システム上で発生するメッセージの集中監視では、必要なメッセージ、および重要なメッセージだけを通知し、不要なメッセージは抑止する監視方法を推奨します。しかし、イベント監視の条件定義の最適化は監視対象ごとに異なるため、すべてのメッセージを把握する完全な監視はできません。
あらかじめメッセージを調査し、監視するメッセージ、および監視しないメッセージの選定を行ってください。
以下の監視方法のポイントを組み合わせることによって、イベント監視の条件定義の方法を決定します。
A:監視するメッセージ
調査した結果、監視を必要と判断したメッセージ
B:監視しないメッセージ
調査した結果、監視する必要がないと判断したメッセージ
C:未知のメッセージ
調査後の把握していないメッセージ
イベント監視の条件定義の考え方として、以下の2つがあります。それぞれの利点、および欠点を考慮した上で、どちらかの方法を選択してください。
A(監視するメッセージ)とC(未知のメッセージ)を監視する場合
イベント監視の条件定義から外れたメッセージも含め、すべてのメッセージを監視する場合の特長は以下のとおりです。
利点
重要なメッセージの見落としがありません。
欠点
イベント監視条件の定義から外れたメッセージが順次通知されるため、その都度調査、対処作業を行う可能性があります。
Systemwalker Centric Managerの監視イベント一覧へ表示されるメッセージ数が膨大になり、監視作業が煩雑になる可能性があります。
A(監視するメッセージ)だけを監視する場合
既知のメッセージだけを監視する場合の特長は以下のとおりです。
利点
Systemwalker Centric Managerの監視イベント一覧へ表示されるメッセージ数を絞り込んでいるため、監視作業が容易になります。
欠点
監視対象から外れた未知のメッセージに、重要なメッセージが含まれている可能性があります。
初期設定で監視する場合
Systemwalker Centric Managerの初期設定では、以下の条件で監視イベント一覧に表示されています。
イベントログに出力されるメッセージ
エラー種類が“エラー”、“警告”、“失敗の監査”、または“なし”のイベント
※:エラー種類が“なし”のイベントは、Systemwalker Centric Manager V12.0L10/12.0以降から表示されません。
syslogに出力されるメッセージ(Systemwalker Centric Managerのメッセージ形式の場合)
priorityが“warning”以上で、エラー種別が“INFO”、“Information”、または“情報”以外のメッセージ
syslogに出力されるメッセージ(Systemwalker Centric Managerのメッセージ形式以外の場合)
priorityが“warning”以上のメッセージ
上記の初期条件で監視するにあたり弊害があります。
たとえば、SafeCLUSTER(Windows)、PRIMECLUSTER Clustering Base(Solaris、Linux)では、以下のような弊害があります。
SafeCLUSTERでフェールオーバが発生した場合(イベントログに出力されるメッセージ)
PRIMECLUSTER Clustering Baseでフェールオーバが発生した場合(syslogに出力されるメッセージ)
Systemwalker Centric Managerのメッセージ形式以外の場合
SafeCLUSTERでフェールオーバが発生した場合(イベントログに出力されるメッセージ)
SafeCLUSTERからエラー種別が、“情報”(イベントログに出力されるメッセージ)のイベントが出力されます。
エラー種別が“情報”のため、Systemwalker Centric Managerの監視イベント一覧には表示されません。
PRIMECLUSTER Clustering Baseでフェールオーバが発生した場合(syslogに出力されるメッセージ)
PRIMECLUSTER Clustering Baseからpriorityが“notice”(syslogに出力されるメッセージ)のメッセージが出力されます。
priorityが“notice”のため、Systemwalker Centric Managerの監視イベント一覧には表示されません。
クラスタソフトとしてフェールオーバを開始することは、正常な動作ですが、運用管理者の視点からすると、運用中のサーバになんらかの障害が発生し、早急に対応をする必要がある、という極めて重要なメッセージとなります。
この場合、エラー種別が“情報”(イベントログに出力されるメッセージ)、およびpriorityが“notice”(syslogに出力されるメッセージ)のメッセージも監視する必要があります。
注意
priorityが“notice”(syslogに出力されるメッセージ)のメッセージを監視する場合(UNIX)
priorityが“notice”のメッセージを監視する場合、syslog.confまたはrsyslog.confを変更する必要があります。
priorityが“notice”のメッセージを監視した場合、ほかのソフトウェアの膨大な量のメッセージもすべて監視してしまうため、重要メッセージの処理ができず、業務システムに影響を及ぼす可能性があります。priorityが“notice”(syslogに出力されるメッセージ)のメッセージを監視する場合は、監視する必要がないメッセージを監視対象からはずす必要があります。
Systemwalker Centric Managerのメッセージ形式以外の場合(UNIX)
他製品では、Systemwalker Centric Managerのメッセージ形式以外のメッセージを出力している場合があります。それらのメッセージは以下のように通知されます。
priorityが“warning”以上のsyslogに出力されるメッセージは、すべてSystemwalker Centric Managerのログに格納されます。
syslogに出力されるメッセージは、重要度がすべて“重要”としてSystemwalker Centric Managerの監視イベント一覧に表示されます。
上記の条件で監視しているため、以下のような弊害があります。
重要度が“警告”レベルの場合でも、“重要”と通知されてしまうため、重要度を区別することができません。
重要度が“一般”レベルの場合でも、“重要”と通知されてしまうため、問題があるように見えてしまいます。
この場合、イベント監視の条件定義で重要度を補正する必要があります。
