サイトオペレーションストーリーの確認

この記事では、ストーリーズワークベンチを使用してネットワークの接続性およびパフォーマンスに関する問題を抱えるサイトオペレーションストーリーを確認する方法について説明します。

概要

CatoXOpsはネットワークの劣化や潜在的なセキュリティ脅威などのネットワーク問題を識別します。高度なサイトオペレーションエンジンは、接続性とパフォーマンスに関連するさまざまな指標とメトリクスを検出し、ネットワークに関する問題のためのデータを関連付けるストーリーを生成します。例えば、WANリンクが断続的に高パケットロスを経験している場合、エンジンはリンクに関するすべての関連データを含む単一のストーリーを作成します。

ストーリーズワークベンチページには、問題を理解し分析するのに役立つ各ストーリーの詳細が表示されます。ストーリーを並べ替えたりフィルタリングしたりして、最も重要なインシデントを見つけ、さらに調査して問題を解決するためにストーリーを詳細に追求できます。

サイトオペレーションストーリーのインジケーション

以下は、サイトオペレーションエンジンがストーリーを生成するために検出したネットワーク接続とパフォーマンスの問題の兆候です。

インディケーション	説明	ストーリー生成の閾値
サイトダウン	サイトがCato Cloudから切断されました。	すべてのリンクが2.5分間ダウンしています。
リンクダウン	サイトのWANリンクの1つがCato Cloudから切断されましたが、サイトはまだ接続されています。	リンクが5分間ダウンしているか、10分間に5回の短い切断が発生しました。
BGPセッション切断	BGPセッションが予期せず切断され、アプリ接続とユーザー体験に影響する可能性があります。	BGPセッションが5分間ダウンしているか、10分間に5回以上の短い切断が発生しました。
LAN監視 - ホスト到達不可	サイトの背後にある監視対象のホストがPoPからのキープアライブパケットに応答せず、到達不能と見なされます。ホストに対して設定されたLAN監視ルールが必要です。	1つのLAN監視到達不可イベント
リンク品質SLA	サイトのリンクSLA品質基準が超えました。これにより、ユーザー体験に影響を与える可能性があります。 SLA基準は、品質健康ルールに対して設定されています。注意: リンクの輻輳問題はリンク品質SLAストーリーから除外されます。 ILMMのお客様向けに、ジッターとレイテンシーに基づくストーリーは生成されません。	1つの品質健康ルールイベント
ソケットHA未準備ステータス	ソケット高可用性(HA)設定に問題があり、ステータスが未準備です。	以下のソケットHA未準備条件が発生した場合: 接続済みが5分間未準備キープアライブが60分間未準備互換バージョンが60分間未準備セカンダリーソケットへのフェイルオーバーが60分間未準備これらの条件の詳細については、Socket HA とはを参照してください。
接続性を改善するためのPoP再接続	サイトがパフォーマンスを最適化するために強制的にPoPに再接続されました。 PoPへの再接続はユーザー体験に影響を与える可能性があります。	このメッセージとともに1つの再接続イベント: パフォーマンスの問題が検出され、Cato Cloud内の異なるサービスノードに再接続されました。イベントメッセージフィールドについての詳細は、ソケット接続イベントメッセージフィールドの理解をご覧ください。
LANポートダウン	LANポートの1つが切断されました。	ポートが5分間ダウンしています。
代替WANリンクダウン	代替の1つの WANリンクが切断されました。	リンクがダウンしている、またはチャネル数が5分間0に減少しました。
アップグレード後のソケットオフライン	ソケットは新しいバージョンにアップグレードした後、期待される時間内にトンネルを再確立しませんでした。	ソケットは期待されたアップグレード完了後の5分間切断されています。

サイトオペレーションストーリーライフサイクルの理解

サイトオペレーションストーリーは、ストーリーを引き起こした初期の問題から最終的な解決まで、ストーリーライフサイクル全体を通じて異なる段階を経験します。ただし、サイトダウンストーリーのライフサイクルは他のストーリータイプとは若干異なります。これは、サイトダウンストーリーが進行中の場合、冗長なストーリーの作成を防ぐためにサイトの他のストーリーが作成されないためです。

例えば、2つのWANリンクを持つサイトがダウンする場合、各WANリンクのリンクダウンストーリーを生成せず、単一のサイトダウンストーリーが生成されます。

以下は、サイトダウンストーリーおよび他のストーリータイプの潜在的な段階です。

サイトダウンのストーリーライフサイクルにおける段階:
1. オープン - 現在進行中の問題であり、ストーリーが作成される
2. 監視 - 問題が2時間未満で解決された
3. クローズ - 問題が2時間で解決され、ストーリーが終了される
他のストーリータイプのライフサイクルにおける段階:
1. オンホールド - 問題は進行中ですが、サイトが現在ダウンしているためストーリーは作成されません。問題はサイトダウンストーリーが終了してから2分経過するまで保留されます。
2. オープン - 現在進行中の問題であり、ストーリーが作成される
3. 監視 - 問題が2時間未満で解決された
4. クローズ - 問題が2時間で解決され、ストーリーが終了される

注記

注記: サイトオペレーションストーリーは、以下の状況でも自動的に終了します。

30日旧 – 問題が再発した場合に新しい追跡を確保するため終了
ストーリーの再確認が必要 - サイトオペレーションエンジンがストーリーの再確認が必要であると判断しました。問題が再発した場合、エンジンはストーリーを確認して再開します。
構成変更 – 構成の更新によりストーリー内のエンティティ（リンク、サイト、BGP範囲、ホスト）がもはや関連しなくなった

ユースケースの例

これは、ストーリーズワークベンチでサイトオペレーションネットワークストーリーを特定し解決する管理者のユースケース例です。

ストーリーズワークベンチをフィルタリングして、サイト別にグループ化されたオープンなサイトオペレーションストーリーを表示しました。
ニューヨークサイトの重大度の高いストーリーが、インディケーションリンクダウンと共に特定されました。
ストーリーの詳細ページを開き、ストーリーデータを確認し、サイトのWAN 01リンクがCato Cloudから切断されていることを発見しました。
問題を調査しトラブルシューティングするために関連するプレイブックを参照しました。
ニューヨークサイトの物理ソケットを確認したところ、WAN 01リンクケーブルが故障していることを発見しました。
ケーブルを交換し、リンクが復旧して接続されたことを確認し、問題が再発する可能性があるためストーリーの監視を続けました。
再発がないまま2時間後にストーリーが自動的に終了しました。

ストーリーズワークベンチページの表示

ストーリーズワークベンチページは、アカウントのためのXOpsストーリーの概要を示しています。

ストーリーズワークベンチページを表示するには:

ナビゲーションメニューから、ホーム > ストーリーズワークベンチをクリックします。

ストーリー列の理解

列	説明
ID	このストーリーの一意のCato ID
ステータス	サイトオペレーションストーリーのステータスは、ストーリーを引き起こした初期の問題から最終的な解決まで、ストーリーライフサイクル全体を通じて異なる段階を表します。サイトオペレーションエンジンは、ネットワークインシデントにおいて関連する変化を検出すると、ステータスを自動的に更新します。これらはステータスタイプです。オープン - サイトオペレーションエンジンは、ストーリーの生成をトリガーしたネットワーク問題を検出しました。監視 - サイトオペレーションエンジンは、初期問題が解決されたことを検出し、2時間の再発監視を続けています。再発が検出されると、ステータスはオープンに戻ります。クローズ - 監視ステータスのストーリーは、2時間再発が検出されないとクローズに変わります。注記注記: サイトオペレーションのストーリーのみが自動でクローズされ、問題が再発しなくなってから120分後にのみクローズされます。 XOpsセキュリティストーリーは自動的に閉じられません。
作成	ストーリーの最初のトラフィックフローの日付
更新	ストーリーの最新のトラフィックフローの日付
重要度	問題がネットワークに与える可能性のある影響。値は1（影響が少ない）から10（影響が大きい）までです。
表示	ストーリーのネットワーク問題の兆候
ソース	ネットワーク問題が発生しているサイト
発生件数	問題が発生した回数、包括的な一時解決後の再発を含みます。例えば、リンクが繰り返し切断および再接続される場合、各切断が発生件数としてカウントされます。
エンジンタイプ	ストーリーを作成したエンジン。サイトオペレーションのストーリーの場合、エンジンはサイトオペレーションです。

ストーリーのグループ化

ストーリーを確認する際にコンテキストを提供するために、ソース、表示、ステータス、タイプを含む詳細によって定義されたグループでストーリーを表示できます。例えば、特定のソースサイトに関連するすべてのストーリーや、すべてのリンク品質SLAのストーリーを一緒に表示できます。これにより、ストーリーを分析する際により広範な視点を得ることができ、問題を素早く理解して解決するのに役立ちます。

サイトオペレーションのストーリーの場合、ソースはネットワーク内のサイトです。

ネットワークストーリーの分析を開始する際のベストプラクティスとして、まずソースでグループ化することをお勧めします。

各グループは、そのグループ内のストーリーの重要度レベルを強調し、高、中、低の重要度のストーリー数を含んでいます。

ストーリーをXDR インシデント検出でグループ化するには:

ナビゲーションメニューから、ホーム > XDR インシデント検出をクリックします。
グループ化条件ドロップダウンメニューから、必要な条件を選択します。

ストーリーは展開可能なグループで表示されます。

ストーリーのフィルタリング

XDR インシデント検出でデータをフィルタリングする方法は3種類あります。

プリセットフィルターを選択
選択したアイテムでフィルターを自動更新
フィルターを手動で設定

プリセットフィルター

プリセットフィルターを選択して、ネットワークオペレーションまたはセキュリティオペレーションストーリーにフォーカスできます。プリセットフィルターを選択すると、そのタイプのストーリーに最も関連する列がデフォルトで表示されます。

プリセットフィルターを選択するには:

フィルターバーで、プリセット選択ドロップダウンメニューをクリックします。
プリセットを選択します。 XDR インシデント検出は、プリセットに一致するストーリーを表示するように更新されます。

アイテムの自動フィルタリング

フィルターオプションが利用可能なアイテムや項目にカーソルを合わせると、ボタンが表示されます。アイコンをクリックしてフィルターオプションを表示:

フィルターに追加 - アイテムをフィルターに追加し、XDR インシデント検出はこのアイテムを含むストーリーのみを表示します。例えば、特定の重要度スコアでフィルタリングした場合、そのページにはその重要度を持つストーリーのみが表示されます。
フィルターから除外 - フィルターを更新してこのアイテムを除外し、XDR インシデント検出はこのアイテムを含まないストーリーのみを表示します。

フィルターにアイテムを追加し続けることができ、を再度クリックしてフィルターを更新し、さらに詳細を掘り下げることができます。

時間範囲の選択

XDR インシデント検出のデフォルトの時間範囲は、過去2日間です。異なる時間範囲を選択して、より長いまたは短い期間を表示できます。詳細については、時間範囲フィルターの設定を参照してください。

XDR インシデント検出の最大日付範囲は90日です。

フィルターの手動設定

より詳細に分析するために、ストーリーフィルターを手動で設定できます。フィルターを設定すると、それがストーリーフィルターバーに追加され、ページは自動的に更新され、新しいフィルターに一致するストーリーが表示されます。

フィルターを作成するには:

フィルターバーで、をクリックします。
フィールドを入力または選択します。
オペレーターを選択し、フィールドと検索している値の関係を決定します。
値を選択します。
フィルターを追加をクリックします。フィルターがフィルターバーに追加され、XDR インシデント検出がフィルターに基づいたストーリーを表示するように更新されます。

フィルターのクリア

フィルター内の各アイテムを個別に削除することも、フィルター全体をクリアすることもできます。

XDR インシデント検出ページのフィルターをクリアするには:

単一フィルターをクリアするには、フィルターの横にあるをクリックします。
すべてのフィルターをクリアするには、フィルターバーの右端にあるXをクリックします。

ストーリーの詳細分析

XDR インシデント検出でストーリーをクリックして、別のページで詳細を調査できます。このページには、サイトオペレーションエンジンによって特定された潜在的な問題を評価するのに役立ついくつかのウィジェットが含まれています。

プレイブックを使用したストーリーの調査

XDR インシデント検出の詳細分析には、問題を調査、トラブルシューティング、および解決するための手順を提供するプレイブックへのリンクが含まれています。各サイトオペレーションストーリーは、ストーリーの特定の兆候に対するプレイブックにリンクされています。例えば、Socket HA Not Readyステータスの兆候を持つストーリーのためのプレイブック。

AIストーリーサマリーの生成

XDR インシデント検出の詳細分析には、AIによって生成される自然言語のストーリー記述を作成するツールが含まれており、豊かなコンテキストを提供し、ストーリーを迅速に評価するのに役立ちます。ストーリーサマリーは、ストーリーの現状を反映するように動的に生成されます。ストーリーが新しい情報で更新された場合、要約を再生成して変更を反映できます。

AIストーリーサマリーの生成については以下を参照してください。

AIストーリーサマリーは、管理者が要求したときのみ生成されます。

トークン化による機密データの保護

ストーリーデータを第三者のAIサービスに送信する際の堅牢なデータセキュリティのために、Catoはトークン化を使用してすべての機密データをCato XOpsプラットフォーム内に保つことを保証します。これは、機密情報をユニークな識別子または「トークン」に置き換えることで、データを未承認の者にとって意味のないものにします。機密データが第三者のサービスに公開されることはありません。このアプローチは、ストーリーの詳細の機密性を保証し、堅牢なデータプライバシーおよびセキュリティ基準へのコミットメントに一致します。

注記

注記: 生成的AIの制限のため、ストーリーの要約に提供される情報には時々不正確さが含まれる場合があります。

ストーリーの詳細分析ウィジェットの理解

これらはストーリーの詳細分析ウィジェットです。

アイテム	名前	説明
1	ストーリーの要約	基本的なストーリー情報の要約で、以下を含みます。ストーリーの種類ストーリーに関連するサイトの名前ストーリーの重要度問題が発生した回数ストーリー生成からの日数ストーリーの現在のステータス
2	ストーリーのタイムライン	ストーリーステータスの変化のタイムラインを表示します。
3	ストーリー詳細	ストーリーの分析に基本情報が含まれています。ストーリーの説明、新しいネットワークインシデントによってストーリーが作成・更新された時期、サイトに関する情報が含まれています。コンテキストを豊富に提供し、ストーリーを迅速に評価する手助けをする自然言語のストーリー説明をAIサマリーを生成をクリックしてください。この種のストーリーをトラブルシューティングして解決する方法を説明するプレイブックを開くには、プレイブックKB記事リンクをクリックしてください。
4	現在のサイト概要	ストーリーによって影響を受けたネットワーク内のサイトに関する情報。ウィジェットには、サイトの最近の接続ログを表示するリンクと、サイト設定およびサイト監視ページへのショートカットを含むドロップダウンメニューが含まれています。このウィジェットは、トポロジーページのサイト情報パネルと同じです。
5	インシデントタイムライン	ストーリー内の問題と解決に関する検出されたインシデントのリスト。例えば、リンクがダウンストーリーのインシデントタイムラインには、次のようなインシデントが含まれます。プライマリソケットのWAN1アクティブリンク - Catoクラウドから切断されましたプライマリソケットのWAN1アクティブリンク - Catoクラウドへの接続を正常に再確立しました 120分後に問題が発生しなくなり、ストーリーステータスが監視からクローズに変更されました注記ノート: 自動的に閉じるのはサイトオペレーションストーリーのみであり、問題が120分間発生しなくなった後に限られます。 XOpsセキュリティストーリーは自動的に閉じられません。これらはインシデントタイムラインのコラムです。作成 - インシデントが最初に検出された時確認済み - 作成されたインシデントが確認された時インシデントの説明イベント - インシデントのために事前にフィルタされたイベントページへのリンク

サイトオペレーションストーリーに対する対応ポリシーの使用

XOps対応ポリシーは、ストーリーの電子メール通知が管理者に送信されるタイミングを定義することで、XOpsストーリーを監視するのに役立ちます。通知が送信されるストーリーの基準を定義するルールを作成でき、どの管理者が通知を受け取るかを設定するためにメーリングリストを使用できます。例えば、緊急度の高いサイトオペレーションストーリーの通知を送信するルールを作成し、メーリングリストにヘルプデスクのメールアドレスを含めて自動的にサポートチケットを開くことができます。

対応ポリシールールの作成についての詳細は、XOpsストーリーのための対応ポリシーの作成を参照してください