保存済検索の問合せを自動的に実行するスケジュールの作成

スケジュール済タスクを作成するには、最初に次のIAMポリシーを作成して適切な権限を設定します:

1. スケジュール済タスクが特定のコンパートメントからモニタリング・サービスにメトリックを投稿できるようにする動的グループを作成します:

   ALL {resource.type='loganalyticsscheduledtask', resource.compartment.id='<compartment ocid>'}

   または、すべてのコンパートメントからメトリックをポストできるようにするには:

   ALL {resource.type='loganalyticsscheduledtask'}

2. 動的グループがテナンシでスケジュール済タスク操作を実行できるようにするポリシーを作成します:

   allow group <group_name> to use loganalytics-scheduled-task in tenancy
   allow dynamic-group <dynamic_group_name> to use metrics in tenancy
   allow dynamic-group <dynamic_group_name> to read management-saved-search in tenancy
   allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_QUERY_VIEW} in tenancy
   allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in tenancy
   allow dynamic-group <dynamic_group_name> to READ loganalytics-log-group in tenancy
   allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_LOOKUP_READ} in tenancy
   allow dynamic-group <dynamic_group_name> to read compartments in tenancy

• 前述のポリシー・ステートメントの一部は、すぐに使用可能なOracle定義のポリシー・テンプレートに含まれています。ユース・ケースにテンプレートを使用することを検討してください。一般的なユースケース用のOracle定義のポリシー・テンプレートを参照してください。

• 動的グループおよびIAMポリシーの詳細は、OCIドキュメント: 動的グループの管理およびOCIドキュメント: ポリシーの管理を参照してください。

• ポリシーの詳細は、Oracle Cloud Infrastructureドキュメントのメトリック問合せの作成 - 前提条件を参照してください。

• スケジュール済タスクのAPIリファレンスは、Oracle Cloud Infrastructure APIドキュメントのScheduledTaskリファレンスを参照してください。

特定の保存済検索のスケジュール済タスクを表示するには、保存済検索の詳細ページにアクセスします。ただし、スケジュール済タスクが作成された保存済検索を参照せずに、特定のコンパートメント内のスケジュール済タスクをすべてリストする場合は、APIを使用してスケジュール済タスクのリストを問い合せます。ListScheduledTasksを参照してください。

GETコマンドで次のパラメータを指定します:

• taskType=SAVED_SEARCH
• compartmentId=<compartment_OCID>
• limit=1000
• sortOrder=DESC
• sortBy=timeUpdated

コマンドを実行するには、次が必要です:

• ネームスペース: スケジュール済タスクの作成時に指定したLog Analyticsネームスペース。
• コンパートメントOCID: 作成されたスケジュール済タスクのリストを問い合せるコンパートメントのOCID。

モニタリング・サービスのメトリック「スケジュール済タスク実行ステータス」を使用して、保存済検索のスケジュール済タスクの状態をモニターできます。インフラストラクチャの異常によるタスクの実行の失敗またはスキップの場合、または依存リソースまたは構成が変更された場合、メトリックは修正に役立つ失敗の詳細を提供します。

「スケジュール済タスク実行ステータス」メトリックにアクセスするステップは、サービス・メトリックを使用したLog Analyticsのモニターを参照してください。

各保存済検索スケジュール済タスクには、タスク・スケジュールで指定された独自の間隔があります。スケジュール済タスクの実行ごとに、メトリックがテナンシに発行されます。チャートのデータ・ポイントの上にカーソルを置くと、タスクの詳細が表示されます。メトリック・データは、ディメンションStatus、DisplayNameまたはResourceIdのいずれかに基づいてフィルタ処理できます。

1. Log Analyticsで、「管理」をクリックします。「管理の概要」ページが開きます。

2. 左側の「リソース」メニューから、「検出ルール」をクリックします。「検出ルール」リスト・ページで、開く保存済検索検出ルールの名前をクリックします。検出ルールの詳細ページが開きます。

3. 左側のリンクから、「メトリック」をクリックします。

   
   
   
   
   

4. 「スケジュール済タスク実行ステータス」メトリックの右上隅にある「オプション」メニューをクリックし、「メトリック・エクスプローラでの問合せの表示」を選択します。

   
   
   
   
   

   これで、メトリックがメトリック・エクスプローラに表示されます。ここで、チャートをより詳細に表示できます。

   
   
   
   
   

   「データ表の表示」ボタンをスライドして、メトリックの詳細を表示します:

   
   
   
   
   

5. 「問合せの編集」をクリックして、メトリックのディメンション名およびディメンション値を選択します。スケジュール済タスクの実行結果のtaskResult、タスク実行のStatus、タスクのDisplayName、queryExecTimeRangeまたはResourceIdに基づいてメトリック・データをフィルタできます。

   ノート
   
   

   ディメンション名とディメンション値を指定してメトリック・エクスプローラからチャートおよび表形式データを表示するには、名前にカッコやその他の特殊文字が含まれるフィールドを使用しないでください。ディメンション名に対して選択したフィールドに特殊文字が含まれている場合は、evalコマンドを使用して仮想フィールドを作成するか、renameコマンドを使用して既存のフィールドの名前を変更してカッコまたは特殊文字を削除します。たとえば、ディメンション名に使用されるフィールドがHost Name (Server)の場合、| eval hostname=“Host Name (Server)”を使用して仮想フィールドhostnameを作成できます。

   ディメンションqueryExecTimeRangeは、スケジュール済タスク問合せの実行にかかる時間の決定に役立ちます。使用可能な値は、< 5s、>= 5s and < 10s、>= 10s and < 30sおよび> 30sです。通常、実行に30秒以上かかる問合せは、実行時間の観点ではコストがかかります。「問合せの実行方法」を参照してください。

   ディメンションtaskResultには、値Succeeded、FailedおよびPausedを指定できます。ディメンションStatusは、taskResultの詳細を提供します。たとえば、taskResultの値がPausedの場合、Status値はPaused by Userになります。

   「チャートの更新」をクリックして、クラスタ・ビジュアライゼーションをリフレッシュします。これで、フィルタを適用したデータ・ポイントのみがチャートに表示されます。

   収集されたデータ・ポイントの表形式で表示するために、「データ表」ビューに切り替えることができます。

6. ディメンション名を変更して、チャート内の様々なパースペクティブを表示します。

電子メール、SMS、Slack、PagerDuty、HTTPSエンドポイントURLまたはファンクションを使用して、ステータスを通知するアラートを設定できます。検出されたイベントのアラートの作成を参照してください。

特定のtaskResult値について、このメトリックでレポートされるstatusディメンションの様々な値を次に示します。

スケジュール済タスクを作成するための次の要因に注意してください。

• 問合せの作成の要件:

  スケジュール済タスクを作成するための問合せを構成する場合は、次の要件に準拠していることを確認してください。

  • 検出ルール問合せに関する次の制限に注意してください:

    • スケジュール済タスク問合せの「元のログ・コンテンツ」フィールドに対してワイルドカード検索を実行しないでください。ワイルドカード検索の詳細は、「キーワード、フレーズおよびワイルドカードの使用」を参照してください。

    • timestatsコマンドの後には、eval、extract、jsonextract、xmlextractおよびlookupを指定できません。

    • コマンドregexは、Messageなどの大きなフィールドで使用しないでください。これにより、問合せの処理コストが高くなります。

      like比較およびextract、jsonextract、xmlextractコマンドは、Messageなどの大きなフィールドではサポートされていません。

      BY句で使用されるリンク・フィールドまたはフィールドは、Messageなどの大きなフィールドでは使用できません。

    • The commands which are not supported in the queries for scheduled tasks are cluster, clustercompare, clusterdetails, clustersplit, compare, createview, delta, fieldsummary, highlightgroups, geostats, linkdetails, map, nlp and timecompare.

  • 最大限度:

    by句でサポートされるフィールドの最大数は3です。

    timestatsコマンドでサポートされるフィールドの最大数は、3です。

    スケジュール済タスク問合せでサポートされる集計関数の最大数は1です。

  • linkフィールドの値をポスト・メトリックのディメンションとして使用します:

    モニタリング・サービスに転記する最大3つのディメンション・フィールドと1つの数値メトリックを選択します。どのフィールドをモニタリングに投稿する必要があるかを示すには、問合せの最後を次の文字にする必要があります。

    ... | link ... | fields -*, dim1, dim2, dim3, metric1

    linkコマンドの出力には、デフォルトで開始時間、終了時間、カウントなどの複数の列があります。fieldsコマンドで-*を使用して、これらのフィールドを削除し、オプションで最大3つのディメンション・フィールドと1つの必須メトリック・フィールドを指定します。

    statsコマンドの後に複数のeval文、および中間結果を計算するために複数のstats関数を指定できます。ただし、問合せは、ポストする必要があるディメンションおよびメトリックを示すfields -*, dim1, dim2, dim3, metric1で終わる必要があります。ルール問合せの検出には、次のガイドラインを使用します。

    • 2までのaddfieldsコマンドを使用します。
    • 3までのstats関数を使用します。
    • eval文は、中間結果と最終結果を計算するために必要です。

    問合せの例:

    'Log Source' = 'OCI Email Delivery'
     | link 'Entity'
     | addfields [ * | where deliveryEventType = r and bounceType = hard | stats count as 'hard bounces' ],
                 [ * | where deliveryEventType = e and length(ipPoolName) > 0 | stats count as 'total sent messages' ]
     | eval 'Total Rate' = ('hard bounces' / 'total sent messages') * 100
     | fields -*, 'Entity', 'Total Rate'

    'Log Source' = 'My Network Logs'
     | stats sum(Success) as TotalSuccess, sum(Failure) as TotalFailure
     | eval SuccessRate = (TotalSuccess / (TotalSuccess + TotalFailure)) * 100 | fields -*, SuccessRate

• ログの遅延到着:

  スケジュール済タスクがログの到着前に実行された場合、スケジュール済タスクが期待どおりに結果を返さない可能性があります。到着遅延が原因でスケジュール済タスクにこのようなログが欠落しないように、問合せでは時間範囲に対する調整を使用してそのログを考慮する必要があります。

  たとえば、スケジュール済タスクが5分ごとに実行され、認証エラーの数がチェックされ、ログが生成されてからOracle Log Analyticsに到達するまでの間に3分間の遅延がある場合、スケジュール済タスクはログを検出しません。スケジュール済タスクが、たとえば01:00、01:05、01:10などで5分ごとに実行されるとします。01:04に生成されるログ・レコードL1が、Oracle Log Analyticsの01:07に達した場合。L1は、この時点でログがOracle Log Analyticsに到達しなかったため、1:05に実行されたスケジュール済タスクでは検出されません。01:10での次の実行中に、問合せはタイムスタンプが01:05から01:10の間のログを検索します。このサイクルでは、L1のタイムスタンプが01:04であるため、検出されません。次の問合せでは、ログが遅延した場合、すべてのログ・レコードが表示されない場合があります。

  Label = 'Authentication Error' | stats count as logrecords by 'Log Source'

  Oracle Log Analyticsへのログ到着の遅延を確認するには、ログ・レコードに記載されているタイムスタンプとログ・プロセッサの転記時間の差異を計算します。次の問合せ例では、遅延があるかどうかを確認できます。

  Label = 'Authentication Error' and 'Log Processor Posting Time (OMC INT)' != null | fields 'Agent Collection Time (OMC INT)', 'Data Services Load Time', 'Process Time', 'Log Processor Posting Time (OMC INT)'

  次の問合せでは、dateRelative関数を使用して、5分間隔で実行されるタスクの3分間の遅延を調整します。

  Label = 'Authentication Error' and Time between dateRelative(8minute, minute) and dateRelative(3minute, minute) | stats count as logrecords by 'Log Source'

• その他の要因:

  • 問合せがモニタリング・サービスにどのように組み込まれるかを理解するには、Oracle Cloud Infrastructureドキュメントのメトリック問合せの作成を参照してください。

  • メトリック・データをモニタリング・サービスに公開するための制限情報に注意してください。制限は、1つのスケジュール済タスクのメトリックに対応します。Oracle Cloud InfrastructureドキュメンテーションのPostMetricData APIを参照してください。

    保存検索で200 フィールド別一意値を超える値を生成できる場合、モニタリング・サービスによって課せられる制限により一部結果が転記されます。そのような場合は、topまたはbottom 200の結果を表示するには、sortコマンドを使用します。