0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

富士通クラウドテクノロジーズAdvent Calendar 2023

Day 24

アラート通知メールの過去の調査記録を投稿する仕組み

Last updated at Posted at 2023-12-24

はじめに

こちらは、「富士通クラウドテクノロジーズ Advent Calendar 2023」の24日目の記事です。
昨日の記事は@hasunuma さんの、「FJCTF#2(社内CTF)を開催しました!」でした。

本日のテーマ

私は普段、Slackでサーバーのアラート通知メールを目にする機会があるのですが、見慣れないアラートの調査に時間がかかっていました。
そんな中で、過去の調査記録がいつでも参照できると原因の調査が楽になるだろうと思いました。
そこで、アラート通知メールが届いたら過去の調査記録を検索しSlack上に投稿する仕組みを作ることをテーマにしました。

前提

  • 過去の調査記録はGitlabのIssueで管理しているため、投稿されるのはGitlabのIssueのURLとします。
  • アラート通知メールをSlackに送る仕組みは既にあったのでスキップします。

どのような流れで記録を投稿するか

まず大まかに以下のSTEPで調査記録を投稿することを決めました。

  1. Bolt for Python でSlack上のメール投稿をリッスン
  2. メールの情報から、特定のアラートパターンに一致しているかチェック
  3. 一致している場合、今度はアラートパターンに一致するタイトルのIssueを検索
  4. マッチしたIssueのURLをSlackのアラートメール投稿に返信

ここから、各STEPの実装に入ります。

1. Bolt for Python でSlack上のメール投稿をリッスン

メッセージをリッスンする

まずメッセージイベントを取得できるように、チュートリアルのページを参考にコードを書いてみます。

run.py
import os
from slack_bolt import App
from slack_bolt.adapter.socket_mode import SocketModeHandler
import json

app = App(token=os.environ.get("SLACK_BOT_TOKEN"))

# メッセージイベントをリッスン
@app.event("message")
def listen_message(message, client):
    print(json.dumps(message,indent=4))

# アプリを起動します
if __name__ == "__main__":
    SocketModeHandler(app, os.environ["SLACK_APP_TOKEN"]).start()

メッセージをSlackで投稿してみます。
image.png

無事にメッセージが取得できていることがわかりました。

python3 run.py 
⚡️ Bolt app is running!
{
    "client_msg_id": "f87beb9a-d2de-4e2e-aa80-f9caf56c010f",
    "type": "message",
    "text": "test",
    "user": "xxx",
    "ts": "1703431443.741819",
    "blocks": [
        {
            "type": "rich_text",
            "block_id": "gB9fq",
            "elements": [
                {
                    "type": "rich_text_section",
                    "elements": [
                        {
                            "type": "text",
                            "text": "test"
                        }
                    ]
                }
            ]
        }
    ],
    "team": "xxx",
    "channel": "xxx",
    "event_ts": "1703431443.741819",
    "channel_type": "channel"
}

メール投稿をリッスンする

実際にはアラート通知メールを読み取りたいので、メッセージのsubtypeがfile_shareの場合に条件に入るようにします。
※メール投稿はファイル共有扱いのため

run.py
# メッセージイベントをリッスン
@app.event("message")
def listen_message(message, client):

  # messageのsubtypeがファイル共有だった場合
  if message.get('subtype') == 'file_share':
    print(json.dumps(message,indent=4))

メールを送信します。
image.png

送信されたメールの情報が取得できました。

python3 run.py 
⚡️ Bolt app is running!
{
    "type": "message",
    "text": "",
    "files": [
        {
            "id": "xxx",
            "created": 1703440595,
            "timestamp": 1703440586,
            "name": "test",

...

            "permalink_public": "https://slack-files.com/xxx-xxx-xxx",
            "subject": "test",
            "to": [

...

            "file_access": "visible"
        }
    ],
    "upload": true,
    "user": "USLACKBOT",
    "display_as_bot": true,
    "bot_id": "xxx",
    "ts": "1703440595.714489",
    "channel": "xxx",
    "subtype": "file_share",
    "event_ts": "1703440595.714489",
    "channel_type": "channel"
}

この中で、アラートタイトルの取得にsubject、スレッドに返信するためにevent_tsを使用します。

2. メールの情報から、特定のアラートパターンに一致しているかチェック

いくつかのアラートのパターンを用意し、メールの件名とマッチした場合に処理を行うようにしてみます。

run.py
import re

# 正規表現をコンパイル
patterns = [re.compile(r'.* PROBLEM: Zabbix agent on .* is unreachable for 5 minutes'),re.compile(r'PROBLEM: Too many deadlock DB error on .+'),r'PROBLEM: Error in API log \(.+\) on .+']

# メッセージイベントをリッスン
@app.event("message")
def listen_message(message, client):

  # messageのsubtypeがファイル共有だった場合
  if message.get('subtype') == 'file_share':

    # メールの件名を取得
    subject = message['files'][0]['subject']

    for pattern in patterns:

      # 特定のパターンとマッチした場合
      if(re.search(pattern, subject)):

        # マッチした件名を表示
        print(subject)

        # マッチしたパターンを表示
        print(pattern)

メールを送ってみます。

image.png
image.png

無事にアラートのパターンとメールの件名がマッチしたときに処理を行うようにできました。

python3 run.py 
⚡️ Bolt app is running!
PROBLEM: Too many deadlock DB error on hoge
re.compile('PROBLEM: Too many deadlock DB error on .+')
hoge PROBLEM: Zabbix agent on hoge is unreachable for 5 minutes
re.compile('.* PROBLEM: Zabbix agent on .* is unreachable for 5 minutes')

3. 一致している場合、今度はアラートパターンに一致するタイトルのIssueを検索

GitlabのAPIでは、正規表現を用いて特定のタイトルのIssueを検索する機能はサポートされていません。
そのため、一度全てのIssueを取得した後に、正規表現でアラートのパターンと一致するタイトルのみに絞り込みます。

Gitlabの対象プロジェクトの全てのIssueを取得する

run.py
import urllib
import requests

# GitlabのAPI使用に必要な定数を定義
GITLAB_URL = "https://gitlab.hoge"
PROJECT_PATH = "fuga/piyo"
project_id = urllib.parse.quote(PROJECT_PATH, safe='')
private_token = os.environ['gitlab_private_token']

# メッセージイベントをリッスン
@app.event("message")
def listen_message(message, client):

  # messageのsubtypeがファイル共有だった場合
  if message.get('subtype') == 'file_share':

    # メールの件名を取得
    subject = message['files'][0]['subject']

    for pattern in patterns:

      # 特定のパターンとマッチした場合
      if(re.search(pattern, subject)):

        # GitlabのAPI使用に必要な変数を定義
        url = f'{GITLAB_URL}/api/v4/projects/{project_id}/issues'
        headers = {'PRIVATE-TOKEN': private_token}
        params = {"per_page": 100}
        all_issues = []
        page = 1

        # 全てのIssueを取得できるまでループ
        while True:
            params["page"] = page
            response = requests.get(url, headers=headers, params=params)
            issues = response.json()
            if not issues:
                break
            all_issues.extend(issues)
            page += 1

    print(len(all_issues))

無事にIssuesの要素数925が取得できました。

python3 run.py 
⚡️ Bolt app is running!
925

アラートパターンに一致するタイトルのIssueに絞り込む

先ほど取得した全てのIssueから、正規表現のパターンにマッチするIssueのみに絞り込みます。

run.py
        # 正規表現にマッチするIssueを検索
        matched_issues = [issue for issue in all_issues if re.search(pattern, issue["title"])]

        for matched_issue in matched_issues:
          print(json.dumps(matched_issue))

無事にマッチしたIssueのみの情報が取得できました。

python3 run.py 
⚡️ Bolt app is running!
{
    "id": 168453,
    "iid": 768,
    "project_id": 3203,
    "title": "PROBLEM: Error in API log (xxx) on xxx",

...

    "issue_type": "issue",
    "web_url": "https://gitlab.hoge/fuga/piyo/-/issues/768",
    "time_stats": {

...

    "iteration": null
}

4. マッチしたIssueのURLをSlackのアラートメール投稿に返信

ここまで来たら、あとはIssueのURLをテキストにくっつけて投稿するだけですね。

run.py
        # メッセージを投稿するチャンネルのID
        channel_id = "xxx"

        # 正規表現にマッチするIssueを検索
        matched_issues = [issue for issue in all_issues if re.search(pattern, issue["title"])]

        text = f"`{pattern}` のパターンのIssueが `{len(matched_issues)}` 件見つかったよ!"

        # マッチしたIssueのURLを返信用テキストに追加
        for matched_issue in matched_issues:
          text += '\n' + matched_issue['web_url']

        client.chat_postMessage(
            channel=channel_id,
            thread_ts=message['event_ts'],
            text=text
        )

ダミーのアラートメールを送ったところ、無事にアラートの条件にマッチするIssueが投稿されました。

image.png

最後に

蓄積されたノウハウに気軽にアクセスできる状態になったので、今後の作業効率アップに繋がると嬉しいです。
今回はメール通知のタイトルのみ使用しましたが、本文まで含めて処理の条件を決めると色々なことに応用できそうですね。


明日は @ConHumi さんがETFレポートについて書かれるそうです。
お楽しみに!

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?