| Systemwalker Centric Manager ソリューションガイド コリレーション編 - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第1部 イベントを集約して監視する運用 | > 第2章 イベントを集約して監視するしくみ |
複数のイベントをまとめて監視することをイベントコリレーションといいます。ここでは、イベントコリレーションのしくみについて説明します。
複数のイベントをまとめて監視する方法には以下の2つがあります。
監視する条件に指定した関連性にしたがって、一定時間内に複数の異なるイベントが発生しているかを監視します。
監視する条件に指定した時間内に発生したイベントの回数を監視します。また、監視する条件に指定した時間内に発生したイベントの回数を通知することもできます。
上記の監視する条件を定義したものを、イベントコリレーションパターンといいます。イベントコリレーションパターンには以下の種類があります。
また、発生したイベントの件数を通知することもできます。
各イベントコリレーションパターンでの監視のしかたについては、“イベントコリレーションパターンごとの動作”を参照してください。
イベントコリレーション監視では、コリレーションパターンをさらに組み合わせて監視できます。コリレーションパターンは、“かつ”、または、“または”を使用して組み合わせます。
複数のイベントは“かつ”、“または”、または“登録順”で関連付けされます。
指定した複数のイベントがすべて発生した場合に、「条件に一致した」と判断します。
指定した複数のイベントのどれかが発生した場合に、「条件に一致した」と判断します。
指定した複数のイベントがすべて登録順に発生した場合に、「条件に一致した」と判断します。
イベントコリレーションでは、関連付けの基準となるイベントを“基準イベント”、“基準イベント”に関連づけるイベントを“関連イベント”と呼びます。
指定時間内に関連付けされた複数のイベントが発生したかどうかで条件に一致したかを判断します。指定時間内に条件に指定したイベントが発生した場合、条件に一致したと判断します。
複数のイベントコリレーションパターンを組み合わせたものを1つのイベントコリレーションの監視条件として監視する場合は、以下のように判断します。
発生したイベントは、イベントコリレーション監視の条件定義に設定されている定義の上から順番にすべての定義行と比較されます。詳細は、“発生イベントと定義の比較のしかた”を参照してください。
イベントコリレーションの監視において、扱う時刻情報は以下のとおりです。
基準イベント発生から監視を終了するまでの時間を監視するときは、イベントコリレーション機能が基準イベントを受信(処理)した時刻が監視開始時刻です。
監視の定義方法とイベントの発生方法により、以下のような動作になります。
基準イベントであるイベントA発生後、監視間隔内にイベントB、かつイベントCが発生した場合を例に説明します。
イベントを受信した時点で、イベントの発生時刻を比較します。
イベントを受信した時点で、イベントの発生時刻を比較します。イベントAの発生時刻とイベントB、イベントCの発生時刻の差が監視間隔内であれば条件は成立、監視間隔を超えている場合は、条件は不成立となります。
運用管理サーバでイベントAを受信してから監視間隔が経過した時点(図の(1))でイベントコリレーションの監視条件が不成立となるため、イベントCは監視対象外になります。
イベントの時刻の判定は受信時刻で行うため、イベントコリレーションの条件は成立します。
運用管理サーバでイベントAを受信してから監視間隔が経過した時点(図の(1))でイベントコリレーションの監視条件が不成立となるため、イベントCは監視対象外になります。
イベントA発生後、監視間隔内にイベントB、およびイベントCが登録順に発生した場合を例に説明します。
イベントの時刻の判定は受信時刻で行います。イベントA発生からイベントC受信までの時間が監視間隔内であれば条件が成立します。
イベントCを受信した時点で登録順に発生していないと判断するため、条件は不成立になります。
この例の場合、イベントAと同じシステムから発生するイベントBについて、[ホスト名の特定] で[基準イベントと同じホスト]と設定されていても、イベントCに対しては[基準イベントと同じホスト]と設定されていないため、イベントの時刻の比較は受信時刻で行います。
下位サーバのSystemwalker Centric Managerが停止中に発生したイベントが起動後に一斉に運用管理サーバに送信された場合や、メール連携でイベントが通知された場合など、イベントを一斉に受信した場合は、以下の動作になります。
イベントA発生後、監視間隔内にイベントB、およびイベントCが発生した場合を例に説明します。
イベントの時刻の判定は、イベントの発生時刻で行います。
イベントBの発生時刻はイベントAが発生してから監視間隔を経過した後であるため、イベントBを受信した時点で条件は不成立になります。
イベントの時刻の判定は、イベントの受信時刻で行います。
イベントAを受信してからイベントCを受信するまで監視間隔内であるため、条件は成立します。
グローバルサーバで発生したイベントで、発生日付がない、または、発生日時がないものをイベントコリレーションの監視条件として指定した場合、時間の比較は、イベントコリレーション機能がイベントを受信(処理)した時間で行います。
発生した複数のイベントの関連性や発生間隔がイベントコリレーションの監視条件に一致した場合、および監視条件に一致しなかった場合に、指定されたイベントコリレーション処理を行います。イベントコリレーション処理には以下があります。
新規にイベントを発生します。
関連付けされた複数のイベントのうち、最後に発生したイベントを通知します。(監視条件に一致した場合だけ)
未対処のイベントを[対処済]に変更します。(運用管理サーバの場合だけ)
1個のイベントが、複数のイベントコリレーションの監視条件を成立する/しないを確定させる場合があります。その場合に、各条件に定義されているイベントコリレーション処理は、以下のように実行されます。
以下のどちらかの方法で実行されます。
イベントコリレーション監視の条件定義一覧の上位に設定されているイベントコリレーション処理だけを実行します。
イベントコリレーションの監視条件が成立または不成立の場合に必ず通知します。つまり、複数のイベントコリレーションの監視条件を成立させた/成立させなかった場合、その各行に定義されたイベントコリレーション処理をすべて実行します。
複数のイベントコリレーションの監視条件を成立させた/成立させなかった場合でも、通知するイベントは1件だけです。通知するイベントの属性は選択した実行方法で以下のように変わります。
イベントコリレーション監視の条件定義一覧の上位に設定されているイベントコリレーション処理のイベントの属性が設定されます。
イベントコリレーション処理で通知するイベントの属性は、以下のように設定されます。
一番高い重要度が定義されているイベントコリレーション処理のイベントの属性が、最後に発生したイベントの属性に設定されます。
重要度の高い順は、以下のとおりです。
(高い) 最重要 > 重要 > 警告 > 通知 > 一般 (低い)
イベントコリレーション監視の条件定義一覧の上位に定義されているコリレーション処理のイベントの属性が、最後に発生したイベントの属性に設定されます。
イベントコリレーションの監視条件に一致したすべての定義行の処理を実行します。
イベントコリレーション処理で通知するイベントに対して以下の属性を設定できます。
|
項目 |
設定内容 |
|
[上位システムに送信] |
上位システムに送信するかを設定します。 |
|
[ログ格納] |
ログ採取を行うかを設定します。 |
|
[監視イベント種別] |
イベントの監視イベント種別を設定します。 |
|
[重要度] |
イベントの重要度を設定します。 |
|
[文字色] |
メッセージ一覧に表示する文字色を設定します。 |
|
[背景色] |
メッセージ一覧に表示する背景色を設定します。 |
|
[通報番号] |
イベントに設定する通報番号を設定します。 |
各項目の詳細は、イベント監視の条件定義の[イベント定義/アクション定義]-[通知/実行アクション]と同じです。“Systemwalker Centric Manager 使用手引書 監視機能編”の“[Systemwalkerコンソール]にメッセージを通知する”を参照してください。
イベントコリレーションの監視中に特定のイベントが発生した場合、監視中の情報をリセットし最初から監視できます。監視のリセットを行った場合、イベントコリレーション処理は実行されません。
イベントコリレーションの監視対象としたくないイベントを指定できます。
イベントコリレーションの対象となるイベントは、メッセージ変換された後のイベントです。
イベントコリレーション処理で発生したイベントに対しては、以下の処理は行われません。
なお、監視を抑止しているノードから通知されたイベントが、イベントコリレーション監視の条件定義に一致した場合は、[イベントの扱い]に設定した定義に従ってイベントを処理しますが、イベントコリレーションの対象にはなりません。
|
目次
索引
|