにちは。技術統括部のH.T.です。

    今回はSumo Logicのアラート機能の一つ「Schedule Search」を紹介します。

    Schedule Searchはその名の通り、作成したクエリを定期的に実行し、その実行結果を管理者へ通知を行います。

    アラート通知設定を行うことで監視の負担が軽減されます。
    また、通知を受け取ったのちに、ログ内容の分析や、関連のダッシュボードから迅速に原因究明を行うことが可能です。

    それではさっそくアラートを作成していきましょう。

    作成手順

    1. Schedule Searchの作成

      まずはログを抽出するクエリを作成し、クエリの編集ダイアログで、「Schedule this search」をクリックします。
      sumo_save_item



    2. Run frequency

      次に、クエリの実行頻度を設定します。

      1. Never:実行しない。
        Schedule Search を一時的にオフにするにはこのオプションを選択
      2. Real Time:リアルタイムで検索を実施
      3. Every 15 Minutes15分毎に検索を実施 
      4. Hourly1時間毎に検索を実施
      5. Every 2,4,6,8,12 Hours:選択した時間毎に検索を実施
      6. Daily::毎日検索を実施
      7. Weekly:毎週検索を実施
      8. Custom Cron:カスタムCRON式を設定


      実行頻度選択後、ダイアログが更新されます。



    3. Time range for scheduled search

      クエリの実行に使用する時間範囲を選択します。
       15分間隔でクエリを実行し、実行時刻から過去30分の範囲でログ検索を行う場合は、以下のような設定を行います。
      1. Run ferequency : Every 15 Minutes
      2. Time range for scheduled search : -30m


    4. Timezone for scheduled search

      検索を行うタイミングのタイムゾーンを指定します。
      このタイムゾーンは、データのタイムゾーンとは関係ありません。
      選択しない場合、Scheduled Searchではデフォルトでブラウザのタイムゾーンが使用されます。


    5. Send Notification

      通知を送るための条件を設定します。
      ここではクエリの検索結果の数で評価されます。
      1. Every time a search is complete
        Schedule Searchが実行されるたびに通知

      2. If the following condition is met
        検索結果が次の状態のときに通知
        1. Alert condition 
          1. Equal to =
          2. Greater than >
          3. Greater than or equal to >=
          4. Less than <
          5. Less than or equal to <= 
        2. Number of results
          任意の0以上の整数を設定
          例)Greater than > 0 の場合、検索結果が1件でもあれば通知を行う


    6. Alert Type
      通知の方法を選択します。今回はEmailを選択しています。
      1. Email
      2. Script Action
      3. ServiceNow Connection
      4. Webhook
      5. Save to Index
      6. Save to Lookup

      Email選択後、以下の設定を入力します。
      1. Send email on failure to search owner:エラー発生時に検索管理者へメールを送信

      2. Recipients:通知先のメールアドレスを入力、カンマ区切りで複数登録可能

      3. Email Subject:メールの件名を変数などを使用し入力
        1. アラートをトリガーした条件
        2. :実行された検索クエリの名前
        3. :検索が実行された時間
        4. :検索が返した未処理のメッセージの数

      4. Include in email:メールに含める項目を選択

    通知結果

    sumo-email-sample-1
    ※CSVファイルをメールに添付するには前項6-2-ivの「include in email」の「Results as a CSV attachment」を有効にする必要があります。

    終わりに

    クエリを定期的に実行し、結果の通知を行うSchedule Searchについてご紹介しました。 サーバなどから受け取ったSyslogで不審なものがないか定期的に検索したい際に有効的にご利用いただけるかと思います。

    今回はEmailでの通知でしたが、Alert Typeで「Save to Index」や「Save to Lookup」を活用し、月次レポートを作成することもできます。

    また、SumoLogicのアラート方法として「Monitor」という機能もあります。
    Monitor機能では、データをリアルタイムで記録し、稼働しているアプリケーションで注目すべき変更が発生した時に通知を行います。
    また、ステータスが正常に戻った際にも、正常になったという内容の通知を行います。
    Monitor機能の詳細についてはまた後日。。。

    貯めたログをどんどん活用して、よりよい相撲ライフをお送りください ノシ

    参考

    SumoLogicヘルプサイト
    ・Schedule Searchの作成方法
     Schedule a Search
     Create a Scheduled Search email alert

    ・アラートの変数について
     Alert Variables

    ・Monitorについて
     About Monitors
    SumoLogicログ取り込みパターン
    SumoLogicのRemote Collectorについて

    RECENT POST「Sumo Logic」の最新記事

    Sumo Logic

    2024.10.07

    【第3弾】Sumo Logic可視化サービス Terilogy Blend for Infobloxリリース
    Sumo Logic

    2024.10.02

    SumologicのMITRE ATT&CK® Threat Coverage Explorerとは
    Sumo Logic

    2024.05.08

    【第2弾】 Sumo Logic 可視化サービス Terilogy Blend for Cato Networksリリース
    Sumo Logic

    2024.05.02

    Sumo LogicのAutomation機能でSlackにメンションするメッセージを送ってみた
    Sumo Logicのアラート作成方法について

    RECENT POST 最新記事

    アタックサーフェス管理(ASM)の本来の目的を改めて考えてみた

    アタックサーフェス管理(ASM)の本来の目的を改めて考えてみた
    「危機管理の基本はまず現状把握にあり!」         クラウドガバナンスの概念とその重要性について

    「危機管理の基本はまず現状把握にあり!」         クラウドガバナンスの概念とその重要性について
    【第3弾】Sumo Logic可視化サービス Terilogy Blend for Infobloxリリース

    【第3弾】Sumo Logic可視化サービス Terilogy Blend for Infobloxリリース
    SumologicのMITRE ATT&CK® Threat Coverage Explorerとは

    SumologicのMITRE ATT&CK® Threat Coverage Explorerとは
    OCVS・Horizon構築してみた③

    OCVS・Horizon構築してみた③

    RANKING人気記事ランキング

    ブログ無料購読のご案内

    TOPIC トピック一覧

    SEARCHブログ内検索