類似イベント/大量イベントを抑止するしくみについて説明します。
類似イベント抑止
メッセージの一部だけが異なるような類似イベントが多発した場合に、ある一定時期以降の類似イベントを抑止します。
大量イベント抑止
メッセージの内容とは無関係に、ある一定時間内に大量に発生したイベントも抑止できます。
どちらも、イベントの多発/大量発生の状態が収束した場合に、抑止が解除されます。
類似イベント/大量イベントかどうかを判断する対象は、同一イベントを抑止する機能で抑止されなかったイベントです。
また、メッセージ変換定義によってメッセージの内容が編集されている場合は、変換後のメッセージの内容で類似イベント/大量イベントかどうかを判断します。
類似と判定する条件
メッセージの先頭からある一定の長さまでが全く同じである場合に類似イベントと判断します。同じかどうかを判断する文字数は変更できます。文字数を0と指定した場合、すべてのメッセージが類似イベントと判断されます。メッセージの内容によらず、大量に発生したイベントを抑止するときは文字数を0と指定します。
標準では、同じシステムから発生したイベントに対して、類似かどうかを判断しますが、別のシステムから発生したイベントに対して、類似イベントかどうかを判断させることもできます。
また、類似と判断させたくないイベントを指定することもできます。
監視を抑止する機能を使用している場合、監視抑止の設定を変更する前に発生したイベントと、変更した後に発生したイベントは、メッセージの先頭からある一定の長さまでが全く同じである場合でも、類似イベントとして扱いません。
抑止を開始する条件
抑止を開始する条件には、「連続発生件数による判定」と「発生頻度による判定」の2種類の判定方式があります。
連続発生件数による判定
以下の3つの条件すべてに一致した場合に抑止を開始します。
類似メッセージが一定の間隔以内で発生し続ける場合。
2つのメッセージが、一定の時間間隔以内に発生し続けた場合に条件に一致したと判断します。
該当類似メッセージの発生間に異なる類似メッセージが100種類以上発生しない場合。
類似メッセージかどうかを判断するのは、最新100個のメッセージに対してです。あるメッセージが発生した場合に、そのメッセージと類似のメッセージが過去に発生してから現在までに100種類以上の異なるメッセージが発生していた場合は、今回発生したメッセージは類似メッセージと判断されません。
1.および2.を満たす状態で、該当類似メッセージがある一定数以上発生した場合。
類似メッセージの発生件数が、抑止を開始するまでの最低発生件数を超した場合に条件に一致したと判断します。
以下は最低発生件数が10回の場合の例です。
発生頻度による判定
以下の3つの条件すべてに一致した場合に抑止を開始します。
類似メッセージがある一定の時間内に複数発生した場合。
2つ以上のメッセージが、頻度判定時間内に発生した場合に条件に一致したと判断します。
1.を満たす該当類似メッセージの各メッセージの発生間に異なる類似メッセージが100種類以上発生しない場合。
類似メッセージかどうかを判断するのは、最新100個のメッセージに対してです。あるメッセージが発生した場合に、そのメッセージと類似のメッセージが過去に発生してから現在までに100種類以上の異なるメッセージが発生していた場合は、今回発生したメッセージは類似メッセージと判断されません。
1.を満たす該当類似メッセージの件数がある一定数以上の場合。
類似メッセージの発生件数が、抑止を開始するまでの最低発生件数を超えた場合に条件に一致したと判断します。
以下は頻度判定時間が20秒、最低発生件数が10回の場合の例です。
抑止した場合の動作
抑止されたメッセージは、Systemwalkerコンソールの監視イベント一覧および[メッセージ一覧]に表示されません。
抑止開始時には抑止したイベントを通知します。
抑止解除時の動作
類似イベント/大量イベントの抑止は、該当メッセージの発生間隔が一定時間よりも長くなった場合に解除されます。抑止解除されたイベントは、Systemwalkerコンソールで監視できます。また、抑止解除時に抑止したイベントの数が通知されます。
なお、抑止解除はイベントの受信時刻で判定します。
類似イベント抑止の例
監視間隔=30秒、発生件数=10件、抑止解除時間=120秒の場合、以下のようにメッセージが抑止されます。
