複数のイベントをまとめて監視することをイベントコリレーションといいます。ここでは、イベントコリレーションのしくみについて説明します。
複数のイベントの監視方法
複数のイベントをまとめて監視する方法には以下の2つがあります。
イベントを関連付けて監視する
監視する条件に指定した関連性に従って、一定時間内に複数の異なるイベントが発生しているかを監視します。
発生回数を監視する
監視する条件に指定した時間内に発生したイベントの回数を監視します。また、監視する条件に指定した時間内に発生したイベントの回数を通知することもできます。
上記の監視する条件を定義したものを、イベントコリレーションパターンといいます。イベントコリレーションパターンには以下の種類があります。
イベントAが発生後、nn秒以内にイベントBが発生した
イベントAが発生後、nn秒以内にイベントBまたはイベントCまたは…が発生した
イベントAが発生後、nn秒以内にイベントBかつイベントCかつ…が発生した
イベントAが発生後、nn秒以内にイベントBかつイベントCかつ…が登録順に発生した
イベントAが発生前、nn秒以内にイベントBが発生した
イベントAが発生前、nn秒以内にイベントBまたはイベントCまたは…が発生した
イベントAが発生前、nn秒以内にイベントBかつイベントCかつ…が発生した
イベントAが発生前、nn秒以内にイベントBかつイベントCかつ…が登録順に発生した
イベントAがnn秒以内にmm回発生した
イベントAが発生後、nn秒以内にイベントBがmm回発生した
また、発生したイベントの件数を通知することもできます。
イベントAがnn秒以内に何回発生したかを通知
各イベントコリレーションパターンでの監視方法については、“イベントコリレーションパターンごとの動作”を参照してください。
イベントコリレーション監視では、コリレーションパターンをさらに組み合わせて監視できます。コリレーションパターンは、“かつ”、または、“または”を使用して組み合わせます。
イベントの関連性
複数のイベントは“かつ”、“または”、または“登録順”で関連付けされます。
“かつ”を使用して関連付けされた場合
指定した複数のイベントがすべて発生した場合に、「条件に一致した」と判断します。
“または”を使用して関連付けされた場合
指定した複数のイベントのどれかが発生した場合に、「条件に一致した」と判断します。
“登録順”を使用して関連付けされた場合
指定した複数のイベントがすべて登録順に発生した場合に、「条件に一致した」と判断します。
イベントコリレーションでは、関連付けの基準となるイベントを“基準イベント”、“基準イベント”に関連付けるイベントを“関連イベント”と呼びます。
イベントコリレーションの監視条件の判定方法
指定時間内に関連付けされた複数のイベントが発生したかどうかで条件に一致したかを判断します。指定時間内に条件に指定したイベントが発生した場合、条件に一致したと判断します。
複数のイベントコリレーションパターンを組み合わせたものを1つのイベントコリレーションの監視条件として監視する場合は、以下のように判断します。
イベントコリレーションパターンを“または”を使用して組み合わせた場合
複数のイベントコリレーションパターンのどれかを満たすようにイベントが発生した場合、イベントコリレーションの監視条件に一致したと判断します。
複数のイベントコリレーションパターンのどれも満たされなかった場合、イベントコリレーションの監視条件に一致しなかったと判断します。
イベントコリレーションパターンを“かつ”を使用して組み合わせた場合
指定時間内に、すべてのイベントコリレーションパターンを満たすようにメッセージが発生した場合、イベントコリレーションの監視条件に一致したと判断します。
複数のイベントコリレーションパターンのどれかが満たされなかった場合、イベントコリレーションの監視条件に一致しなかったと判断します。
複数のイベントコリレーションパターンのどれかが最初に満たされてから、指定時間内に他のイベントコリレーションパターンが満たされなかった場合、イベントコリレーションの監視条件に一致しなかったと判断します。
ポイント
発生したイベントは、イベントコリレーション監視の条件定義に設定されている定義の上から順番にすべての定義行と比較されます。詳細は、“発生イベントと定義の比較のしかた”を参照してください。
時間の判定方法
イベントコリレーションの監視において、扱う時刻情報は以下のとおりです。
監視開始時刻
基準イベント発生から監視を終了するまでの時間を監視するときは、イベントコリレーション機能が基準イベントを受信(処理)した時刻が監視開始時刻です。
イベントの発生間隔と監視間隔との比較
イベントコリレーションパターン内の全関連イベントの[ホスト名の特定]に[基準イベントと同じホスト]が設定されている場合は、イベントの発生時刻を比較します。
イベントコリレーションパターン内の全イベントの[ホスト名の特定]に[自システム]が設定されている場合は、イベントの発生時刻を比較します。
上記以外の場合は、イベントコリレーション機能がイベントを受信(処理)した時間で比較します。
監視の定義方法とイベントの発生方法により、以下のような動作になります。
同じシステムで発生したイベントを監視する場合
基準イベントであるイベントA発生後、監視間隔内にイベントB、かつイベントCが発生した場合を例に説明します。
イベントB、イベントCの[ホスト名の特定]が[基準イベントと同じホスト]の場合
イベントを受信した時点で、イベントの発生時刻を比較します。
イベントA受信から監視間隔経過までにすべてのイベントを受信した場合(図の(1)までにすべてのイベントを受信)
イベントを受信した時点で、イベントの発生時刻を比較します。イベントAの発生時刻とイベントB、イベントCの発生時刻の差が監視間隔内であれば条件は成立、監視間隔を超えている場合は、条件は不成立となります。
関連イベントの受信が遅れた場合 (イベントCの受信が図の(2)の時間の場合)
運用管理サーバでイベントAを受信してから監視間隔が経過した時点(図の(1))でイベントコリレーションの監視条件が不成立となるため、イベントCは監視対象外になります。
イベントB、イベントCの[ホスト名の特定]が[基準イベントと同じホスト]以外の場合
イベントA受信から監視間隔経過までにすべてのイベントを受信した場合(図の(1)までにすべてのイベントを受信)
イベントの時刻の判定は受信時刻で行うため、イベントコリレーションの条件は成立します。
イベントA受信から監視間隔経過までにすべてのイベントを受信しなかった場合(イベントCの受信が図の(2)の時間の場合)
運用管理サーバでイベントAを受信してから監視間隔が経過した時点(図の(1))でイベントコリレーションの監視条件が不成立となるため、イベントCは監視対象外になります。
異なるシステムで発生したイベントを監視する場合
イベントA発生後、監視間隔内にイベントB、およびイベントCが登録順に発生した場合を例に説明します。
イベントA、イベントB、イベントCの順で運用管理サーバに到着した場合(イベントBの受信位置は図の(1))
イベントの時刻の判定は受信時刻で行います。イベントA発生からイベントC受信までの時間が監視間隔内であれば条件が成立します。
イベントA、イベントC、イベントBの順で運用管理サーバに到着した場合(イベントBの受信位置は図の(2))
イベントCを受信した時点で登録順に発生していないと判断するため、条件は不成立になります。
この例の場合、イベントAと同じシステムから発生するイベントBについて、[ホスト名の特定]で[基準イベントと同じホスト]と設定されていても、イベントCに対しては[基準イベントと同じホスト]と設定されていないため、イベントの時刻の比較は受信時刻で行います。
イベントが一斉に通知された場合
下位サーバのSystemwalker Centric Managerが停止中に発生したイベントが起動後に一斉に運用管理サーバに送信された場合や、メール連携でイベントが通知された場合など、イベントを一斉に受信した場合は、以下の動作になります。
イベントA発生後、監視間隔内にイベントB、およびイベントCが発生した場合を例に説明します。
イベントB、イベントCの[ホスト名の特定]が[基準イベントと同じホスト]の場合
イベントの時刻の判定は、イベントの発生時刻で行います。
イベントBの発生時刻はイベントAが発生してから監視間隔を経過した後であるため、イベントBを受信した時点で条件は不成立になります。
イベントB、イベントCの[ホスト名の特定]が[基準イベントと同じホスト]以外の場合
イベントの時刻の判定は、イベントの受信時刻で行います。
イベントAを受信してからイベントCを受信するまで監視間隔内であるため、条件は成立します。
発生日付/日時がないイベントの時間の比較
グローバルサーバで発生したイベントで、発生日付がない、または、発生日時がないものをイベントコリレーションの監視条件として指定した場合、時間の比較は、イベントコリレーション機能がイベントを受信(処理)した時間で行います。
イベントコリレーションの監視条件に一致した場合の動作
発生した複数のイベントの関連性や発生間隔がイベントコリレーションの監視条件に一致した場合、および監視条件に一致しなかった場合に、指定されたイベントコリレーション処理を行います。イベントコリレーション処理には以下があります。
新規イベントを通知
新規にイベントを発生します。
最後のイベントを通知
関連付けされた複数のイベントのうち、最後に発生したイベントを通知します。(監視条件に一致した場合だけ)
対処済にする
未対処のイベントを[対処済]に変更します。(運用管理サーバの場合だけ)
1個のイベントが、複数のイベントコリレーションの監視条件を成立する/しないを確定させる場合があります。その場合に、各条件に定義されているイベントコリレーション処理は、以下のように実行されます。
イベントコリレーション処理で、[通知方法]に[新規イベントを通知]を選択している場合
以下のどちらかの方法で実行されます。
上位優先
イベントコリレーション監視の条件定義一覧の上位に設定されているイベントコリレーション処理だけを実行します。
常時実行
イベントコリレーションの監視条件が成立または不成立の場合に必ず通知します。つまり、複数のイベントコリレーションの監視条件を成立させた/成立させなかった場合、その各行に定義されたイベントコリレーション処理をすべて実行します。
イベントコリレーション処理で、[通知方法]に[最後のイベントを通知]を選択している場合
複数のイベントコリレーションの監視条件を成立させた/成立させなかった場合でも、通知するイベントは1件だけです。通知するイベントの属性は選択した実行方法で以下のように変わります。
上位優先
イベントコリレーション監視の条件定義一覧の上位に設定されているイベントコリレーション処理のイベントの属性が設定されます。
常時実行
イベントコリレーション処理で通知するイベントの属性は、以下のように設定されます。
イベントコリレーションの監視条件に一致した複数の行で、通知するイベントの属性に設定された重要度が異なる場合
一番高い重要度が定義されているイベントコリレーション処理のイベントの属性が、最後に発生したイベントの属性に設定されます。
重要度の高い順は、以下のとおりです。
(高い) 最重要 > 重要 > 警告 > 通知 > 一般 (低い)
イベントコリレーションの監視条件に一致した複数行で、通知するイベントの属性に設定された重要度が同じ場合
イベントコリレーション監視の条件定義一覧の上位に定義されているコリレーション処理のイベントの属性が、最後に発生したイベントの属性に設定されます。
イベントコリレーション処理で、基準イベントに対する[対処処理]に[未対処のイベントを対処済みにする]を選択している場合
イベントコリレーションの監視条件に一致したすべての定義行の処理を実行します。
通知するイベントの属性
イベントコリレーション処理で通知するイベントに対して以下の属性を設定できます。
項目 | 設定内容 |
|---|---|
[上位システムに送信] | 上位システムに送信するかを設定します。 |
[ログ格納] | ログ採取を行うかを設定します。 |
[監視イベント種別] | イベントの監視イベント種別を設定します。 |
[重要度] | イベントの重要度を設定します。 |
[文字色] | メッセージ一覧に表示する文字色を設定します。 |
[背景色] | メッセージ一覧に表示する背景色を設定します。 |
[通報番号] | イベントに設定する通報番号を設定します。 |
各項目の詳細は、イベント監視の条件定義の[イベント定義/アクション定義]-[通知/実行アクション]と同じです。“Systemwalker Centric Manager 使用手引書 監視機能編”の“[Systemwalkerコンソール]にメッセージを通知する”を参照してください。
イベントコリレーションの監視のリセット
イベントコリレーションの監視中に特定のイベントが発生した場合、監視中の情報をリセットし最初から監視できます。監視のリセットを行った場合、イベントコリレーション処理は実行されません。
イベントコリレーション監視対象外のイベント
イベントコリレーションの監視対象としたくないイベントを指定できます。
イベントコリレーションの対象となるイベントは、メッセージ変換された後のイベントです。
イベントコリレーション処理で発生したイベントに対しては、以下の処理は行われません。
メッセージ変換
同一イベント抑止
類似イベント/大量イベント抑止
未対処イベント抑止
なお、監視を抑止しているノードから通知されたイベントが、イベントコリレーション監視の条件定義に一致した場合は、[イベントの扱い]に設定した定義に従ってイベントを処理しますが、イベントコリレーションの対象にはなりません。
