集約および集約したアラート情報の通知について
大量にアラートが発生した際に、
全てのアラートを個別に架電,メール送付を行わず、
集約した上で1件の架電,メールを送付、
送付したメール内に集約したアラート内容を記載して送付を行いたい。
具体的には、
10件/30秒を超えるアラートについては、1件に集約、集約内容を含め通知。
10件/30秒を超えない場合はアラート個別に通知。
を行いたく、色々と設定を試していますが上手くいきません。
上記を実現するための設定例をご教授いただければと思います。
-
こちら少し順番を変えて回答させていただきます。
トリガー条件にて、関連メッセージ機能をonにし『n秒待機して深刻度の増加がある』というルールだけでは集約にならず、全イベントに対してアクションが実行されます。
過去n秒の間で深刻度の増加が1などのトリガー条件を追加する形になるのでしょうか?
そうですね、関連メッセージ機能による集約をするには、トリガー条件に時間経過を伴う条件を使用する必要がございます。
該当する条件につきましては、マニュアルの関連メッセージの動作の一覧をご参照ください。
そもそもの質問となり大変恐縮なのですが、『件数に関わらず30秒待機して関連メッセージを集約』する推奨設定がございましたら教えて頂けないでしょうか?
例えば以下のような設定ですと、初回のアラートから30秒待ってその間のアラートを集約したアクションが1回のみ実行することができます。
この場合、30秒経過した後にアラートを受信すると、そこから再集約が開始します。
- 深刻度の増減を判定する → 深刻度が「増えた」
- 一定時間経過後のイベントのフィールドを指定値と比較する → 「30」秒経過後、「最新の深刻度」が「0」「より大きい」値である
- 直近のアクション実行件数を指定値と比較する → 過去「30」秒間に、アクションが「0」「と等しい」回数実行された
また、関連メッセージの条件は必要に応じてご設定ください。
有効化のみでも集約されますが、その場合は回復メッセージなども集約対象となります。
以上、よろしくお願いいたします。
サインインしてコメントを残してください。
コメント
3件のコメント