第2章 イベントを集約して監視するしくみ
2.2 複数イベントをまとめるしくみ
複数のイベントをまとめて監視することをイベントコリレーションといいます。ここでは、イベントコリレーションのしくみについて説明しま す。
複数のイベントの監視方法
複数のイベントをまとめて監視する方法には以下の2つがあります。
・ イベントを関連付けて監視する
監視する条件に指定した関連性に従って、一定時間内に複数の異なるイベントが発生しているかを監視します。
・ 発生回数を監視する
監視する条件に指定した時間内に発生したイベントの回数を監視します。また、監視する条件に指定した時間内に発生したイベ ントの回数を通知することもできます。
上記の監視する条件を定義したものを、イベントコリレーションパターンといいます。イベントコリレーションパターンには以下の種類が あります。
・ イベントAが発生後、nn秒以内にイベントBが発生した
・ イベントAが発生後、nn秒以内にイベントBまたはイベントCまたは…が発生した
・ イベントAが発生後、nn秒以内にイベントBかつイベントCかつ…が発生した
・ イベントAが発生後、nn秒以内にイベントBかつイベントCかつ…が登録順に発生した
・ イベントAが発生前、nn秒以内にイベントBが発生した
・ イベントAが発生前、nn秒以内にイベントBまたはイベントCまたは…が発生した
イベントコリレーション監視では、コリレーションパターンをさらに組み合わせて監視できます。コリレーションパターンは、“かつ”、また は、“または”を使用して組み合わせます。
イベントの関連性
複数のイベントは“かつ”、“または”、または“登録順”で関連付けされます。
・ “かつ”を使用して関連付けされた場合
指定した複数のイベントがすべて発生した場合に、「条件に一致した」と判断します。
・ “または”を使用して関連付けされた場合
指定した複数のイベントのどれかが発生した場合に、「条件に一致した」と判断します。
・ “登録順”を使用して関連付けされた場合
指定した複数のイベントがすべて登録順に発生した場合に、「条件に一致した」と判断します。
イベントコリレーションでは、関連付けの基準となるイベントを“基準イベント”、“基準イベント”に関連付けるイベントを“関連イベント”と 呼びます。
イベントコリレーションの監視条件の判定方法
指定時間内に関連付けされた複数のイベントが発生したかどうかで条件に一致したかを判断します。指定時間内に条件に指定したイ ベントが発生した場合、条件に一致したと判断します。
複数のイベントコリレーションパターンを組み合わせたものを1つのイベントコリレーションの監視条件として監視する場合は、以下のよ うに判断します。
イベントコリレーションパターンを“または”を使用して組み合わせた場合
・ 複数のイベントコリレーションパターンのどれかを満たすようにイベントが発生した場合、イベントコリレーションの監視条件に一致 したと判断します。
・ 複数のイベントコリレーションパターンのどれも満たされなかった場合、イベントコリレーションの監視条件に一致しなかったと判断 します。
イベントコリレーションパターンを“かつ”を使用して組み合わせた場合
・ 指定時間内に、すべてのイベントコリレーションパターンを満たすようにメッセージが発生した場合、イベントコリレーションの監視 条件に一致したと判断します。
・ 複数のイベントコリレーションパターンのどれかが満たされなかった場合、イベントコリレーションの監視条件に一致しなかったと判 断します。
・ 複数のイベントコリレーションパターンのどれかが最初に満たされてから、指定時間内に他のイベントコリレーションパターンが満た されなかった場合、イベントコリレーションの監視条件に一致しなかったと判断します。
ポイント
発生したイベントは、イベントコリレーション監視の条件定義に設定されている定義の上から順番にすべての定義行と比較されます。
詳細は、“発生イベントと定義の比較のしかた”を参照してください。
時間の判定方法
イベントコリレーションの監視において、扱う時刻情報は以下のとおりです。
監視開始時刻
基準イベント発生から監視を終了するまでの時間を監視するときは、イベントコリレーション機能が基準イベントを受信(処理)した時刻 が監視開始時刻です。
イベントの発生間隔と監視間隔との比較
・ イベントコリレーションパターン内の全関連イベントの[ホスト名の特定]に[基準イベントと同じホスト]が設定されている場合は、イベ ントの発生時刻を比較します。
・ イベントコリレーションパターン内の全イベントの[ホスト名の特定]に[自システム]が設定されている場合は、イベントの発生時刻を 比較します。
・ 上記以外の場合は、イベントコリレーション機能がイベントを受信(処理)した時間で比較します。
監視の定義方法とイベントの発生方法により、以下のような動作になります。
同じシステムで発生したイベントを監視する場合
基準イベントであるイベントA発生後、監視間隔内にイベントB、かつイベントCが発生した場合を例に説明します。
イベントB、イベントCの[ホスト名の特定]が[基準イベントと同じホスト]の場合 イベントを受信した時点で、イベントの発生時刻を比較します。
・ イベントA受信から監視間隔経過までにすべてのイベントを受信した場合(図の(1)までにすべてのイベントを受信)
イベントを受信した時点で、イベントの発生時刻を比較します。イベントAの発生時刻とイベントB、イベントCの発生時刻の差が監 視間隔内であれば条件は成立、監視間隔を超えている場合は、条件は不成立となります。
・ 関連イベントの受信が遅れた場合 (イベントCの受信が図の(2)の時間の場合)
運用管理サーバでイベントAを受信してから監視間隔が経過した時点(図の(1))でイベントコリレーションの監視条件が不成立とな るため、イベントCは監視対象外になります。
イベントB、イベントCの[ホスト名の特定]が[基準イベントと同じホスト]以外の場合
・ イベントA受信から監視間隔経過までにすべてのイベントを受信した場合(図の(1)までにすべてのイベントを受信)
イベントの時刻の判定は受信時刻で行うため、イベントコリレーションの条件は成立します。
・ イベントA受信から監視間隔経過までにすべてのイベントを受信しなかった場合(イベントCの受信が図の(2)の時間の場合) 運用管理サーバでイベントAを受信してから監視間隔が経過した時点(図の(1))でイベントコリレーションの監視条件が不成立とな るため、イベントCは監視対象外になります。
異なるシステムで発生したイベントを監視する場合
イベントA発生後、監視間隔内にイベントB、およびイベントCが登録順に発生した場合を例に説明します。
・ イベントA、イベントB、イベントCの順で運用管理サーバに到着した場合(イベントBの受信位置は図の(1))
イベントの時刻の判定は受信時刻で行います。イベントA発生からイベントC受信までの時間が監視間隔内であれば条件が成立 します。
・ イベントA、イベントC、イベントBの順で運用管理サーバに到着した場合(イベントBの受信位置は図の(2)) イベントCを受信した時点で登録順に発生していないと判断するため、条件は不成立になります。
この例の場合、イベントAと同じシステムから発生するイベントBについて、[ホスト名の特定]で[基準イベントと同じホスト]と設定され ていても、イベントCに対しては[基準イベントと同じホスト]と設定されていないため、イベントの時刻の比較は受信時刻で行いま す。
イベントが一斉に通知された場合
下位サーバのSystemwalker Centric Managerが停止中に発生したイベントが起動後に一斉に運用管理サーバに送信された場合や、
メール連携でイベントが通知された場合など、イベントを一斉に受信した場合は、以下の動作になります。
イベントA発生後、監視間隔内にイベントB、およびイベントCが発生した場合を例に説明します。
・ イベントB、イベントCの[ホスト名の特定]が[基準イベントと同じホスト]の場合 イベントの時刻の判定は、イベントの発生時刻で行います。
イベントBの発生時刻はイベントAが発生してから監視間隔を経過した後であるため、イベントBを受信した時点で条件は不成立に なります。
・ イベントB、イベントCの[ホスト名の特定]が[基準イベントと同じホスト]以外の場合 イベントの時刻の判定は、イベントの受信時刻で行います。
イベントAを受信してからイベントCを受信するまで監視間隔内であるため、条件は成立します。
発生日付/日時がないイベントの時間の比較
グローバルサーバで発生したイベントで、発生日付がない、または、発生日時がないものをイベントコリレーションの監視条件として指 定した場合、時間の比較は、イベントコリレーション機能がイベントを受信(処理)した時間で行います。
イベントコリレーションの監視条件に一致した場合の動作
発生した複数のイベントの関連性や発生間隔がイベントコリレーションの監視条件に一致した場合、および監視条件に一致しなかっ た場合に、指定されたイベントコリレーション処理を行います。イベントコリレーション処理には以下があります。
・ 新規イベントを通知
新規にイベントを発生します。
・ 最後のイベントを通知
関連付けされた複数のイベントのうち、最後に発生したイベントを通知します。(監視条件に一致した場合だけ)
・ 対処済にする
未対処のイベントを[対処済]に変更します。(運用管理サーバの場合だけ)