4.3.4 相関イベント発行履歴ファイルの内容
相関イベント発行機能の動作状況や,相関イベントの発行処理の内容は,相関イベント発行履歴ファイルに出力されます。相関イベント発行履歴ファイルを参照することで,定義した相関イベント発行条件どおりに相関イベントが発行されているかどうかを確認できます。例えば,特定の相関イベント発行条件に対して,不成立の履歴が多く出力されている場合,発行処理の対象としているJP1イベントの組み合わせが適切でない,またはタイムアウト時間が短いおそれがあります。定期的に条件を見直す際の参考として,相関イベント発行履歴ファイルを参照してください。相関イベント発行履歴ファイルの格納先を次に示します。
- Windowsの場合
-
Consoleパス\operation\evgen\egs_discrim{1|2|3}.log
- UNIXの場合
-
/var/opt/jp1cons/operation/evgen/egs_discrim{1|2|3}.log
相関イベント発行履歴ファイルのサイズ,面数は任意に変更できます。詳細については,マニュアル「JP1/Integrated Management 2 - Manager コマンド・定義ファイル・APIリファレンス」の「相関イベント発行環境定義ファイル」(2. 定義ファイル)を参照してください。
(1) 相関イベント発行履歴ファイルの形式
相関イベント発行履歴ファイルの形式を次に示します。
{+ | -}通し番号 時刻 処理内容
通し番号は,相関イベント発行履歴の通し番号です。通し番号の範囲は,00000001〜99999999で,99999999を超えると00000001に戻ります。なお,相関イベント発行機能を再起動した場合は,00000001から始まります。時刻は,YYYY/MM/DD hh:mm:ss.SSSの形式で出力されます(YYYY:年,MM:月,DD:日,hh:時間,mm:分,ss.SSS:秒)。
基本的に,一つの処理に対して1行のログが出力され,行頭には+が付きます。一つの処理に対して複数の行にログが出力される場合,処理の開始を示すログの行頭には+,継続するログの行頭には-が付きます。出力される処理内容については,次に説明します。
(2) 相関イベント発行履歴ファイルに出力される処理内容
相関イベント発行履歴ファイルに出力される処理内容を次の表に示します。
|
項番 |
出力される内容 |
形式 |
説明 |
|---|---|---|---|
|
1 |
相関イベント発行機能が相関稼働状態になった。 |
+Correlation event generation function : RUNNING -VERSION=相関イベント発行定義ファイルのバージョン情報 -[発行条件名] -TARGET=相関の対象範囲の絞り込み条件 -CON=イベント条件 -TIMEOUT=タイムアウト時間 -TYPE=イベント相関タイプ -SAME_ATTRIBUTE=同一属性値条件 -CORRELATION_NUM=同時相関数 -SUCCESS_EVENT=相関成立イベント : |
使用されている相関イベント発行定義ファイルの内容が出力されます。 |
|
2 |
相関イベント発行機能が機能停止状態になった。 |
+Correlation event generation function : STANDBY |
− |
|
3 |
イベント条件に一致するJP1イベントが発行され,発行処理を開始した。 |
+Generation start 発行条件名(発行処理番号) JP1イベント情報 -SAME_ATTRIBUTE=同一属性名:同一属性値 : -SAME_ATTRIBUTE=同一属性名:同一属性値 |
発行処理番号は,一つの発行条件で複数のJP1イベントを同時に処理している場合に,それぞれの処理の開始,成立,不成立を識別するための番号です。 |
|
4 |
相関イベントの発行が成立した。 |
+Generation success 発行条件名(発行処理番号) -JP1イベント情報1 -JP1イベント情報2 : -JP1イベント情報n -SAME_ATTRIBUTE=同一属性名:同一属性値 : -SAME_ATTRIBUTE=同一属性名:同一属性値 |
− |
|
5 |
相関イベントを発行した。 |
+Correlation event generation succeeded. 発行条件名(発行処理番号) イベントDB内通し番号 |
− |
|
6 |
相関イベント発行条件が成立しなかった(イベント相関処理が停止状態となったとき)。 |
+Generation fail 発行条件名(発行処理番号) 不成立の理由 -JP1イベント情報1 -JP1イベント情報2 : -JP1イベント情報n -SAME_ATTRIBUTE=同一属性名:同一属性値 : -SAME_ATTRIBUTE=同一属性名:同一属性値 |
不成立の理由の出力形式は次のとおりです。
|
|
7 |
相関イベント発行定義が更新された。 |
+Correlation event generation definition update -VERSION=相関イベント発行定義ファイルのバージョン情報 -[発行条件名] -TARGET=相関の対象範囲の絞り込み条件 -CON=イベント条件 -TIMEOUT=タイムアウト時間 -TYPE=イベント相関タイプ -SAME_ATTRIBUTE=同一属性値条件 -CORRELATION_NUM=同時相関数 -SUCCESS_EVENT=相関成立イベント : |
使用されている相関イベント発行定義ファイルの内容が出力されます。 |
|
8 |
ヘッダーに次のタイミングで出力される。
|
JP1/IM - Central Console/Correlation Event Generation Service |
− |
|
9 |
イベント条件に合致するJP1イベントが発行され,発行処理を開始したが,同一属性値条件に指定された属性がJP1イベントに含まれていなかった。 |
+A JP1 event that matches the correlation event generation condition occurred, and the correlation event generation processing started, but the event attribute defined in that attribute value condition does not exist in the JP1 event. (発行条件名(発行処理番号) イベントDB内通し番号 属性名) |
発行処理の対象になったJP1イベントに存在しない属性が,左記の属性名の個所に出力されます。 |
|
10 |
発行処理中のJP1イベントの組数が上限値の20,000組に達している状態で,イベント条件に合致するJP1イベントを受信した。 |
+Generation fail 発行条件名(発行処理番号) exceeded the threshold (20000) -JP1イベント情報 |
− |
- (凡例)
-
−:なし
なお,表内の「JP1イベント情報」の出力形式は次のとおりです。
イベントDB内通し番号,イベントID,発行元イベントサーバ名,到着時刻,重大度
また,相関イベント発行機能の起動時,相関イベント発行履歴ファイルの切り替え時には,次の形式でヘッダー情報が出力されます。
--------------------------------------------------------------------
JP1/IM - Central Console/Correlation Event Generation Service
![[図データ]](GRAPHICS/CS031700.GIF)