類似イベント/大量イベントを抑止するしくみについて説明します。

• 類似イベント抑止

  メッセージの一部だけが異なるような類似イベントが多発した場合に、ある一定時期以降の類似イベントを抑止します。

• 大量イベント抑止

  メッセージの内容とは無関係に、ある一定時間内に大量に発生したイベントも抑止できます。

どちらも、発生頻度が低くなった場合に、抑止が解除されます。

類似イベント/大量イベントかどうかを判断する対象は、同一イベントを抑止する機能で抑止されなかったイベントです。

また、メッセージ変換定義によってメッセージの内容が編集されている場合は、変換後のメッセージの内容で類似イベント/大量イベントかどうかを判断します。

メッセージの先頭からある一定の長さまでが全く同じである場合に類似イベントと判断します。同じかどうかを判断する文字数は変更できます。文字数を0と指定した場合、すべてのメッセージが類似イベントと判断されます。メッセージの内容によらず、大量に発生したイベントを抑止するときは文字数を0と指定します。

標準では、同じシステムから発生したイベントに対して、類似かどうかを判断しますが、別のシステムから発生したイベントに対して、類似イベントかどうかを判断させることもできます。

また、類似と判断させたくないイベントを指定することもできます。

監視を抑止する機能を使用している場合、監視抑止の設定を変更する前に発生したイベントと、変更した後に発生したイベントは、メッセージの先頭からある一定の長さまでが全く同じである場合でも、類似イベントとして扱いません。

以下の3つの条件すべてに一致した場合に抑止を開始します。

1. 類似メッセージが一定の間隔以内で発生し続ける場合。

   2つのメッセージが、一定の時間間隔以内に発生し続けた場合に条件に一致したと判断します。

2. 該当類似メッセージの発生間に異なる類似メッセージが100種類以上発生しない場合。

   類似メッセージかどうかを判断するのは、最新100個のメッセージに対してです。あるメッセージが発生した場合に、そのメッセージと類似のメッセージが過去に発生してから現在までに100種類以上の異なるメッセージが発生していた場合は、今回発生したメッセージは類似メッセージと判断されません。

3. 1.および2.を満たす状態で、該当類似メッセージがある一定数以上発生した場合。

   類似メッセージの発生件数が、抑止を開始するまでの最低発生件数を超した場合に条件に一致したと判断します。

   以下は最低発生件数が10回の場合の例です。

   

抑止されたメッセージは、[Systemwalkerコンソール]の[監視イベント一覧]および[メッセージ一覧]に表示されません。

抑止開始時には抑止したイベントを通知します。

類似イベント/大量イベントの抑止は、該当メッセージの発生間隔が一定時間よりも長くなった場合に解除されます。抑止解除されたイベントは、[Systemwalkerコンソール]で監視できます。また、抑止解除時に抑止したイベントの数が通知されます。

なお、抑止解除はイベントの受信時刻で判定します。

類似イベント抑止の例

監視間隔=30秒、発生件数=10件、抑止解除時間=120秒の場合、以下のようにメッセージが抑止されます。