2.5.4 しきい値を設定して大量発生イベントの転送を自動的に抑止する
大量発生イベントを検知するためのしきい値を設定しておくことで,イベント転送を自動的に抑止できます。また,しきい値を下回る状態が続いた場合は,大量発生イベントが収束したと判定して自動的にイベント転送の抑止を解除できます。この大量発生イベントを検知するためのしきい値に該当する条件をイベント転送抑止条件といいます。
イベント転送抑止条件は,抑止対象となるエージェントの転送設定ファイル(forward)の転送抑止設定ブロック(suppress〜end-suppress)で設定します。例えば,5秒間で50件以上のJP1イベントが3回連続で発生した場合に,イベント転送を抑止するような条件を設定します。
イベント転送抑止条件に,想定する大量発生イベントを設定することで,エージェントからの大量発生イベントの転送を未然に防げます。
なお,この機能を使用するには,抑止対象となるエージェントホストのJP1/Baseのバージョンが,10-50以降である必要があります。
- 〈この項の構成〉
(1) 抑止対象となるJP1イベントについて(しきい値によるイベント転送抑止の場合)
しきい値によるイベント転送抑止で抑止対象となるJP1イベントは,転送設定ファイル(forward)の設定に従って転送されるJP1イベントです。転送設定ファイル(forward)の転送設定(to)で抽出したJP1イベントのうち,イベント転送抑止条件のあて先およびイベントフィルターに該当するJP1イベントの件数をチェックします。該当するJP1イベントの件数がしきい値を超えた場合,転送設定ファイル(forward)によるイベント転送が抑止されます。
なお,あて先指定イベントおよび自動転送イベントは抑止対象ではありません。あて先指定転送イベントおよび自動転送イベントの詳細については,「2.5.3(1) 抑止対象となるJP1イベントについて(jevagtfwコマンドによるイベント転送抑止の場合)」を参照してください。
(2) イベント転送抑止条件を複数設定した場合のイベント転送について
イベント転送抑止条件は,転送設定ファイル(forward)に複数設定できます。イベント転送抑止条件を複数設定した場合,抑止条件ごとに該当するJP1イベントの件数をチェックします。転送されるJP1イベントは,すべての抑止条件で抑止対象外と判定されたJP1イベントになります。
イベント転送抑止条件を複数設定した場合のJP1イベントの転送について,次の図に示します。
(3) 大量発生イベントの検知と収束
イベント転送抑止条件には,大量発生イベントを定義するために,JP1イベントの発生状況を表す設定項目として,単位時間,しきい値,確認回数があります。ここでは,単位時間,しきい値,確認回数を基に大量発生イベントの検知と収束について説明します。
各設定項目の説明を次の表に示します。
設定項目 |
説明 |
---|---|
単位時間 |
しきい値を判定する期間です。 |
しきい値 |
単位時間当たりのJP1イベントの件数です。 |
確認回数 |
大量発生イベントの発生と収束を判定する単位時間の回数です。イベント転送を抑止する場合と抑止を解除する場合で異なる回数を指定できます。 |
- 大量発生イベントの検知
-
単位時間当たりのJP1イベントの件数が,確認回数で指定した回数分連続してしきい値以上になった場合,大量発生イベントを検知したと判定して,イベント転送を抑止します。
例えば,単位時間が5秒,しきい値が50件,確認回数が3回と設定した場合,JP1イベントの発生件数が5秒間で50件以上の状態が,3回連続した時点からイベント転送の抑止が開始されます。
大量発生イベントを検知したと判定して,イベント転送を抑止するタイミングを,JP1イベントの発生状況と合わせて次の図に示します。
図2‒28 イベント転送を抑止するタイミング この図で示したように,確認回数を3回に指定した場合は,3回目の単位時間内で,最初にしきい値に指定した件数を超えた時点から転送抑止が開始されます。
- 大量発生イベントの収束
-
イベント転送を抑止している状態で,イベント転送抑止条件の単位時間当たりのJP1イベントの件数が,確認回数で指定した回数分連続してしきい値未満になった場合,大量発生イベントが収束したと判定して,イベント転送の抑止を解除します。
例えば,単位時間が5秒,しきい値が50件,確認回数が3回と設定した場合,JP1イベントの発生件数が5秒間で50件未満の状態が,3回連続した時点からイベント転送の抑止が解除されます。
大量発生イベントが収束したと判定して,イベント転送の抑止を解除するタイミングを,JP1イベントの発生状況と合わせて次の図に示します。
図2‒29 イベント転送の抑止を解除するタイミング
(4) 転送状態の遷移について
しきい値によるイベント転送抑止には,イベント転送抑止条件ごとに転送状態(抑止解除または抑止)があります。転送状態は,いくつかの要因で状態が遷移します。
転送状態の遷移と要因の関係を,次に図に示します。
- 転送状態
-
-
抑止解除
イベント転送を抑止しない状態です。
-
抑止
イベント転送を抑止する状態です。
-
- 要因
-
-
起動
イベントサービスを起動(jevstartコマンドを実行)する。
-
大量発生イベントの検知
イベント転送抑止条件の単位時間当たりのJP1イベントの件数が,確認回数で指定した回数分連続してしきい値以上になる。
-
大量発生イベントの収束
イベント転送抑止条件の単位時間当たりのJP1イベントの件数が,確認回数で指定した回数分連続してしきい値未満になる。
-
リロード
転送設定ファイル(forward)をリロード(jevreloadコマンドを実行)する。
-
停止
イベントサービスを停止(jevstopコマンドを実行)する。
-
転送状態が遷移したときに,メッセージおよびJP1イベントを出力します。転送状態が遷移したときに出力するメッセージおよびJP1イベントを次の表に示します。
項番 |
要因 |
転送状態 |
メッセージ |
JP1イベント |
|
---|---|---|---|---|---|
遷移元 |
遷移先 |
||||
1 |
起動 |
− |
抑止解除 |
− |
− |
2 |
大量発生イベントの検知 |
抑止解除 |
抑止 |
KAJP1083-W ホスト名はしきい値によるイベント転送抑止を開始します (抑止条件=識別子) |
00003D0B |
3 |
大量発生イベントの収束 |
抑止 |
抑止解除 |
KAJP1084-I ホスト名はしきい値によるイベント転送抑止を解除しました (抑止条件=識別子) |
00003D0C |
4 |
リロード |
KAJP1085-I ホスト名はしきい値によるイベント転送抑止をすべて解除しました |
00003D0D |
||
5 |
停止 |
− |
− |
(5) 転送抑止状態を確認する
イベント転送抑止条件ごとに,JP1イベントの転送抑止状態を確認できます。転送抑止状態を確認するには,jevfwstatコマンドを使用します。詳細については,「15. コマンド」の「jevfwstat」を参照してください。
(6) 抑止状態の継続を通知する
しきい値によるイベント転送抑止によって,イベント転送が抑止されていることを,定期的にマネージャーへ通知できます。イベント転送抑止の状態が一定期間継続すると次に示すメッセージとJP1イベント(00003D0E)を発行します。
KAJP1086-W ホスト名のイベント転送抑止が累計抑止時間秒間継続しています (抑止条件=識別子)
通知の有無および通知間隔は,イベントサーバ設定ファイル(conf)で設定します。詳細については,「16. 定義ファイル」の「イベントサーバ設定ファイル」を参照してください。
(7) しきい値によるイベント転送抑止の注意事項
しきい値によるイベント転送抑止を設定したエージェントのイベントサーバが稼働しているときに,マシンのシステムの日時を変更した場合,転送状態が不正に遷移したり,抑止状態の継続通知が不正に通知されたりするおそれがあります。
システムの日時を変更した場合の影響を次に示します。
- システムの日時を進めた場合の影響
-
-
大量発生イベントが収束していなくても収束したものと誤って判定し,イベント転送抑止を解除するおそれがあります。
-
抑止状態が一定時間継続していなくても抑止状態の継続が通知されるおそれがあります。
-
- システムの日時を戻した場合の影響
-
-
大量発生イベントが発生していなくても発生したものと誤って判定し,イベント転送を抑止するおそれがあります。
-
抑止状態が一定時間継続しても抑止状態の継続が通知されないおそれがあります。
-