複数の異なるイベントを関連付けて監視する運用を以下の形態ごとに説明します。設定手順等の詳細については、“運用形態1:事象が発生したら処理/対処を行う(複数イベントをまとめて監視)”以降を参照してください。
はじめに:事象が発生したら新規イベントで通知(複数イベントをまとめて監視)
イベントコリレーション機能の代表的な運用形態を説明します。ある事象が発生した場合に、別のメッセージで通知する運用形態です。
運用内容
CPU使用率を監視し、50%超えるとwarning/70%超えるとerror メッセージを出力 |
監視要件
5分以内にwarningメッセージが3回以上発生したら異常とする |
新規メッセージで異常を通知する |
運用形態1:事象が発生したら処理/対処を行う(複数イベントをまとめて監視)
ある事象が発生した場合に、プロセスを停止し再起動を行う運用形態を説明します。
運用内容
受付プロセス、処理プロセス、結果通知プロセス、印刷処理プロセスを監視 |
監視要件
どれかのプロセスが異常停止したら、自動的に全プロセスを停止し再起動する |
全プロセスの起動メッセージを確認する |
運用形態2:通知されるメッセージをわかりやすく変換(メッセージの内容を編集)
OSなどの英語メッセージを日本語メッセージで通知する運用形態を説明します。
運用内容
GS(MSP)から通知されるメッセージを監視 |
監視要件
重要メッセージが通知される |
重要メッセージ内のホスト名を追加して日本語メッセージで通知する |
運用形態3:類似メッセージを抑止(類似/大量イベントを抑止)
複数の類似メッセージを最初の1つだけ通知する運用形態を説明します。
運用内容
メッセージを監視 |
監視要件
メッセージが発生し、その後先頭から半角文字で30文字が一致するメッセージが60秒以内に発生する |
最初の1メッセージのみ通知する |
運用形態4:対応中のネットワーク異常メッセージは1つだけ通知(類似/大量イベントを抑止)
ネットワーク異常を調査している間に発生するメッセージを最初の1つだけ通知する運用形態を説明します。
運用内容
ネットワーク異常のメッセージを監視 |
監視要件
ネットワーク異常のメッセージが発生する |
その他のネットワーク異常のメッセージは通知せず、1つのメッセージだけ通知する |
運用形態5:大量メッセージを抑止(類似/大量イベントを抑止)
複数の大量イベントが発生したとき、最初の300件だけ通知する運用形態を説明します。
運用内容
メッセージを監視 |
監視要件
異なる内容のメッセージが60秒以内に発生する |
最初の300メッセージのみ通知する |
イベントコリレーション定義を行うサーバ
イベントコリレーション機能を使用する場合、運用形態やネットワーク負荷を考慮して、イベントコリレーション定義を行うサーバを決める必要があります。
第2章以降で説明する運用形態では、運用管理サーバでイベントコリレーション定義を行っています。
ポイント
部門管理サーバや業務サーバでイベントコリレーション定義を行うことにより、上位サーバに通知するイベントが集約され、ネットワーク負荷を軽減することができます。
第2章以降で説明する運用形態の運用イメージを以下に示します。
