発生したイベントを集約して監視するための、以下の機能の設計方法について説明します。
・ イベントコリレーション
複数の異なるイベントを関連付けて監視します。
・ 同一イベントの抑止
同一、類似、または大量のイベントの出力を抑止します。
・ メッセージ変換
指定された条件に一致するメッセージを、変換ルールに従って別のメッセージに置き換えます。
上記の機能を使用した場合の、メッセージの送信経路は以下のようになります。
3.1 イベントコリレーション
イベントコリレーションを使用したイベント監視の設計を行うために必要な、以下の項目について説明します。
・ イベントコリレーションパターン(イベントの関連付け)
・ イベントコリレーション処理
・ イベントコリレーションの監視条件(イベントコリレーションパターンとイベントコリレーション処理の組み合わせ)
・ イベントコリレーションの監視条件として定義できる最大数
定義方法や使用方法などの詳細については、“設定方法”を参照してください。
・ 基準イベント発生前、nn秒以内に関連イベントが発生
・ 基準イベント発生前、nn秒以内に関連イベント1が発生、または関連イベント2が発生、・・・または関連イベントxが発生
・ 基準イベント発生前、nn秒以内に関連イベント1が発生、かつ関連イベント2が発生、・・・かつ関連イベントxが発生
・ 基準イベント発生前、nn秒以内に関連イベント1、関連イベント2、・・・、関連イベントxが登録順に発生
・ 基準イベントがnn秒以内にmm回発生
・ 基準イベントが発生後、nn秒以内に関連イベントがmm回発生
なお、“かつ”と“または”を、1個の条件内で組み合わせて設定することはできません。
設定できない例)
・ 基準イベント発生後、nn秒以内に関連イベント1、かつ関連イベント2または関連イベント3が発生
イベントコリレーションの処理
発生事象ごとに、対応する処理を決めます。イベントコリレーションの監視で、条件を満たした場合と満たさなかった場合の処理につい て、以下の動作から選択して決めます。
・ 新規にイベントを発生させる
・ 最後に発生したイベントを通知する
・ 基準イベントを対処済にする
イベントコリレーションの監視条件(イベントコリレーションパターンとイベントコリレーション処理の組み合わせ)
イベントコリレーションパターンの組み合わせを定義します。また、イベントコリレーションの監視条件に一致した場合に行うイベントコリ レーション処理を定義します。
イベントコリレーションパターンの組み合わせ例)
・ パターンAのみ(単体条件)
・ パターンA、またはパターンB、またはパターンC
・ パターンA、かつパターンB、かつパターンC
なお、“かつ”と“または”を、1個の条件内で組み合わせて設定することはできません。
設定できない例)
・ パターンA、かつパターンB、またはパターンC
イベントコリレーションの監視条件として定義できる最大数
イベントコリレーションの監視条件として定義できる最大数は以下のようになります。
項目 最大数
イベントコリレーションの監視条件 2048個
イベントコリレーションパターン 2048個
イベントコリレーションの監視条件で組み合わせることのできるコリレーションパ ターンの数
10個 イベントコリレーションパターンに設定できる関連イベントの数 10個
監視間隔 610000秒
(約1週間)
イベント発生回数 9999件
3.2 同一イベントの抑止
一定時間内の同一イベント抑止を行うための設計に必要な、以下の項目について説明します。
・ 抑止の設定
・ 抑止件数通知メッセージの出力
定義方法や使用方法などの詳細については、“設定方法”を参照してください。
抑止の設定
設定できる抑止の条件は以下のとおりです。設定時に、イベントを抑止する抑止時間を設定します。
・ 同一イベント抑止
・ 類似イベント抑止/大量イベント抑止
・ 監視イベント一覧上の未対処イベントの抑止 同一イベント抑止
一定時間内に同一のイベントが複数発生した場合に、2つ目以降のイベントを破棄します。あるイベントが発生した場合、そのイベント が直前に発生した時刻からの経過時間が、抑止時間以内の場合に抑止します。
類似イベント抑止/大量イベント抑止
一定時間内にイベントが多発した場合、一定数発生した後にそれ以降のイベントを抑止ます。
イベントの長さを指定した場合は、指定した長さの文字列が同じである類似イベントだけを抑止します。
監視イベント一覧上の未対処イベントの抑止
[Systemwalkerコンソール]の[監視イベント一覧]に表示されている未対処イベントと同一のイベントを、抑止します。
抑止件数通知メッセージの出力
抑止件数通知メッセージの出力を定義することにより、抑止解除時に抑止件数をメッセージで通知することができます。
3.3 メッセージ変換
メッセージ変換は、コリレーション定義比較の前に実行され、変換した結果が以降の定義との比較対象となります。
メッセージ変換を行うための設計に必要な、以下の項目について説明します。
・ メッセージ変換方法
・ メッセージ変換定義として定義できる最大数
定義方法や使用方法などの詳細については、“設定方法”を参照してください。
メッセージ変換方法
メッセージ変換を行う場合は、メッセージ変換の対象となるメッセージを選出し、変換方法を決めます。
以下のマクロを変換定義に指定できます。
%MSG:元イベントのメッセージテキストを埋め込みます
%HOST:元イベントの発生ホスト名を埋め込みます メッセージの一部を別の文字列に置き換える
指定した条件に一致するイベントのメッセージ内の指定された文字列を別の文字列に置き換えます。キーワード定義に指定した文字 列が複数ある場合は、すべての文字列を置き換えます。
メッセージからキーワードを抽出し、変換後のメッセージに埋め込む
指定した条件に一致するイベントのメッセージから、キーワードを使用して文字列を抽出し、抽出した文字列を指定されたメッセージに 埋め込みます。
以下のマクロをキーワード定義に指定できます。
%KEY0~%KEY9
キーワードから抽出した文字列を識別する 以下のマクロを変換定義に指定できます。
%KEY0~%KEY9
キーワード定義で抽出した文字列。文字列を抽出できなかった場合、および、抽出した文字列の長さが0バイトの場合、“-”に置き 換えます。
%MSG
元イベントのメッセージテキストの全文
%HOST
元イベントの発生ホスト名
メッセージ変換定義として定義できる最大数
メッセージ変換定義として定義できる最大数は以下のようになります。
項目 最大数
メッセージ変換定義 2048個
キーワード定義で設定するキーワード数 10個