アラートの設定
[アラート設定(Alerts Configuration)] ページでは、アラートトリガールールを設定し、アラートを送信するパブリッシャを選択できます。このページに表示されるアラートタイプは、ユーザーロールによって異なります。アラートのパブリッシャは、Kafka(データタップ)または Notifier のいずれかです。
(注) |
Cisco Secure Workload 3.0 では、Secure Workload App Store からアラートアプリとコンプライアンスアプリが削除されました。アラートアプリインスタンスやコンプライアンス アプリ インスタンスを作成しなくても、このページでコンプライアンスアラートをはじめとするアラートを設定できます。 |
アラートの作成
いくつかのコンポーネントは、アラートを設定するため、共通のアラート設定モーダルを使用します。現時点では、設定モーダルには次のものが含まれます(特定のアラート設定の詳細については、各ユーザーガイドを参照してください)。
(注) |
コンプライアンス アラート タイプの場合、現在選択されている範囲で最低限「適用」機能を使用可能なユーザーのみが、アラートトリガールールを作成できます。 |
(注) |
適用およびセンサーアラートタイプの場合、アラートトリガールールは、現在選択されているルート範囲に適用されます。 |
次のタイプには、設定モーダルがありません。
アラート設定モーダル
アラート設定モーダルは、次の 6 つのセクションで構成されています。
-
アラートのタイプ。注:これは、アラートの設定が件名に応じて異なる場合にのみ表示されます(現在、近隣アラートに対してのみ表示されます)。
-
アラートの件名: 「何をアラートするか」 を示します。これはアプリによって異なり、アラートモーダルがコンテキスト型の場合は事前に入力されている可能性があります。
-
アラートがトリガーされる条件: 「いつアラートを生成するか」を示します。 にカーソルを合わせると、指定できる条件の一覧が表示されます。注:この一覧には、現在設定されているアラートタイプに特化した条件が表示されます。
-
アラートのシビラリティ(重大度)の選択。多くのアラートが生成された場合、シビラリティ(重大度)の高いアラートが、重大度の低いアラートよりも優先的に UI に表示されます。
-
サマリーアラートオプションで構成される追加の設定オプション。[詳細設定を表示する(Show Advanced Settings)] をクリックして展開します。
-
モーダルを閉じる:新しいアラートと指定したすべての設定オプションを追加する場合は、[作成(Create)] を選択します。または、新しいアラートを追加しない場合は [取り消し(Dismiss)] を選択します。
にカーソルを合わせると、アラートトリガーを作成するために使用できるプロパティのリストが表示されます。このリストは、選択したアラートのタイプに依存するコンテキストです。
[詳細設定を表示する(Show Advanced Settings)] をクリックすると表示される追加の設定オプション:
-
[詳細設定を表示しない(Hide Advanced Settings)] をクリックすると、展開が折りたたまれます。
-
サマリー アラートオプション(利用可能な場合)。アラートを生成するアプリによって、利用できるかどうかが決まります。詳細については、「サマリーアラート」を参照してください。
サマリーアラート
一部のアプリではサマリーアラートが許可されており、設定オプションはアプリによって異なります。
-
「個別のアラート」とは、一般的に、集約されていない(または最小限に集約された)情報に対して生成されるアラートを指し、時間範囲は 1 分間である可能性が高いです。ただし、アラートが必ずしも 1 分間隔で実際に生成され、送信されることを意味するわけではないことに注意してください。個別のアラートは引き続き [アプリの頻度(App Frequency)] 間隔で生成されます。
-
「サマリーアラート」とは、1 時間の間に生成されたメトリックに対して生成されたアラート、または頻度の低いアラートのサマリーを指します。
App |
アプリの頻度 1 |
個別のアラート |
毎時アラート |
毎日のアラート |
---|---|---|---|---|
コンプライアンス |
毎分 |
はい:アプリの頻度で |
個別のアラートのサマリー |
個別のアラートのサマリー |
近隣 |
Hourly |
— |
対応 |
毎時アラートのサマリー |
ファブリック |
Hourly |
はい:minute2 |
個別のアラートのサマリー |
個別のアラートのサマリー |
施行 |
毎分 |
はい:アプリの頻度で |
個別のアラートのサマリー |
個別のアラートのサマリー |
Sensor |
毎分 |
はい:アプリの頻度で |
個別のアラートのサマリー |
個別のアラートのサマリー |
(注) |
サマリーアラートの UI に表示されるイベント時間は、過去 1 時間または指定された間隔ウィンドウにおける同じタイプのアラートの最初の発生時間を表します。 |
自動要約とスヌーズの違いに関する注記
自動要約はアラート設定に従って生成された全アラートに適用され、スヌーズは特定のアラートに適用されます。アラート設定が非常に具体的である場合、この差ははわずかですが、アラート設定が広範囲である場合、差は大きくなります。
-
たとえば、コンプライアンス設定は非常に幅広く、アプリケーションのワークスペースからアラート生成の対象にする違反タイプに関するものまであります。したがって、自動要約は「エスケープ」条件によってトリガーされたすべてのアラートに適用されますが、スヌーズは非常に特定のコンシューマ範囲、プロバイダー範囲、プロバイダーポート、プロトコル、およびエスケープ条件に適用されます。
-
反対に、送信元範囲と宛先範囲間のパスでホップカウントが一定数未満の場合に警告するように設定された近隣アラートは、非常に特定のアラートを生成します。
その他の違い
-
スヌーズ間隔が経過した後に新しいアラートが生成される際、スヌーズで生成されるのは送信するアラートのみです。スヌーズ間隔中に抑制された可能性のあるアラートの数は示されません。
-
特定の間隔でアラートが生成されている限り、アラートサマリは指定した頻度で生成されます。アラートサマリでは、期間内でトリガーされたアラート数が、集計メトリックや範囲メトリックとともに示されます。
Cisco Secure Workload Alerts Notifier (TAN)
(注) |
リリース 3.3.1.x では、TAN に代わって Cisco Secure Workload Edge アプライアンスが使用されています。 |
Alerts Notifier は、現在選択されている範囲で Amazon Kinesis、電子メール、Syslog、Slack などの各種ツールを介してアラートを送信する機能を備えています。必要な資格情報や通知アプリケーションに固有のその他の情報を使用して、それぞれの通知者を範囲の所有者やサイト管理者として設定できます。
通知機能の設定
通知機能を設定するには、最初にコネクタを有効にする必要があります。アラート関連のコネクタは、Secure Workload Edge アプライアンスが展開された後にのみ設定できます。Secure Workload Edge アプライアンスの展開方法の詳細については、「コネクタの仮想アプライアンス」を参照してください。
Secure Workload Edge アプライアンスをセットアップしたら、各通知機能に固有の必須入力情報を指定して設定できます。Secure Workload Edge アプライアンスのセットアップ後は、アラートタイプと内部 Kafka(データタップ)を結ぶ破線が表示されることに注意してください。これは、通知機能が内部 Kafka(データタップ)に基づいているためです。
各アラート通知機能の設定方法の詳細については、「アラート通知用のコネクタ」を参照してください。
-
[アプリの頻度(App Frequency)] は、アプリが実行されてアラートを生成するおおよその頻度です。たとえば、コンプライアンスには柔軟な実行頻度が設定されており、実際には数分間にわたってアラートを計算する場合があります。
-
ファブリックアラートは、アプリの実行時に 1 時間ごとに生成されます([アプリの頻度(App Frequency)] は 1 時間ごとであることに注意してください)。そのため、個々のアラートオプションで「1 分間」のデータを指定していても、実際のファブリックアラートは「1 時間」のデータの処理が終わったあとでバッチ単位で生成および送信されます。つまり、データが 1 分あたり 2 個のアラートを生成する場合、実際には 120 個のアラートすべてが 1 時間の最後に生成および送信され、UI にアラートサマリーとして表示される可能性があります。
アラートのパブリッシャを選択する
範囲の所有者とサイト管理者は、アラートを送信するパブリッシャを選択できます。パブリッシャには、Kafka(データタップ)と通知ツールがあります。
(注) |
サイト管理者と範囲所有者のみが、アラートを送信するパブリッシャを選択できます。 |
選択できるすべてのパブリッシャ(内部 Kafka、外部 Kafka、アクティブな通知ツールなど)がこのモーダルに表示されます。送信ボタンを切り替えて、アラートタイプのパブリッシャを選択できます。アラートの最低シビラティ(重大度)は、重大度レベルを指し、ある特定のアラートがこのレベルに達すると、パブリッシャ経由でアラートが送信されます。
(注) |
外部データタップを選択すると、処理できるアラートの最大数に影響を与える可能性があります。処理できるアラートの最大数は、1 分間のバッチあたり最大 14000 アラートまで削減できます。 |
外部 syslog トンネリングの TAN への移行
(注) |
3.1.1.x リリース以降、syslog トンネリング機能は TAN に移行します。プラットフォームレベルの Syslog イベントを取得するために Syslog を設定するには、ユーザーはデフォルトのルート範囲の Secure Workload Edge アプライアンスで TAN を設定する必要があります。デフォルトのルート範囲で Secure Workload Edge アプライアンスを設定したら、syslog サーバーを以下のようにセットアップできます。プラットフォームアラートを有効にするには、プラットフォームの syslog 通知を有効にします。これは、プラットフォーム Syslog 接続を有効にすることで実行できます。 |
Syslog の設定方法の詳細については、「Syslog コネクタ」を参照してください。
接続図
接続図には、アラートタイプとパブリッシャの間の接続が表示されます。任意のアラートタイプのパブリッシャを選択すると、そのアラートタイプとパブリッシャの間に線が確立されます。内部 Kafka(データタップ)を指す線は、アラート通知構築の基盤となる内部メカニズムを表すため、常に破線であることに注意してください。
この図に示すように、Syslog が近接アラートのパブリッシャとして選択されると、それらの間に線が確立されます。図の丸で囲まれた領域にカーソルを合わせると、近隣アラートにのみ関連付けられている接続が強調表示されることに注意してください。
(注) |
ユーザーアプリケーションで生成されたアラートは、[アラート設定(Alert Configuration)] ページに表示されません。ユーザーアプリケーションは、構成された任意のデータタップにメッセージとアラートを送信できます。 |
アラートトリガールールの表示
設定されているすべてのアラートトリガールールのリストが、接続チャートの下の表に表示されます。
[アラートトリガールール(Alerts Trigger Rules)] テーブルを使用して、アラートタイプ、アラート頻度、およびアラートトリガー条件でアラートトリガールールをフィルタ処理できます。
(注) |
アラートトリガー条件は完全一致条件です。 |
アラートトリガールールの詳細
アラート トリガー ルール テーブルの各行をクリックして、設定の詳細を展開できます。
-
件名:アラートの内容
-
トリガー:アラートが生成されるタイミング
-
アラートに割り当てられた重大度(同時に生成されたアラートが多くある場合、UI に表示されるアラートに影響する可能性があります)
-
アラートの頻度:個別アラートやサマリーアラートが生成されるかどうか。