Products Site

DOCS
インテグレーションガイド / Splunk

Splunk

Splunk インテグレーションガイド

本記事は米国PagerDuty社のサイトで公開されているインテグレーションガイドをそのまま日本語に翻訳したものです。日本語環境での動作を保証するわけではありません。原文はこちらを参照してください。

Splunkは、ネットワークトラフィック、Webサーバー、カスタムアプリケーション、アプリケーションサーバー、ハイパーバイザー、GPSシステム、株式市場フィード、ソーシャルメディア、既存の構造化データベースなど、ご想像以上のあらゆるソースからデータを収集し、索引付けします。

この統合により、Splunkのネイティブwebhookを使用してPagerDutyにアラートが送信されます。 以前のPythonベースの統合を使用したい場合は、ここで見つけることができます。

PagerDutyでの設定

  1. Configuration メニューからServices を選択します。
  2. Servicesページで:インテグレーションのために新しいサービスを作成する場合は、 +Add New Service をクリックします。 既存のサービスにインテグレーションを追加する場合は、統合を追加するサービスの 名前をクリックします。 その後、Integrations タブをクリックし、 + New Integration ボタンをクリックします。 RS-Add-New-Service-13
  3. Integration Type メニューから追加したいアプリを選択し、Integration Nameを入力してください。 インテグレーションのために新しいサービスを作成する場合は、General Settingsで新しいサービスのNameを入力します。 次に、Incident Settingsで、新しいサービスの Escalation PolicyNotification UrgencyIncident Behaviorを指定します。
  4. Add Service またはAdd Integration ボタンをクリックして、新しいインテグレーションを保存します。 すると、サービスのIntegrationsページにリダイレクトされます。 RS-Integration-Settings-11
  5. 新しいインテグレーションのIntegration URLをコピーします。 Screen-Shot-2018-01-19-at-4.35.44-PM

Splunkでの設定

  1. まず、SplunkbaseからPagerDuty Incidents アプリをインストールする必要があります。 あなたは、ページの左側にある+をクリックしてボックスを最初にクリックすることによってアプリを見つけることができます。 splunkalerts-01-252x300
  2. Splunk用のPagerDuty App for Splunkを検索し、Installをクリックします。 spluk-app-1024x304
  3. アプリケーションがインストールされたら、Settingsメニューに進み、Alert actionsを選択します。 splunkalerts-05
  4. PagerDutyアプリが Enabledになっていることを確認し、Setup PagerDuty Incidentsをクリックします。 splunkalerts-06-1-1024x352
  5. PagerDutyサービスの Integration URLを指定されたフィールドに貼り付けます。 splunkalerts-05-1-1
  6. アラートを作成するSplunkで検索を実行します。 テストのために、Splunkの内部ログで、失敗したログイン試行を検索することをおすすめします: “index = _internal component = UiAuth action = login status = failure”
  7. Save As をクリックし、Alertを選択します。 333-1024x161
  8. 新しいアラートのタイトルを追加し、アラートをトリガーして新しいトリガーアクションを追加する条件を指定します。 Trigger ActionタイプとしてPagerDutyを選択します。 デフォルトでは、PagerDutyアプリを設定する際に設定した統合URLが通知されます。 splunkalerts-09

インテグレーションをテストしてみる

インテグレーションの動作を簡単な検索、例えば上で紹介したような例でテストすることをおすすめします。

“index=_internal component=UiAuth action=login status=failure“

これにより、失敗したログイン試行があったときにいつでも結果が得られますし、簡単に状況を再現することができます。

検索条件をスケジュール実行するか、リアルタイムで実行するかどちらかに設定し、しきい値を低く設定します(例えば、結果の数が0以上になるように)。

別のブラウザまたはシークレットウィンドウでSplunkを開き、ログイン試行にわざと失敗してみます。しばらくすると、PagerDutyアラートが表示されます。 pdsplunkalerts-splunkalerts-example

インシデントの詳細をクリックすると、アラートの内訳が表示され、Splunkで検索を表示するためのリンクが表示されます。

pdsplunkalerts-splunkalerts-exampledetails

よくある質問

  1. Splunkは複数のPagerDutyサービスにアラートを送信できますか?

    はい。 PagerDutyで別のSplunkサービスに通知させたい場合は、新しいアラートを作成するときに、Trigger Actionsの下にあるオプションのIntegration URLフィールドに、そのサービスのインテグレーションURLを貼り付けることができます。 これは、PagerDuty Incidentsアプリを設定するときに設定されたグローバルなPagerDuty Integration URL 設定を上書きします。

    splunkalerts-optional

  2. Splunk検索で結果が生成されなくなったら、PagerDutyインシデントは解決されますか?

    いいえ、現時点では、PagerDutyのインシデントはPagerDutyから解決されなければなりません。

  3. PagerDutyはSplunkから着信したアラートをどのようにグループ化しますか?

    メインサービスビューからEdit Serviceを選択すると、検索名、コンポーネント、ホスト、ソース別にインシデントをグループ化するか、オープンしているインシデントに着信した全アラートを添付するかを選択できます。 pdsplunkalerts-splunkalerts-config-1-1

PagerDutyに関するお問い合わせは
お気軽にお寄せください。

会社情報

株式会社Digital Stacks

〒141-0001

東京都品川区北品川5-5-15​

大崎ブライトコア 4F SHIP 414

Pagerduty Certification Logo
Copyright © Digital Stacks Corporation. All Rights Reserved.
販売会社情報個人情報保護方針サイト利用規約