signoz-viewer、書き込みアクセスは signoz-admin)にスコープされたサービスアカウント API キーで認証します。
サポートされるプラットフォーム
| プラットフォーム | サポート |
|---|---|
| SigNoz Cloud | 全テナント |
| SigNoz(セルフホスト) | セルフマネージドインスタンス |
前提条件
- SigNoz Cloud またはセルフホストインスタンス。
- API キーを発行するためのサービスアカウント(読み取り専用アクセスには
signoz-viewer、CloudThinker に変更を許可する場合はsignoz-admin)。 - SigNoz のベース URL。
セットアップ
サービスアカウントを作成する
SigNoz で Settings → Workspace Settings → Service Accounts を開き、New Service Account をクリックします。名前(例:
cloudthinker-svc)を入力し、Create Service Account をクリックします。ロールを割り当てる
Overview タブで、Roles ドロップダウンを使用して、読み取り専用アクセスには
signoz-viewer、CloudThinker に変更を許可する場合は signoz-admin を選択します。ロールを有効にするために Save Changes をクリックします。API キーを作成する
Keys タブに切り替えて Add Key をクリックします。キー名(例:
cloudthinker-key)を入力し、必要に応じて有効期限を設定して、Create Key をクリックし、キーをコピーします。接続の詳細
| フィールド | 説明 | 例 |
|---|---|---|
| SIGNOZ_URL | パスサフィックスなしのインスタンスのベース URL | https://<hash>.signoz.cloud |
| SIGNOZ_API_KEY | サービスアカウントキー | Keys タブからコピー |
| LOG_LEVEL | MCP サーバーのログ詳細度: debug, info, warn, または error | info |
必要な権限
signoz-viewerは読み取り専用アクセスを付与します: サービス、ログ、トレース、メトリクスのクエリ、アラート、ダッシュボード、ビューの参照。signoz-adminは書き込みアクセスも追加します: アラート、ダッシュボード、ビュー、チャンネルの作成、更新、削除。- 書き込み操作は CloudThinker での実行前に明示的な承認も必要です。
エージェントの機能
接続後、エージェントはオブザーバビリティデータ全体で読み取り操作を実行でき、承認ゲートが必要な書き込み操作も使用できます。| 機能 | エージェントができること |
|---|---|
| サービス(APM) | インスツルメントされたサービスを一覧表示し、レイテンシ別の上位オペレーションを調査する |
| ログ | 時間とフィルターでログを検索し、パターン別に集計・グループ化する |
| トレース | トレースを検索し、完全なトレースウォーターフォールを取得し、依存関係をドリルダウンする |
| メトリクス | メトリクスを一覧表示し、時系列クエリを実行する |
| ダッシュボード | ダッシュボードとテンプレートを一覧表示・調査する |
| アラート | アラートルールを一覧表示し、ルールと状態遷移履歴を調査する。作成、更新、削除(admin のみ) |
| 保存済みビュー | 保存済みクエリビューの一覧表示、調査、作成、更新、削除(admin のみ) |
| 通知チャンネル | チャンネルの一覧表示、調査、作成、更新、削除(admin のみ) |
| ドキュメント | SigNoz ドキュメントの検索と取得 |
接続の確認
プロンプト例
トラブルシューティング
401 Unauthorized で接続が失敗する
401 Unauthorized で接続が失敗する
すべてのリクエストが 404 を返す
すべてのリクエストが 404 を返す
SIGNOZ_URL に余分なパスサフィックスがあります。https://<hash>.signoz.cloud のようなベース URL のみに設定し、/api/v1 を含めないでください。403 Forbidden
403 Forbidden
サービスアカウントのロールが操作に対して低すぎます。書き込み操作には
signoz-admin を割り当て、Save Changes をクリックしてください。検索結果が返らない
検索結果が返らない
ログ、トレース、メトリクスの検索には時間範囲が必要です。エージェントに最近のウィンドウ(例: 過去 15 分)を使用させ、必要な場合にのみ広げてください。
セキュリティ
- 最小権限 — エージェントがユースケースに必要な権限のみを付与します。まず読み取り専用から始め、後から拡張してください。
- デフォルトで読み取り専用 — エージェントにこの接続で変更を行わせる場合を除き、読み取り専用の認証情報を使用してください。
- 認証情報のローテーション — 通常のスケジュールに従ってキーとトークンをローテーションしてください。接続を更新すると、CloudThinker が新しい値を自動的に取得します。
- オフボーディング時に失効 — 接続を削除するか、チームメンバーが退職する際には、プロバイダー側で認証情報を無効化してください。
- ベース URL のみ —
SIGNOZ_URLをパスサフィックスなしのルート URL に設定してください。末尾にパスがあるとすべてのリクエストが 404 を返します。 - 書き込みの承認 — アラートとダッシュボードの変更を意図的に行えるよう、書き込み操作を承認ゲートに保ってください。
関連情報
Datadog 接続
オブザーバビリティと監視
Grafana 接続
ダッシュボードとメトリクス