Sumo Logic の Monitor 機能のクエリ実行間隔について

閲覧日によって情報が古い場合があります。Sumo Logic の情報もご確認ください。
今回は、Monitor と呼ばれる Sumo Logic のアラート機能について、「アラート化するためのクエリの実行間隔」に疑問点がありましたので、確認して書いてみました。

アラート機能(Monitor) について

Sumo Logic ではアラート発報のために Scheduled Search という「条件にマッチしたら継続的にアラートを発報する」リアルタイム性に優れたアラート機能と、もう１つ Monitor 呼ばれる「継続的な状態監視の為にステータス管理が出来る」アラート機能が用意されています。

Monitor でアラート化すると、もれなく次のようなことが可能です。

と、セキュリティやオペレーションの面で SIEM ベースでの運用がはかどる便利な機能が盛りだくさんです。

そんな Monitor 機能には、次の５つの設定項目があります。参考：Create a Monitor | Sumo Logic Docs

• ① Trigger Conditions

トリガー条件を決定する項目。今回はココの話。

• ② Advanced Settings(optional)

詳細設定として、この Monitor の名前や、ログ取り込みの遅延を考慮して Delay を設けることが出来ます。

• ③ Notifications(optional)

「どこに」「なにを」通知するかを設定できます。メールや Slack などに通知できます。

• ④ Playbook(optional)

どんな復旧操作が必要か、担当者は誰かなどをメモして復旧を支援するために保存しておけます。

• ⑤ Monitor Details

Monitor の保存先フォルダや、Tag を付与して管理を簡単にする設定値を施せます。

前置きが長くなりましたが、今回は、Monitor の「クエリ実行間隔」についてご説明します。

Monitor のクエリ実行間隔

Monitor でアラートを発報させようと思うと、"Trigger Conditions" > "Trriger Type" で Critical や Warning など、Severity 別にアラートを作成します。

この時、トリガー条件として時間間隔を設定します。

例えば画像のように 15 分間隔で設定した場合は、過去 15分以内の検索結果がトリガー条件にマッチすればアラートを発報します。という意味になります。

ですが、ここで疑問が生じます。Monitor のクエリが実行される時間間隔については設定項目が無いですよね。どう判定しているのか分からなかったのでドキュメントを探したのですが載ってなかったため、Sumo Logic 社に確認してみました！

すると .. 「Monitor は Trriger Type で設定した時間間隔によって、クエリの実行間隔が異なる」とのことでした。

具体的には次の表のとおりです。

時間間隔	実行間隔
5分	1分
10分	1分
15分	1分
30分	2分
1時間	2分
3時間	10分
6時間	10分
12時間	20分
24時間	20分

※ 時間間隔は、Monitor 画面で設定できる以下の部分です。

※ 実行間隔が、実際にクエリを行う頻度です。

ということで、例えば 15 分の時間範囲で設定した場合、Monitor ではクエリが 1 分ごとに実行され、そのクエリが過去 15 分間のしきい値に一致するかどうか評価しているということでお考えいただければと思います。

まとめ

いかがでしたでしょうか。Monitor のクエリ実行間隔についてまとめてみました。Monitor は運用向けに Sumo Logic でアラートを管理できるようになっており、アラート疲れも引き起こしにくいようにステータス管理ができますので、継続的にモニタリングしてリソースの復旧などの作業を支援できるように設計されています。

仕様上、リアルタイムにポンポンアラートを飛ばすものではないので、もしリアルタイム性を求められる場合は、Scheduled Search を選択していただければと思います。

Scheduled Search と Monitor の各種比較についてはこちらも参考になると思います。
・Difference between Monitors and Scheduled Searches | Sumo Logic Docs

本ブログが皆様の一助になれば幸いです。