ヘルプ アプリケーションログ管理 アプリケーションログのアラート

アプリケーションログのアラート

Site24x7のアプリケーションログのアラートにより、設定されたユーザーアラートグループに対して、しきい値を設定してアラートログに関連付けたアラートを通知できます。

アプリケーションログのアラートのユースケース

  1. IISサーバーの特定のURLの平均応答時間を監視し、応答時間が設定したしきい値を超えたときにアラート通知を受けたい。この場合、クエリーは次のとおりです:
    logtype="IIS Access Logs" and stemuri="/EmpApp/" AVG(timetaken)
    属性をAVG(timetaken) > 60000として設定し、チェック間隔を30分に設定することにより、特定のリクエストについて平均時間が1分(60000ミリ秒)を越えたときにアラート通知を受けられます。30分ごとにこの条件はチェックされます。
  2. IISサーバーで多くの500エラーが発生しているときに通知を受けたい。この場合、クエリーは次のとおりです:
    logtype="IIS Access Logs" and statuscode=500
    属性をcount > 10として設定し、チェック間隔を5分に設定することにより、5分間に500ステータスコードが10リクエスト以上発生したときにアラート通知を受けられます。5分ごとにこの条件はチェックされます。
  3. 異なるソースIPがIISサーバーで多くの404エラーを発生させているときに通知を受けたい。この場合、クエリーは次のとおりです:
    logtype="IIS Access Logs" and statuscode=404 groupby clientip
    属性をcount > 100として設定し、チェック間隔を10分に設定することにより、10分間に異なるソースから404ステータスコードが100リクエスト以上発生したときにアラート通知を受けられます。10分ごとにこの条件はチェックされます。
  4. IISサーバーで多くの500エラーが特定の監視について発生しているときに通知を受けたい。この場合、クエリーは次のとおりです:
    logtype="IIS Access Logs" and statuscode=500 and monitor_name = "TEST_SERVER"
    属性をcount > 10として設定し、チェック間隔を5分に設定することにより、5分間に"TEST_SERVER"監視から500ステータスコードが10リクエスト以上発生したときにアラート通知を受けられます。5分ごとにこの条件はチェックされます。
    IISサーバーにインストールされているすべてのエージェントから500エラーが設定したしきい値を越えているときに通知を受けたい場合、クエリーは次のとおりです:
    logtype="IIS Access Logs" and statuscode=500 groupby monitor_name

ログの種類の監視

アプリケーションログのログの種類を設定すると、そのログの種類は1つの監視として動作します。

ログの種類の監視で行えることは次のとおりです。

  • [ホーム]→[監視]のページでアプリケーションログ監視として表示されます。
  • 通知プロファイルを設定できます。
  • 3rdパーティ連携を設定し、他のツールにアラートを連携できます。
  • メンテナンスステータスにログの種類監視をマークし、アラートの発生を防止できます。
  • アプリケーションログアラートが発生した際にステータス変更をするよう設定できます。
  • アプリケーションログ監視のサマリーページで一括でログの種類に対してアラートを設定できます。

    AppLogs monitor

アラート設定

アプリケーションログ検索ページからのアラート設定方法:

  1. Site24x7アカウントにログインし、[アプリケーションログ]タブをクリックします。
  2. 有効なクエリを入力します。
  3. クエリフィールドの右端にある[アラート]をクリックします。
  4. アラート設定ポップアップで次の項目を入力します。
    • 表示名:アラートを特定する表示名を入力します。
    • クエリ:クエリが表示されます。(手順2を参照してください)
    • アラートタイプ:次の2タイプで切り替えて条件を設定します。
      • トレンドベースアラート指数平滑移動平均 (EWMA) アルゴリズムを用いて、設定した期間でのトレンドベースでアラートが出力されます。そのため、日にちでトレンド観察を設定する必要があります。これにより行われたアラート受信のログ収集をトレンドにより可視化できます。
      • 数ベースアラート:受信したアラートのログ行の数で出力します。
    • 属性:ドロップダウンリストから属性を選択し、条件 (>, <, >=, <=, !=, or =)を設定します。属性は"より多い"、"より少ない"、"より多いまたは少ない"から選択できます。さらに、この属性をしきい値として設定もできます。

      時刻相対アラート
      クエリに"before"を含む場合、その結果を同時刻、1日前、7日前、設定期間と比較できます。その結果、ドロップダウンメニューに"値の差"と"パーセンテージの差"といった属性が表示されます。ここで、受信したいアラートを2つのベース方法で表示するよう選択できます。現在の値、過去の値('x'時間以前)、増加/減少パーセンテージで結果が表示されます。値の差やパーセンテージの差に基づいてしきい値を設定してアラートを受信できます。このアラートは過去の期間と比較して一定の増加値と減少値が取得された際にアラートを受信できるため、パフォーマンス指標の追跡に役立ちます。

      次のスクリーンショットで、Log4Jの現在の例外数を1日前の9:48 - 10:48と比較しています。クエリ結果には現在の値、過去の値、例外数の減少パーセンテージ、が表示されています。入力したクエリを基にアラートを設定し、異なる期間で取得された2つの例外において、その数やパーセンテージの差でアラートを受信できます。
      Alerts for KPI widgets
      デフォルトで属性には"数が選択されています。また1アラートにつき1属性のみ設定可能です。取得ログ数の最小、最大、平均でアラートを設定することもできます。
    • チェック頻度:ドロップダウンメニューから15分から24時間の間で選択できます。
    • アラート頻度:アラートを受信したい頻度を選択します。15分から24時間の間で設定可能です。
    • ユーザーアラートグループ:異常をアラートするアラートグループを選択します。ユーザーアラートグループを新規作成して、そのグループにクエリを関連付けることもできます。
  5. [保存]をクリックします。
    Alert trend observation
メール、SMS、音声、インスタントメッセージからアプリケーションログアラートを設定できます。詳細はこちらのページをご確認ください。

アラートの管理

設管理タブで設定したアラートを管理する方法は次のとおりです:

  1. [管理]→[アプリケーションログ]→[アラート]に移動します。このページでは設定したアラートがすべて表示されます。
  2. クリックすることによりアラートの設定を編集できます。また、削除することも可能です。
    applogs-admin-alert
クエリ以外のすべてのフィールドを編集できます。

アラートの一括アクション

アプリケーションログアラートのチェック間隔とユーザーアラートグループを一括に更新できます。

使用方法は次のとおりです。

  1. [管理]→[アプリケーションログ]→[アラート]に移動します。
  2. 表示名を選択するか、右上の検索ボックスでクエリを検索します。
  3. 表示名を入力する前にチェックボックスをクリックしてアラートを選択するか、上部のチェックボックスをクリックして、すべての検索結果を選択します。
  4. [一括アクション]をクリックします。
  5. チェック間隔を選択します。
  6. ユーザーアラートグループを選択します。
  7. [保存]をクリックします。
  8. チェック間隔とユーザーアラートグループで選択した値は、選択したアラートにのみ適用されます。
    Select bulk alerts
    Bulk action alert

アラートの一括削除も行えます。
上記手順1から3を実施し、[削除]をクリックしてください。

継続アラート

デフォルトでステータス変更時にのみ、アラートは発生します。監視が障害を検知した際に、アラート通知が行われますが、その後の状態を伝えるアラートは通知されません。ステータスに変更があった場合にのみ、アラートが通知が行われます。

継続的に通知を行うには、ログの種類監視の通知プロファイルで継続アラートを設定してください。

ユースケース

継続アラートのユースケースは次のとおりです。

HTTP 500エラーが発生した際にアプリケーションログアラートを受信したい場合を考えます。

HTTP 500エラーは訪問者とサイトの全機能に影響する重大な問題です。

例として、数ベースのアラートに対して5分間隔で設定を行う場合は次のとおりに設定します。

logtype="Application logs" and apiname CONTAINS "my-app" and statuscode="500"

クエリ結果のヒット数が、設定したしきい値の数を超過した場合、アラートが発生します。

監視ステータスに関係なく、継続してHTTP 500エラーを通知するためには、[管理]→[設定プロファイル]→[通知プロファイル]で継続アラートを設定します。

毎回通知項目で、[1]を指定すると、ログが検知された場合にいつでもアラートを通知します。

トラブルとクリティカルステータスの継続アラートは30通まで通知され、それ以降は通知が停止します。

FAQ

1. アラートクエリは編集できるか

作成したアラートのクエリ(例:logtype="sample")は編集できません。一度アラートを削除して再作成する必要がございます。一方で、条件付きクエリや集約クエリは編集可能です。

2. 監視グループの表示権限を監視に設定している場合の注意事項

ログの種類のアラート作成時に、監視グループを関連付ける必要があります。その監視グループの権限がないユーザーの場合、アラートの更新は行えません。

AppLogs alert first monitor

関連ドキュメント: