パターン識別子とは、類似のアラートをグループ化するために使用される一連の基準または属性 (アラートタイプ、影響を受けるシステムなど) のことです。パターン識別子を使用すると、繰り返し発生する問題を特定でき、チームが進行中の問題に応答して対処しやすくなります。

パターン識別子でアラートをグループ化する方法

高い CPU 使用率、メモリリーク、接続タイムアウトなど、さまざまな問題に対するアラートを生成するネットワークモニタリングシステムを検討してください。

パターン識別子:メトリクス名と CI
  • アラート 1:午前 10 時にサーバー A で高 CPU 使用率
  • アラート 2:午前 10 時 5 分にサーバー A で高 CPU 使用率
  • アラート 3:午前 10 時 10 分にサーバー B でメモリリーク発生
  • アラート 4:午前 10 時 15 分にサーバー A で高 CPU 使用率
この場合、パターン識別子は、構成アイテム (CI) (サーバー A など) と組み合わせたメトリクス名 (高 CPU 使用率など) に設定することが考えられます。アラート 1、2、および 4 は、同じメトリクス (高 CPU 使用率) と同じ CI (サーバー A) を共有しているためグループ化され、さらに調査する必要があるかもしれない問題が繰り返し発生していることを示しています。ただし、アラート 3 は、メトリクス (メモリリーク) と CI (サーバー B) が異なるため、このグループには含まれません。
注: パターン識別子に使用される一連のアラートフィールドは、機能識別子属性 (または単に属性) とも呼ばれます。

効果的なパターン識別子の構成方法

アラートのグループ化に対して効果的なパターン識別子を構成するには、次の 3 つの重要なステップに従って、アラートを正確かつ有意義に分析します。

ステップ アクション 説明
イベントルールを作成する イベントルールを定義します。

イベントルールの作成方法については、「イベントルールの作成または編集」を参照してください。

 パターン識別子の該当するアラートフィールドに入力するためのイベントルールを設定します。
パターン識別子を管理する 該当するアラートフィールドをパターン識別子に追加します。

パターン識別子にフィールドを追加する方法については、「アラートグループ化のパターン識別子属性の指定および管理」を参照してください。

 該当するアラートフィールドを追加した後、[展開] を選択してパターン識別子をアクティブ化します。
該当する識別子を選択する 問題を明確に識別するアラートフィールドを選択します。

たとえば、サービスがオフラインであるか、データベースに接続されていないことが問題である場合は、これを示すアラート内の特定の値を探します。こうしたタイプのフィールドをパターン識別子に追加します。デフォルトでは、パターン識別子として [メトリクス名] フィールドが指定されています。
  • パターンの識別を困難にする一意性の強いフィールド (日付など) は避けてください。
  • 共通性の強いフィールドは避けてください。グループ化されるアラートが多すぎてパターンが区別できなくなってしまいます。

アラートのグループ化と学習したパターン

システム内でアラートパターンがどのように検出、グループ化、および表示されるかについて説明します。
コンセプト 説明
パターン検出 特定のアラートフィールドが一致すると、アラートは「学習したパターン」にグループ化されます。たとえば、同じ優先度グループとリソースを持つアラートは、パターンにグループ化されます。
パターンレポート こうしたパターンは、[イベント管理] > [管理] > [学習したパターン] にある [学習したパターン] レポートに表示されます。

パターン属性と期間の管理

パターン識別子属性の管理プロセス、新しいセットの展開、およびシステムによる問題特定方法について説明します。
コンセプト 説明
アクティブなパターン識別子属性 一度に 1 つの属性のみをアクティブにすることができます。
注: 現在のセットから新しいセットには、展開後に置き換わります。
目的と期間 パターンのグループ化では、過去 30 日以内の問題を特定します。この期間は、sa_analytics.agg.learner_period_days プロパティによって設定されます。
問題の特定

問題を特定するために、構成アイテム (CI) とパターン識別子 (別名:機能識別子) の組み合わせが使用されます。

デフォルトでは、パターン識別子はメトリクス名として定義されますが、変更することもできます。2 つのアラートが同じ CI とパターン識別子を共有している場合、これらは類似と見なされますが、ソース、重大度、説明などのフィールドが異なることがあります。

詳細については、「アラートグループ化のパターン識別子属性の指定および管理」を参照してください。
注: また、アラートアグリゲーション学習では、手動アラートグループ内のアラートのパターンも特定します。

場合によっては、指定したフィールドで CI の値が同じであるアラートからパターンを作成できます。たとえば、CI の [ロケーション (Location)] フィールドが同じであるアラートからパターンを作成するには、sa_analytics.agg.learner_group_by_property プロパティに「location」と入力します。詳細については、「スケジュール済みジョブベースのアラートグループ化の構成」を参照してください。

CI ベースのグループで作業する場合は、パターン識別子にノードとメトリクス名の両方が含まれていることを確認します。機能識別子の構成の詳細については、「学習したパターンレポート」を参照してください。

注: CI を含まないアラートでも、テキストベースまたは CI ベースのアラートグループとしてグループ化できます。ノードは CI として扱われます。この機能を有効にするには、sa_analytics.enable_no_ci_grouping プロパティを true に設定します。