イベントを抑止するしくみ

イベントを抑止する方法には以下の3つがあります。

・ 同一イベントを抑止するしくみ

・ 類似イベント/大量イベントを抑止するしくみ

・ 未対処イベントを抑止するしくみ

2.3.1 同一イベントを抑止するしくみ

一定時間内に、全く同じ内容のイベントが複数発生した場合に、2つ目以降のイベントを抑止します。

同一イベントかを判断する対象は、イベントコリレーション機能で破棄されなかったイベントです。以下のイベントです。

・ イベントコリレーション監視の監視対象外と指定したイベント

・ イベントコリレーションで監視するイベントの定義において、[イベントの扱い]に[監視する]を設定したイベント

・ 「イベントコリレーション監視の条件定義」のすべての行と一致しなかったイベント

また、メッセージ変換定義によってメッセージの内容が編集されている場合は、変換後のメッセージで同一イベントかを判断します。

同一と判定する条件

以下の2つの条件に一致した場合に同一イベントであると判断します。

・ イベントの発生元システムが同じ場合

・ メッセージの内容が同じである場合

監視を抑止する機能を使用している場合、監視抑止の設定を変更する前に発生したイベントと、変更した後に発生したイベントは、上 記の条件を満たしている場合でも、同一イベントとして扱いません。抑止時間が60秒の場合の例を以下に示します。

抑止する条件

あるイベントが発生した場合、同一イベントが直前に発生した時刻からの経過時間が、抑止時間以内の場合に抑止対象と判断しま す。

メッセージ抑止機能では一定時間（初期値:60秒）内に発生した100種類までのメッセージについて抑止を行います。一定時間内に100 種類を超えてメッセージが発生した場合は、最新の100種類のメッセージについてメッセージを抑止します。

抑止した場合の動作

抑止されたイベントは、[Systemwalkerコンソール]の[監視イベント一覧]および[メッセージ一覧]に表示されません。

抑止解除時の動作

同一イベントの発生間隔が抑止時間以上になった場合に、イベントの抑止が解除されます。抑止解除は、イベントの受信時間で判定 します。抑止解除されたイベントは、[Systemwalkerコンソール]で監視できます。また、抑止解除時に、抑止したイベントの数がイベント ログ/シスログに通知されます。

2.3.2 類似イベント/大量イベントを抑止するしくみ

類似イベント/大量イベントを抑止するしくみについて説明します。

・ 類似イベント抑止

メッセージの一部だけが異なるような類似イベントが多発した場合に、ある一定時期以降の類似イベントを抑止します。

・ 大量イベント抑止

メッセージの内容とは無関係に、ある一定時間内に大量に発生したイベントも抑止できます。

どちらも、発生頻度が低くなった場合に、抑止が解除されます。

類似イベント/大量イベントかどうかを判断する対象は、同一イベントを抑止する機能で抑止されなかったイベントです。

また、メッセージ変換定義によってメッセージの内容が編集されている場合は、変換後のメッセージの内容で類似イベント/大量イベン トかどうかを判断します。

類似と判定する条件

メッセージの先頭からある一定の長さまでが全く同じである場合に類似イベントと判断します。同じかどうかを判断する文字数は変更で きます。文字数を0と指定した場合、すべてのメッセージが類似イベントと判断されます。メッセージの内容によらず、大量に発生したイ ベントを抑止するときは文字数を0と指定します。

標準では、同じシステムから発生したイベントに対して、類似かどうかを判断しますが、別のシステムから発生したイベントに対して、類 似イベントかどうかを判断させることもできます。

また、類似と判断させたくないイベントを指定することもできます。

監視を抑止する機能を使用している場合、監視抑止の設定を変更する前に発生したイベントと、変更した後に発生したイベントは、メッ セージの先頭からある一定の長さまでが全く同じである場合でも、類似イベントとして扱いません。

抑止を開始する条件

以下の3つの条件すべてに一致した場合に抑止を開始します。

1. 類似メッセージが一定の間隔以内で発生し続ける場合。

2つのメッセージが、一定の時間間隔以内に発生し続けた場合に条件に一致したと判断します。

2. 該当類似メッセージの発生間に異なる類似メッセージが100種類以上発生しない場合。

類似メッセージかどうかを判断するのは、最新100個のメッセージに対してです。あるメッセージが発生した場合に、そのメッセー ジと類似のメッセージが過去に発生してから現在までに100種類以上の異なるメッセージが発生していた場合は、今回発生した メッセージは類似メッセージと判断されません。

3. 1.および2.を満たす状態で、該当類似メッセージがある一定数以上発生した場合。

類似メッセージの発生件数が、抑止を開始するまでの最低発生件数を超した場合に条件に一致したと判断します。

以下は最低発生件数が10回の場合の例です。

抑止した場合の動作

抑止されたメッセージは、[Systemwalkerコンソール]の[監視イベント一覧]および[メッセージ一覧]に表示されません。

抑止開始時には抑止したイベントを通知します。

抑止解除時の動作

類似イベント/大量イベントの抑止は、該当メッセージの発生間隔が一定時間よりも長くなった場合に解除されます。抑止解除されたイ ベントは、[Systemwalkerコンソール]で監視できます。また、抑止解除時に抑止したイベントの数が通知されます。

なお、抑止解除はイベントの受信時刻で判定します。

類似イベント抑止の例

監視間隔=30秒、発生件数=10件、抑止解除時間=120秒の場合、以下のようにメッセージが抑止されます。

2.3.3 未対処イベントを抑止するしくみ

複数のイベントをある条件ごとに分類してグループ化することができます。このグループのことをイベントグループといいます。

未対処イベント抑止機能は、あるイベントが発生した場合、そのイベントと同じイベントグループに属するイベントが既に通知されてお り、かつ、[未対処]の状態である場合に抑止します。[未対処]のイベントが表示されていない場合は、最初の1個は表示されます。

イベント監視の条件定義において、以下のように定義したイベントが、同じイベントグループに属するかを判断する対象になります。

・ [ログ格納]を[する]と設定する

・ [重要度]が[一般]以外である

また、メッセージ変換定義によってメッセージの内容が編集されている場合は、編集後のメッセージで同じイベントグループに属するか を判断します。

同じイベントグループと判断する条件

発生したイベントが以下の2つの条件に一致した場合に、同じイベントグループに属するイベントであると判断します。

・ イベントの発生元ホストが同じ場合(注)

・ イベントのイベントグループ名が同じである場合

注)発生元ホストが同じとする条件として、以下の単位で指定可能です。

－ ホスト名

－ 自部門のシステム

－ 他部門のシステム

－ すべてのシステム(ホスト名を見ない)

抑止する条件

発生したイベントが以下の2つの条件に一致した場合に抑止されます。

・ 同じイベントグループと判断されたイベントが、監視イベントログに格納されている場合

・ 監視イベントログに格納されている同じイベントグループに属するイベントが[未対処]の状態の場合

抑止した場合の動作

抑止されたメッセージは、[Systemwalkerコンソール]の[監視イベント一覧]に表示されません。

抑止解除時の動作

未対処イベントを[対処済]に変更した場合、それ以降に発生する同じイベントグループのイベントは抑止されません。

以下のイベントは、本抑止機能の対象外です。

・ 返答要求メッセージ

返答要求メッセージの詳細は、“Systemwalker Centric Manager 解説書”の“メッセージ返答要求・返答操作【Solaris版/Linux版】”を参 照してください。