# アラームから CloudWatch 調査を開始する
<a name="Start-Investigation-Alarm"></a>

CloudWatch 調査は、アラームから、あるいは CloudWatch アラームの履歴の過去 2 週間で任意の時点から開始します。

CloudWatch 調査の詳細については、「[CloudWatch 調査](Investigations.md)」を参照してください。

## 前提条件
<a name="w2aac19c25b7c17b7"></a>

CloudWatch アラームから CloudWatch 調査を開始する前に、関数のリソースポリシーを作成して、CloudWatch サービスプリンシパルが調査を開始できるようにする必要があります。AWS CLI を使用してこれを行うには、以下の例のようなコマンドを使用します。

```
aws aiops put-investigation-group-policy \
    --identifier arn:aws:aiops:us-east-1:111122223333:investigation-group/investigation_group_id \
    --policy "{\"Version\":\"2008-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"aiops.alarms.cloudwatch.amazonaws.com\"},\"Action\":[\"aiops:CreateInvestigation\",\"aiops:CreateInvestigationEvent\"],\"Resource\":\"*\",\"Condition\":{\"StringEquals\":{\"aws:SourceAccount\":\"111122223333\"},\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:cloudwatch:us-east-1:111122223333:alarm:*\"}}}]}" \
    --region eu-north-1
```

サンプル値を自分の AWS アカウント ID、リージョン、調査グループ ID に置き換えます。

**CloudWatch アラームから調査を開始する**

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. 左のナビゲーションペインで、**[アラーム]** および **[すべてのアラーム]** を選択します。

1. アラーム名を指定します。

1. 調査するアラーム履歴の期間を選択します。

1. **[調査]** および **[新しい調査を開始]** を選択します。

1. **[新しい調査タイトル]** には、調査の名前を入力します。次に、**[Start investigation]** を選択します。

   CloudWatch 調査アシスタントが起動し、テレメトリデータをスキャンして、この状況に関連する可能性のあるデータを検索します。

1. CloudWatch コンソールのナビゲーションペインで **[調査]** を選択したら、先ほど開始した調査の名前を選択します。

   **[検出結果]** セクションには、アラームの状態およびトリガーされた理由の概要を自然言語で表示されます。

1. (オプション) アラームのグラフで、右クリックしてアラームまたはアラームが監視するメトリクスを詳細に調べることを選択します。

1. 画面の右側で、**[提案]** タブを選択します。

   CloudWatch 調査が検出したその他のテレメトリで、調査に関連する可能性のあるものがリストで表示されます。これらの検出結果には、その他のメトリクスや CloudWatch Logs Insights のクエリ結果が含まれる場合があります。CloudWatch 調査では、アラームに基づいてこれらのクエリが実行されました。
   + 検出結果ごとに、**[検出結果に追加]** または **[破棄]** を選択します。

     **[検出結果に追加]** を選択すると、テレメトリが **[検出結果]** セクションに追加され、CloudWatch 調査はこの情報を使用してさらなるスキャンと提案を指示します。
   + CloudWatch Logs Insights のクエリ結果について、クエリを変更または編集して再実行するには、結果のコンテキスト (右クリック) メニューを開いたら、**[Logs Insights で開く]** を選択します。詳細については、「[CloudWatch Logs Insights を使用したログデータの分析](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)」を参照してください。

     別のクエリを実行するには、Logs Insights ページにアクセスしたときに、クエリアシストを使用して自然言語でクエリを作成することを選択します。詳細については、「[Use natural language to generate and update CloudWatch Logs Insights queries](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs-Insights-Query-Assist.html)」を参照してください。
   + (オプション) この調査に適用される可能性のある別の AWS サービスのテレメトリについて知っている場合、そのサービスのコンソールに移動してテレメトリを調査に追加します。

1. CloudWatch 調査では、**[提案]** タブのリストに仮説が追加される場合もあります。これらの仮説は調査により自然言語の形式で生成されます。

   仮説ごとに、**[検出結果に追加]** または **[破棄]** を選択します。

1. 調査を完了して問題の根本原因を見つけたら、**[概要]** タブを選択し、**[調査の概要]** を選択します。CloudWatch 調査は、調査から得た重要な検出結果および仮説の概要を自然言語で作成します。