相関イベント発行定義ファイル

〈このページの構成〉

形式
ファイル
格納先ディレクトリ
説明
定義の反映時期
記述内容
(1) 同一属性値条件（SAME_ATTRIBUTE）に変数を使用する
(2) 相関成立イベント（SUCCESS_EVENT）に変数を使用する
定義例

形式

VERSION={1 | 2}
 
#コメント行
[発行条件名]
TARGET=相関の対象範囲の絞り込み条件
CON=イベント条件
TIMEOUT=タイムアウト時間
TYPE=イベント相関タイプ
SAME_ATTRIBUTE=同一属性値条件
CORRELATION_NUM=同時相関数
SUCCESS_EVENT=相関成立イベント
FAIL_EVENT=相関不成立イベント
 
[発行条件名]
TARGET=相関の対象範囲の絞り込み条件
CON=イベント条件
TIMEOUT=タイムアウト時間
TYPE=イベント相関タイプ
SAME_ATTRIBUTE=同一属性値条件
CORRELATION_NUM=同時相関数
SUCCESS_EVENT=相関成立イベント
FAIL_EVENT=相関不成立イベント
          :

ページの先頭へ

ファイル

任意のファイルを使用します。ただし，次の制限があります。

拡張子は.confとしてください。
ファイル名に使用できる文字は，半角英数字とアンダーバー「_」だけです。

ページの先頭へ

格納先ディレクトリ

Windowsの場合: 任意のフォルダ
UNIXの場合: 任意のディレクトリ

ページの先頭へ

説明

相関の対象とするJP1イベントの条件，および条件成立時に発行する相関イベントを定義するファイルです。このファイルは，JP1/IM - Managerの動作する言語コードで記述してください。

ページの先頭へ

定義の反映時期

jcoegschangeコマンドで相関イベント発行定義を反映したあとに有効になります。

ページの先頭へ

記述内容

VERSION={1 | 2}

相関イベント発行定義ファイルのバージョンです。

1または2を指定します。

1を指定すると，次のパラメーターを指定できません。ここで説明しているすべてのパラメーターを指定したい場合，2を指定してください。

表2‒43　指定できないパラメーター一覧
バージョン	パラメーター名
1	`TARGET`
	`SAME_ATTRIBUTE`
	`CORRELATION_NUM`
2	なし

値の前に0を指定した場合，0は無視されます。例えば，VERSION=0001とVERSION=1は同じ意味です。省略した場合は，VERSION=1が仮定されます。

1または2以外の値を指定した場合，定義不正になります。また，VERSIONを複数指定した場合は，定義不正になります。

#コメント行

#で始まる行は，コメント扱いとなります。

[発行条件名]

相関イベント発行条件の定義ブロックの開始タグです。[発行条件名]から，次の[発行条件名]の直前までが一つの定義ブロックになります。省略できません。相関イベント発行条件は1,000件まで定義できます。1,000件を超えて定義した場合，定義不正となります。

発行条件名は[ ]（半角角括弧）で囲って指定します。発行条件名には，半角英数字，-（ハイフン），_（アンダーバー）および/（スラッシュ）が使用できます。指定できる文字数は，1文字以上32文字以下です。

また，大文字，小文字は区別されます。例えば，［JP1_HAKKOUZYOUKEN］と［jp1_hakkouzyouken］は別の定義になります。

なお，相関イベント発行定義ファイル内で，同じ発行条件名は使用できません。同じ発行条件名を定義した場合，ファイル内で先に記述してある方が有効になります。また，「IM_」で始まる発行条件名は指定できません。指定した場合，定義不正になります。「IM_」の大文字・小文字は区別されません。

[発行条件名]の横には発行条件のコメントを付けられます。コメントを付ける場合は，[発行条件名]#発行条件のコメントと記述します。

TARGET=相関の対象範囲の絞り込み条件

相関イベントの発行処理の対象とするJP1イベントの範囲を絞り込みたいときに定義します。省略すると，取得したすべてのJP1イベントが相関イベントの発行処理の対象になります。

1件の相関イベント発行条件に指定できる相関の対象範囲の絞り込み条件は一つだけです。複数定義した場合，定義不正となります。

形式を次に示します。

　TARGET=イベント属性条件1［,イベント属性条件2…］

イベント属性条件を複数指定する場合，「,」（半角コンマ）で区切ります。複数指定すると，それぞれのイベント属性条件はAND条件となります。複数指定したイベント属性条件がすべて成立するJP1イベントが発行された場合に，条件が成立します。

イベント属性条件は次の形式で指定します。

　属性名 比較条件 属性値

イベント属性条件の設定項目を次に示します。

表2‒44　イベント属性条件の設定項目
項番	設定項目	説明
1	属性名	JP1イベントの基本属性または拡張属性を指定します。基本属性には「`B.`」を，拡張属性には「`E.`」を付けます。例えば，メッセージを指定する場合「`B.MESSAGE`」と指定します。拡張属性を指定する場合，「`E.`」のあとの文字列は，32バイト以内で指定します。なお，次の入力規則があります。先頭は大文字の半角英字 2バイト目以降は大文字の半角英数字，または`_`（アンダーバー）指定できる属性名については，「表2-45　相関の対象範囲の絞り込み条件に指定できる属性名の一覧」を参照してください。
2	比較条件	使用できる比較条件は次のとおりです。これ以外のものを指定すると定義不正となります。比較条件：意味 `==`　：と一致する `!=`　：と一致しない `^=`　：から始まる `>=`　：を含む `<=`　：を含まない `*=`　：正規表現^※ 注※　使用できる正規表現については，マニュアル「JP1/Integrated Management 2 - Manager 導入・設計ガイド」の「付録G　正規表現」を参照してください。
3	属性値	属性値には比較する値を指定します。属性値に指定できる文字数は最大2,048（JP1/IM - Managerのバージョンが09-10までの場合は1,023）バイトです。2,048（JP1/IM - Managerのバージョンが09-10までの場合は1,023）バイトを超えると定義不正となります。なお，イベント属性条件を複数指定する場合は，指定できる文字数が，全条件の属性値の合計で最大2,305（JP1/IM - Managerのバージョンが09-10までの場合は1,280）バイトになります。2,305（JP1/IM - Managerのバージョンが09-10までの場合は1,280）バイトを超えると定義不正となります。例えば，イベント属性条件を五つ設定した場合，その五つの属性値の合計を2,305（JP1/IM - Managerのバージョンが09-10までの場合は1,280）バイト以内にする必要があります。属性値を複数定義する場合は`;`（セミコロン）で属性値を区切ります。なお，属性値の間に`;`（セミコロン）が連続してあっても一つの`;`（セミコロン）と見なします。例えば，`B.ID==`A`;;;;;`Bは`B.ID==`A`;`Bと見なします`。` 例：`E.`xxx`==`A`;`Bと設定したとき，`E.`xxxがAまたはBと一致したときに条件が成立します。 `,`（半角コンマ），`;`（セミコロン）を属性値として使用する場合，または空白を属性値の両端に使用する場合は，一つの属性値として指定したい範囲を`"`（ダブルクォーテーション）で囲みます。 `"`（ダブルクォーテーション），`\`（半角エンマーク）を属性値として使用する場合は直前に`\`（半角エンマーク）を付けます。

一つの属性名に対して，属性値を複数指定した場合，次に示す例のように条件が成立します。

例1：E.xxx==A;Bと指定した場合，E.xxxがAまたはBのどちらか一方に一致したときに条件が成立します。

例2：E.xxx!=A;Bと指定した場合，E.xxxがAまたはBの両方に一致しないときに条件が成立します。

例3：E.xxx^=A;Bと指定した場合，E.xxxがAまたはBのどちらかで始まるときに条件が成立します。

例4：E.xxx>=A;Bと指定した場合，E.xxxがAまたはBのどちらかを含むときに条件が成立します。

例5：E.xxx<=A;Bと指定した場合，E.xxxがAまたはBの両方を含まないときに条件が成立します。

例6：E.xxx*=A;Bと指定した場合，E.xxxがAまたはBのどちらかの正規表現に一致したときに条件が成立します。
一つのイベント属性条件に，同一の属性名を複数指定する場合，次のような組み合わせは定義不正になりますので，注意してください。

・絶対に一致しない組み合わせ

　メッセージ(B.MESSAGE)がKAVBで始まり，メッセージがKAVBを含まない

・冗長な組み合わせ

　メッセージ(B.MESSAGE)がKAVBで始まり，メッセージがKAVBを含む
属性名，比較条件，および属性値の間，セミコロンで区切って指定した属性値の両端，またはイベント属性条件の両端に指定された空白（半角スペースとASCIIコード0x01〜0x1Fの文字）は無視されます。

例：メッセージが「KAJVxxxx-I△実行しました」またはErrorと一致する条件

次の△部分に空白がある場合，無視されます。

△B.MESSAGE△==△"KAJVxxxx-I△実行しました";△Error△

上記の例と同じ意味になる指定方法の例を示します。

B.MESSAGE==KAJVxxxx-I△実行しました;Error

B.MESSAGE=="KAJVxxxx-I△実行しました";Error
属性名にイベントID（B.ID）を指定する場合は，比較条件は完全一致（==）しか使用できません。

相関の対象範囲の絞り込み条件に指定できる属性名の一覧を次に示します。

表2‒45　相関の対象範囲の絞り込み条件に指定できる属性名の一覧
項番	属性名	項目
1	`B.SOURCESERVER`^※1	発行元イベントサーバ名
2	`B.DESTSERVER`^※1	送信先イベントサーバ名
3	`B.MESSAGE`	メッセージ
4	`B.ID`	イベントID
5	`B.REASON`	登録要因
6	`B.USERID`	発行元ユーザーID
7	`B.GROUPID`	発行元グループID
8	`B.USERNAME`	発行元ユーザー名
9	`B.GROUPNAME`	発行元グループ名
10	`E.JP1_SOURCEHOST`^※1	発生元ホスト名
11	`E.`xxxxxxx^※2	拡張属性（共通情報・固有情報）

注※1

統合監視DBおよびIM構成管理DBが有効な場合に，パス表記で業務グループ名を指定できます。

統合監視DBおよびIM構成管理DBが無効な場合，パス表記で業務グループ名を指定しても，ホスト名として扱われます。

jcoimdefコマンドの-ignorecasehostオプションの指定を「ON」にしている場合に，比較キーワードで［正規表現］以外を選択すると，文字列の英大文字・英小文字を区別しません。

注※2

各JP1製品固有の拡張属性も使用できます。例えば，JP1/AJSのジョブの実行ホストは，E.C0です。製品固有の拡張属性についての詳細は，JP1イベントを発行する各製品のマニュアルを参照してください。

CON=イベント条件

相関イベントの発行処理の対象，または対象外とするJP1イベントの条件を定義します。イベント条件は複数指定できます。また，1件の相関イベント発行条件内に少なくとも1件以上定義する必要があります。イベント条件は10件まで定義できます。なお，定義していない場合，または定義が正しくない場合は，定義不正となります。

形式を次に示します。

　CON={NOT|[CID:n]},イベント属性条件1 [, イベント属性条件2[, イベント属性条件3 …] ]

イベント条件の設定項目を次に示します。

表2‒46　イベント条件の設定項目
項番	設定項目	説明
1	`NOT`	相関イベントの発行処理の対象外にするJP1イベントを指定します。イベント条件に`NOT`を指定した場合，イベント条件（`CON`）の定義順序に関係なく，その条件が最初に適用されます。
2	`CID:`n	条件IDです。相関イベントの発行時に，変数を使って相関元イベントの情報をほかのパラメーター（`SAME_ATTRIBUTE`，`SUCCESS_EVENT`）に引き継ぐ場合に指定します。1〜999の整数値で指定します。例えば，複数のJP1イベントを相関元イベントとし，`SUCCESS_EVENT`パラメーターに変数 `$EV`n_`B.MESSAGE`を指定する場合，条件IDの指定に従って，相関イベントに相関元イベントのメッセージ情報を引き継ぎます。省略した場合，ほかのパラメーターに情報を引き継ぐことはできません。また，指定値の前に0を付けたり，同じ`CID`を指定したりすると定義不正になります。
3	イベント属性条件	イベント属性条件は次の形式で指定します。形式　属性名比較条件属性値属性名 JP1イベントの基本属性または拡張属性を指定します。基本属性には「`B.`」を，拡張属性には「`E.`」を付けます。例えば，メッセージを指定する場合「`B.MESSAGE`」と指定します。拡張属性を指定する場合，「`E.`」のあとの文字列は，32バイト以内で指定します。なお，次の入力規則があります。先頭は大文字の半角英字 2バイト目以降は大文字の半角英数字，または`_`（アンダーバー）基本属性，拡張属性については，「3.1　JP1イベントの属性」を参照してください。なお，製品固有の拡張属性を指定する場合，JP1イベントを発行する各製品のマニュアルを参照してください。ただし，発行元IPアドレス（SOURCEIPADDR）は，指定することができません。比較条件および属性値比較条件および属性値の指定方法は，`TARGET`にイベント属性条件を指定する場合と同じです。「表2-44　イベント属性条件の設定項目」および表下の説明を参照してください。

TIMEOUT=タイムアウト時間

相関イベント発行条件のタイムアウト時間を指定します。指定できる値は，1〜86,400（単位：秒）です。省略した場合は，60秒が仮定されます。

TYPE=イベント相関タイプ

イベント相関タイプを指定します。

イベント相関タイプには，sequence（順序性），combination（組み合わせ）およびthreshold（しきい値）があります。イベント相関タイプに指定できる値を次に示します。

sequence

順序性を考慮し，定義したイベント条件と一致するJP1イベントが定義順に発行されたときに相関イベント発行条件が成立します。
combination

順序性を考慮せず，定義したイベント条件の組み合わせでJP1イベントが発行されたときに相関イベント発行条件が成立します。
threshold:n

定義したイベント条件に一致するJP1イベントの発行する数がしきい値に達した時点で相関イベント発行条件が成立します。イベント条件が複数定義されている場合，そのどれかに一致したJP1イベントの合計がしきい値に達した時点で相関イベント発行条件が成立します。

しきい値は1〜100（単位：件）で指定できます。例えば，しきい値を10とする場合，次のように指定します。

threshold:10

大文字，小文字は区別されません。また，イベント相関タイプの指定を省略した場合は，combination（組み合わせ）が仮定されます。

SAME_ATTRIBUTE=同一属性値条件

同一属性値条件を指定します。

イベント条件に一致したJP1イベント（相関元イベント）に対し，特定の属性値ごとにグルーピングして，グループ単位に相関イベントを発行したい場合に定義します。

同一属性値条件は1件の相関イベント発行条件に三つまで定義できます。省略することもできます。

形式を次に示します。

　SAME_ATTRIBUTE=属性名 | {$EVn_属性名 | $EVn_ENVo} [, {$EVn_属性名 | $EVn_ENVo} …]

同一属性値条件の設定項目について説明します。

表2‒47　同一属性値条件の設定項目
項番	設定項目	説明
1	属性名	JP1イベントの基本属性または拡張属性を指定します。ここで指定した属性名に対応する相関元イベントの属性値がグルーピングのキーになります。属性名は，一つの同一属性値条件に対して一つだけ指定できます。基本属性には「`B.`」を，拡張属性には「`E.`」を付けます。拡張属性を指定する場合，「`E.`」のあとの文字列は，32バイト以内で指定します。なお，次の入力規則があります。先頭は大文字の半角英字 2バイト目以降は大文字の半角英数字，または`_`（アンダーバー）指定できる属性名については，「表2-48　同一属性値条件に指定できる属性名の一覧」を参照してください。
2	変数 `$EV`n`_`属性名	グルーピングのキーにしたい属性値が，相関元イベントごとに異なる属性に入っている場合に指定します。例えば，相関元イベントAの属性A'と，相関元イベントBの属性B'をグルーピングのキーにしたいときに使用します。 `$EV`n`_`属性名は，一つの同一属性値条件に対して`$EV`n`_ENV`oと合わせて10個まで指定できます。詳細については，「(1)(a)　相関元イベントの属性値を同一属性値条件として使用する」を参照してください。
3	変数 `$EV`n`_ENV`o	相関元イベントの属性値の一部を切り出して，同一属性値条件として使用する場合に指定します。例えば，メッセージ（`B.MESSAGE`）の一部を切り出して，グルーピングのキーにしたいときに使用します。 `$EV`n`_ENV`oは，一つの同一属性値条件に対して`$EV`n`_`属性名と合わせて10個まで指定できます。詳細については，「(1)(b)　相関元イベントの属性値の一部を同一属性値条件として使用する」を参照してください。

属性名および変数に置き換わる値（属性値または属性値の一部）は，全角，半角および大文字，小文字が区別されます。完全に同一の値だけが同一属性値条件になります。
属性名および変数に置き換わる値（属性値または属性値の一部）が相関元イベントにない場合，空文字（0バイト）に置き換わります。このため，空文字をキーにしてグルーピングします。空文字で処理された場合，相関イベント発行履歴ファイルに次の文字列が出力されます。

A JP1 event that matches the correlation event generation condition occurred, and the correlation event generation processing started, but the event attribute defined in that attribute value condition does not exist in the JP1 event. (発行条件名(発行処理番号) イベントDB内通し番号 属性名)
SAME_ATTRIBUTE=同一属性値条件 を複数指定すると，それぞれの同一属性値条件ごとに相関イベントが発行されます。

例えば，ホスト名（B.SOURCESERVER）およびユーザー名（B.USERNAME）ごとに相関イベントを発行する場合，次のように定義します。

　　　　　：

SAME_ATTRIBUTE=B.SOURCESERVER

SAME_ATTRIBUTE=B.USERNAME

　　　　　：
同一属性値条件に複数個の変数を指定する場合は「,」（半角コンマ）で区切ってください。変数に置き換わる属性値ごとに相関イベントが発行されます。
属性名および変数（$EVn_属性名，$EVn_ENVo）の間，または同一属性値条件の両端に指定された空白（半角スペースとASCIIコード0x01〜0x1Fの文字）は無視されます（次の例の△部分）。

例：

△SAME_ATTRIBUTE△=△$EV1_ENV1△,△$EV2_ENV2△

同一属性値条件に指定できる属性名の一覧を次に示します。

表2‒48　同一属性値条件に指定できる属性名の一覧
項番	属性名	項目
1	`B.SOURCESERVER`	発行元イベントサーバ名
2	`B.DESTSERVER`	送信先イベントサーバ名
3	`B.MESSAGE`	メッセージ
4	`B.ID`	イベントID
5	`B.REASON`	登録要因
6	`B.USERID`	発行元ユーザーID
7	`B.GROUPID`	発行元グループID
8	`B.USERNAME`	発行元ユーザー名
9	`B.GROUPNAME`	発行元グループ名
10	`E.`xxxxxxx^※	拡張属性（共通情報・固有情報）

注※: 各JP1製品固有の拡張属性も使用できます。例えば，JP1/AJSのジョブの実行ホストは，E.C0です。製品固有の拡張属性についての詳細は，JP1イベントを発行する各製品のマニュアルを参照してください。

CORRELATION_NUM=同時相関数

相関イベント発行条件で保持できるJP1イベントの組数を指定します。1件の相関イベント発行条件に定義できる同時相関数は一つだけです。

指定できる値は，1〜1,024（単位：組）です。項目を省略した場合は，10組が仮定されます。

注意

同時相関数を多くの相関イベント発行条件に指定し，かつ，大きな値を指定する，などの運用はお勧めできません。

相関イベント発行サービスが同時に処理するJP1イベントの組数が多くなるため，メモリー所要量が増加したり，処理速度が低下したりします。

また，すべての相関イベント発行条件で同時に発行処理できるJP1イベントの組数は20,000組です。20,000組に達すると，JP1イベント（イベントID：00003F28）が出力されます。新たにイベント条件に一致するJP1イベントが発行されても，組数が20,000組を下回るまでは処理されません。

SUCCESS_EVENT=相関成立イベント

相関イベント発行条件が相関成立になった場合に発行するJP1イベント(相関イベント)を定義します。1件の相関イベント発行条件に定義できる相関成立イベントは一つだけです。相関成立になる条件については，マニュアル「JP1/Integrated Management 2 - Manager 導入・設計ガイド」の「4.3.6(1)　相関成立の場合」を参照してください。

なお，相関イベント発行条件に「FAIL_EVENT=相関不成立イベント」が定義されている場合，この定義を省略できます。省略した場合，相関イベント発行条件が相関成立になっても，相関成立イベントは発行されません。

相関成立イベントは，次の形式で記述します。

　属性名:属性値

各項目について説明します。

属性名

JP1イベント（相関元イベント）の基本属性または拡張属性を指定します。基本属性には「B.」を，拡張属性には「E.」を付けます。拡張属性を指定する場合，「E.」のあとの文字列は，32バイト以内で指定します。なお，次の入力規則があります。

・先頭は大文字の半角英字

・2バイト目以降は大文字の半角英数字，または_（アンダーバー）

次の属性に対してはユーザーが任意に値を設定できます。

・イベントID（B.ID）

・メッセージ（B.MESSAGE）

・次の表に示す以外の拡張属性

表2‒49　値を指定できない拡張属性
属性種別	項目	属性名	内容
共通情報	プロダクト名	`E.PRODUCT_NAME`	/HITACHI/JP1/IM/GENERATE_EVENT
	オブジェクトタイプ	`E.OBJECT_TYPE`	SERVICE
	オブジェクト名	`E.OBJECT_NAME`	EGS
	事象種別	`E.OCCURRENCE`	SUCCESS
固有情報	関連イベントDB内通し番号	`E.JP1_GENERATE_SOURCE_SEQNO`	相関元のイベントのイベントDB内通し番号を半角スペース区切りで格納します。イベントDB内通し番号1△イベントDB内通し番号2△イベントDB内通し番号3・・・イベントDB内通し番号n nは最大100です。
	相関イベント発行条件名	`E.JP1_GENERATE_NAME`	成立した相関イベント発行条件名
	予約語	`E.JP1_`で始まる拡張属性	発生元ホスト名（`E.JP1_SOURCEHOST`）を除くJP1/IM - Managerが予約している拡張属性

相関元イベントの属性値を相関イベントに引き継ぎたい場合，変数を指定します。また，相関成立イベントは次の形式で指定します。

　属性名:$EVn_属性名

この場合，イベント条件のCIDで引き継ぎたい相関元イベントを指定し，nにCIDの値を指定します。また，:の右側に変数を指定します。

詳細については，「(2)(a)　相関元イベントの属性値を相関イベントの属性値に引き継ぐ」を参照してください。

イベント相関タイプでしきい値（threshold）を指定，かつ，相関元イベントの属性値を相関イベントに引き継ぎたい場合，相関成立イベントは，次の形式で指定します。

　属性名:$EVn_m_属性名

この場合，CIDで引き継ぎたい相関元イベントを指定し，nにCIDの値を指定します。また，:の右側に変数を指定します。かつ，mに何番目に処理された相関元イベントの属性値を引き継ぐかを指定します。

詳細については，「(2)(b)　相関元イベントの属性値を相関イベントの属性値に引き継ぐ（イベント相関タイプがしきい値の場合）」を参照してください。

相関元イベントの属性値の一部を切り出して，相関イベントに引き継ぎたい場合，変数 $EVn_ENVoを指定します。また，イベント条件は正規表現で指定し，属性値の切り出したい部分を( )で囲みます。

相関成立イベントは次の形式で指定します。

　属性名:$EVn_ENVo

この場合，CIDで引き継ぎたい相関元イベントを指定し，nにCIDの値を指定します。また，ENVoのoに切り出した順番を指定します。

詳細については，「(2)(c)　相関元イベントの属性値の一部を相関イベントの属性値に引き継ぐ」を参照してください。

基本属性，拡張属性については，「3.1　JP1イベントの属性」を参照してください。なお，製品固有の拡張属性を指定する場合，JP1イベントを発行する各製品のマニュアルを参照してください。

相関成立イベントに項目を複数指定する場合は「,」（半角コンマ）で区切ってください。
基本属性のイベントID（B.ID）は必ず指定してください。指定できるイベントIDの範囲は，0〜1FFF，7FFF8000〜7FFFFFFFです。指定しなかった場合，イベントIDには0が設定されます。
一つの相関成立イベントの最大長は8,192バイトです。また，B.MESSAGEの最大長は1,023バイトです。最大長のバイト数には，空白を含み，改行コードは含みません。
属性名および属性値の間，またはSUCCESS_EVENT=相関成立イベントの両端に指定された空白（半角スペースとASCIIコード0x01〜0x1Fの文字）は無視されます（次の例の△部分）。

例：

△SUCCESS_EVENT△=△B.ID△:△1△
,（半角コンマ），空白を属性値として使用する場合は"（ダブルクォーテーション）で囲みます。
"（ダブルクォーテーション），\（半角エンマーク）を指定する場合は直前に\（半角エンマーク）を付け，「\"」，「\\」とします。

特殊文字（^ $ . * + ? | ( ) { } [ ] \）を打ち消す場合は，「\\特殊文字」とします。

例えば，「$」を通常の文字として扱う場合は，「\\$」とします。また，\（半角エンマーク）を通常の文字として扱う場合は「\\\\」とします。
属性値を省略すると，相関イベントの発行時に何も設定されません。ただし，属性名（B.ID）の属性値の記述を省略した場合は，0が設定されます。
変数 $EVn_属性名に設定値を続けて記述する場合は，変数のあとに空白（次の例に△で表記）を記述します。

例：

SUCCESS_EVENT=B.MESSAGE:"$EVn_B.ID△$EVn_B.TIME△・・・"
変数を使用する場合，一致する属性名がない場合は空白に置き換わります。また，相関イベントの発行時に変数を属性値に置き換えたことによって，属性値の最大長を超えた場合は相関イベントは発行されません。
拡張属性は94件まで指定できます。

FAIL_EVENT=相関不成立イベント

相関イベント発行条件が相関不成立になった場合に発行するJP1イベント(相関イベント)を定義します。1件の相関イベント発行条件に定義できる相関不成立イベントは一つだけです。相関不成立になる条件については，マニュアル「JP1/Integrated Management 2 - Manager 導入・設計ガイド」の「4.3.6(2)　相関不成立の場合」を参照してください。

なお，相関イベント発行条件に「SUCCESS_EVENT=相関成立イベント」が定義されている場合，この定義を省略できます。省略した場合，相関イベント発行条件が不成立になっても，相関不成立イベントは発行されません。

相関不成立イベントは，相関成立イベントと同じ形式で記述します。「SUCCESS_EVENT=相関成立イベント」を参照してください。

ページの先頭へ

(1) 同一属性値条件（SAME_ATTRIBUTE）に変数を使用する

同一属性値条件（SAME_ATTRIBUTE）に変数（$EVnまたは$EVn_ENVo）を使用する方法について説明します。

(a) 相関元イベントの属性値を同一属性値条件として使用する

相関元イベントの属性値を，同一属性値条件として使用する場合，変数 $EVn_属性名を使用します。形式を次に示します。

　SAME_ATTRIBUTE=$EVn_属性名

nにはイベント条件の条件ID（CID）に対応した値を指定します。指定できる条件IDの値の範囲は1〜999です。

属性名には，グルーピングのキーにしたい属性名を指定します。なお，指定できる属性名については，「表2-48　同一属性値条件に指定できる属性名の一覧」を参照してください。

例えば，WindowsログトラップのJP1イベント（イベントID：00003A71）と，JP1/AJSが発行したJP1イベント（イベントID：00004107）のように，ホスト情報が異なる属性値に入っているJP1イベントを関連づけ，ホストごとに相関イベントを発行したい場合，次のように定義します。

CON=CID:1,B.ID==3A71,E.A0==host1;host2
CON=CID:2,B.ID==4107,E.C0==host1;host2
          ：
SAME_ATTRIBUTE=$EV1_E.A0,$EV2_E.C0
          ：

(b) 相関元イベントの属性値の一部を同一属性値条件として使用する

相関元イベントの属性値の一部を切り出して，同一属性値条件として使用する場合，変数 $EVn_ENVoを使用します。形式を次に示します。

　SAME_ATTRIBUTE=$EVn_ENVo

$EVn_ENVoを指定する場合，イベント条件は正規表現（*=）で指定し，属性値の切り出したい部分を( )で囲みます。

nにはイベント条件の条件ID（CID）に対応した値を指定します。指定できる条件IDの値の範囲は1〜999です。

また，ENVoのoに切り出しの順番を指定します。切り出しの順番とは，イベント条件の右辺に記述されている( )を左から右に数えた値です。指定できる切り出しの順番の範囲は1〜9です。

イベント条件（CON）と$EVn_ENVoで切り出される部分の対応を次の図に示します。

図2‒3　イベント条件（CON）と$EVn_ENVoで切り出される部分の対応

一つのイベント条件（CON）に，正規表現を指定したイベント属性条件が複数ある場合も，左から右に" ( " を数え，切り出したい個所の順番をoに指定します。

例えば，相関元イベントのメッセージの一部にホスト名が入っていて，このホスト名が同一のイベントごとに相関イベントを発行したい場合は次のように定義します。

CON=CID:1, B.ID==1001, B.MESSAGE*=.*HOST=(.*\\))
TYPE=threshold:5
SAME_ATTRIBUTE=$EV1_ENV1
          ：

ページの先頭へ

(2) 相関成立イベント（SUCCESS_EVENT）に変数を使用する

相関元イベントの属性値を相関イベントに引き継ぎたい場合，相関成立イベント（SUCCESS_EVENT）に変数を使用します。

(a) 相関元イベントの属性値を相関イベントの属性値に引き継ぐ

相関元イベントの属性値を，そのまま相関イベントの属性値に引き継ぐ場合，変数 $EVn_属性名を使用します。形式を次に示します。

　SUCCESS_EVENT=属性名:$EVn_属性名

nにはイベント条件で指定した条件ID（CID）を指定します。また，右側の属性名には，相関元イベントから引き継ぎたい属性を指定します。ただし，左側の属性名にイベントID(B.ID)を指定している場合は, 相関元イベントの属性値を引き継げません。

変数に指定できる属性名の一覧を次に示します。

表2‒50　変数に指定できる属性名の一覧
項番	属性名	項目	形式
1	`B.SEQNO`	イベントDB内通し番号	数値
2	`B.ID`	イベントID	基本部：拡張部の16進数
3	`B.PROCESSID`	発行元プロセスID	数値
4	`B.TIME`	登録時刻	YYYY/MM/DD hh:mm:ss^※1
5	`B.ARRIVEDTIME`	到着時刻	YYYY/MM/DD hh:mm:ss^※1
6	`B.REASON`	登録要因	文字列
7	`B.USERID`	発行元ユーザーID	数値
8	`B.GROUPID`	発行元グループID	数値
9	`B.USERNAME`	発行元ユーザー名	文字列
10	`B.GROUPNAME`	発行元グループ名	文字列
11	`B.SOURCESERVER`	発行元イベントサーバ名	文字列
12	`B.DESTSERVER`	送信先イベントサーバ名	文字列
13	`B.SOURCESEQNO`	発行元イベントDB内通し番号	数値
14	`B.MESSAGE`	メッセージ	文字列
15	`E.SEVERITY`	重要度	文字列
16	`E.USER_NAME`	ユーザー名	文字列
17	`E.PRODUCT_NAME`	プロダクト名	文字列
18	`E.OBJECT_TYPE`	オブジェクトタイプ	文字列
19	`E.OBJECT_NAME`	オブジェクト名	文字列
20	`E.ROOT_OBJECT_TYPE`	登録名タイプ	文字列
21	`E.ROOT_OBJECT_NAME`	登録名	文字列
22	`E.OBJECT_ID`	オブジェクトID	文字列
23	`E.OCCURRENCE`	事象種別	文字列
24	`E.START_TIME`	開始時刻	YYYY/MM/DD hh:mm:ss^※1
25	`E.END_TIME`	終了時刻	YYYY/MM/DD hh:mm:ss^※1
26	`E.`xxxxxx^※2	上記以外の拡張属性	文字列

注※1: JP1イベントに入っているGMT時間をJP1/IM - Managerのタイムゾーンで変換した値になります。
注※2: 各JP1製品固有の拡張属性も使用できます。例えば，JP1/AJSのジョブの実行ホストは，E.C0です。製品固有の拡張属性についての詳細は，JP1イベントを発行する各製品のマニュアルを参照してください。

相関元イベントの属性値の引き継ぎ例を次の図に示します。

図2‒4　変数を使用した場合の相関成立イベントへの引き継ぎ例

上記の例では，JP1/AJSおよびJP1/Baseの発行した重大度がエラーのJP1イベントを関連づけて，相関イベントを発行しています。

また，相関成立イベントは次のように定義されています。

相関イベントの重大度は，JP1/AJSの発行したJP1イベントの重大度を引き継ぐ。
相関イベントのメッセージは，JP1/AJSおよびJP1/Baseの発行したJP1イベントのメッセージを引き継ぐ。

(b) 相関元イベントの属性値を相関イベントの属性値に引き継ぐ（イベント相関タイプがしきい値の場合）

次にイベント相関タイプがしきい値の場合に，変数を使用して相関成立イベントを定義する方法について説明します。

イベント相関タイプがしきい値の場合，一つのイベント条件（CON）に複数のJP1イベントが一致します。例えば，次の図ような場合です。

図2‒5　イベント相関タイプがしきい値の場合の問題

上記の図に示したとおり，$EV1_B.MESSAGEに一致するJP1イベントが，イベント1，イベント2，およびイベント3の三つになってしまいます。三つのうちのどのJP1イベントのメッセージを引き継ぐかを指定する必要があります。

このため，次の形式で相関成立イベントを指定します。

　SUCCESS_EVENT=属性名:$EVn_m_属性名

nはこれまで説明してきたとおり，イベント条件で指定した条件ID（CID）を指定します。また，右側の属性名には，相関元イベントから引き継ぎたい属性を指定します。ただし，左側の属性名にイベントID(B.ID)を指定している場合は, 相関元イベントの属性値を引き継げません。

加えて，mには発行されたJP1イベント（相関元イベント）の処理順序を指定します。つまり，3番目に処理されたJP1イベントの属性値を引き継ぎたい場合，mに3を指定します。なお，mに指定した値が，しきい値（threshold:n）に指定した件数より大きい場合は定義不正になります。

イベント相関タイプがしきい値の場合の引き継ぎ例を次の図に示します。

図2‒6　イベント相関タイプがしきい値の場合の引き継ぎ例

属性名:$EVn_m_属性名のn，mはどちらも省略できます。n，mを省略した場合の引き継ぎについて，例を用いて説明します。

例1

メッセージにLogin errorを含むJP1イベントが3回発行された場合に相関元イベントのメッセージを引き継いだ相関イベントを発行する。

相関イベント発行定義ファイルの定義内容

[ex.1]

CON=CID:1,B.MESSAGE*="Login error"

TYPE=threshold:3

SUCCESS_EVENT=B.ID:A00,E.SEVERITY:Error,B.MESSAGE:設定値

表2‒51　満たしたい要件と設定値（例1の場合）
項番	満たしたい要件	設定値
1	1番目（最初）にイベント条件に合致したJP1イベントのメッセージを相関イベントに引き継ぐ。	`$EV1_1_B.MESSAGE`，または`$EV_1_B.MESSAGE`
2	2番目にイベント条件に合致したJP1イベントのメッセージを引き継ぐ。	`$EV1_2_B.MESSAGE`，または`$EV_2_B.MESSAGE`
3	3番目（最後）にイベント条件に合致したJP1イベントのメッセージを引き継ぐ。	`$EV1_3_B.MESSAGE`， `$EV1_B.MESSAGE`， `$EV_3_B.MESSAGE`，または`$EV_B.MESSAGE`

例2

次の条件のどれかに該当するJP1イベントが10回発行された場合に，相関元イベントのメッセージを引き継いだ相関イベントを発行する。

イベントIDが100で，メッセージにWarningを含む。
イベントIDが200で，メッセージにWarningまたはErrorを含む。

相関イベント発行定義ファイルの定義内容

[ex.2]

CON=CID:100,B.ID==100,B.MESSAGE*="Warning"

CON=CID:200,B.ID==200,B.MESSAGE*="Warning";"Error"

TYPE=threshold:10

SUCCESS_EVENT=B.ID:B00,E.SEVERITY:Error,B.MESSAGE:設定値

表2‒52　満たしたい要件と設定値（例2の場合）
項番	要件	設定値
1	イベント条件（条件ID：100）に1番目（最初）に合致したJP1イベントのメッセージを相関イベントに引き継ぐ。	`$EV100_1_B.MESSAGE`
2	イベント条件（条件ID：100）に5番目に合致したJP1イベントのメッセージを相関イベントに引き継ぐ。	`$EV100_5_B.MESSAGE`
3	イベント条件（条件ID：100）に10番目（最後）に合致したJP1イベントのメッセージを相関イベントに引き継ぐ。	`$EV100_10_B.MESSAGE`
4	イベント条件に関係なく，1番目（最初）に処理されたJP1イベントのメッセージを相関イベントに引き継ぐ。	`$EV_1_B.MESSAGE`
5	イベント条件に関係なく，5番目に処理されたJP1イベントのメッセージを相関イベントに引き継ぐ。	`$EV_5_B.MESSAGE`
6	イベント条件に関係なく，10番目（最後）に処理されたJP1イベントのメッセージを相関イベントに引き継ぐ。	`$EV_10_B.MESSAGE`，または`$EV_B.MESSAGE`

まとめると次のようになります。

nを省略した場合

nを省略すると，イベント条件に関係なく，mに指定した相関元イベントの順番だけで判定されます。つまり，mに3を指定していれば，相関イベントには，3番目に処理された相関元イベントの属性値が引き継がれます。

mを省略した場合

mを省略すると，順番に関係なく，最後に処理された相関元イベントが対象になります。しきい値が10件であれば，10番目に処理された相関元イベントの属性値が引き継がれます。

同時にnを指定していれば，イベント条件で最後に処理された相関元イベントの属性値が引き継がれます。

nおよびmを省略した場合

nおよびmを省略すると，イベント条件および処理の順番に関係なく，最後に処理された相関元イベントが対象になります。

なお，n，mのどちらを指定した場合でも，条件に合う（引き継ぎ元の）JP1イベントがない場合は，変数の部分が空文字（0バイト）に置き換わります。

(c) 相関元イベントの属性値の一部を相関イベントの属性値に引き継ぐ

相関元イベントの属性値の一部を切り出して，相関イベントに引き継ぎたい場合，変数 $EVn_ENVoを指定します。また，イベント条件は正規表現（*=）で指定し，属性値の切り出したい部分を( )で囲みます。

相関成立イベントは次の形式で指定します。

　SUCCESS_EVENT=属性名:$EVn_ENVo

この場合，CIDで引き継ぎたい相関元イベントを指定し，nにCIDの値を指定します。また，ENVoのoに切り出した順番を指定します。属性値の一部を切り出した場合の引き継ぎ例を次の図に示します。

図2‒7　変数$EVn_ENVoを使用した場合の相関成立イベントへの引き継ぎ例

上記の例では，条件ID（CID）=1の条件および条件ID（CID）=2で指定した相関元イベントのErrorCode=の右辺を( )を使って切り出し，相関イベントのメッセージに引き継いでいます。

変数 $EVn_ENVoを使うと，属性値に特定の文字列を含む相関元イベントが発行された場合に相関イベントを発行し，かつ，属性値に含まれる文字列の一部を相関イベントに引き継ぐこともできます。

この場合，イベント条件に指定した正規表現(*=)のあとの" ( " が何番目かでENVoのoに番号を指定します。つまり，イベント条件の正規表現(*=)のあとに続く相関元イベントの属性値に対して，左から右に" ( " を数え，引き継ぎたい個所の順番をoに指定します。

$EVn_ENVoで切り出される部分については，同一属性値条件に$EVn_ENVoを指定した場合と同じです。詳細については，「図2-3　イベント条件（CON）と$EVn_ENVoで切り出される部分の対応」を参照してください。

属性値に特定の文字列を含む相関元イベントが発行された場合に相関イベントを発行し，かつ，属性値に含まれる文字列の一部を相関イベントに引き継ぐ例を次に示します。

図2‒8　属性値に含まれる特定の文字列の一部を相関イベントに引き継ぐ例

上記の例では，次に示す相関元イベントが発行された場合に，相関イベントにその属性値を引き継ぐよう定義しています。

host= のあとに「MANAGER_A」または「AGENT_A，B，Cのどれか」を含む。
ErrorCode= のあとに4文字以上の文字列を含む^※。

注※

4文字を超える場合は，4文字までを引き継ぎます。

ErrorCode=12345678・・・の場合，「1234」となります。
4文字未満の場合は，ErrorCode= 文字列のあとに続く文字列を含んで4文字を引き継ぎます。

ErrorCode=1 2006/11/11・・・の場合，「1 20」となります。

なお，ErrorCode=のあとの文字列が4文字未満だった場合，相関イベントは発行されません。

ページの先頭へ

定義例

定義例1：重大度がエラー以上のJP1イベントを相関イベントとして発行する場合

VERSION=2
 
#エラー以上のJP1イベントを相関イベントとして発行する
[filter_over_error]
CON=CID:1,B.ID==1,E.SEVERITY==Error;Critical;Alert;Emergency
SUCCESS_EVENT=E.SEVERITY:Emergency,B.MESSAGE:$EV1_B.MESSAGE

定義例2：重大度がエラー以上のJP1イベント，およびJP1/AJSが発行した重大度がエラーのJP1イベントを相関イベントとして発行する場合

次のように設定した場合，JP1/AJSがエラーのJP1イベントを発行すると，相関イベント発行条件over_error，およびajs2_over_errorに一致するため，相関イベントは二つ発行されます。

VERSION=2
 
#エラー以上のJP1イベントを相関イベントとして発行する
[over_error]
CON=CID:1,E.SEVERITY==Error;Critical;Alert;Emergency
SUCCESS_EVENT=E.SEVERITY:Emergency,B.MESSAGE:$EV1_B.MESSAGE
 
#JP1/AJS2のエラーのJP1イベントを相関イベントとして発行する
[ajs2_over_error]
CON=CID:1,E.SEVERITY==Error,E.PRODUCT_NAME==/HITACHI/JP1/AJS2
SUCCESS_EVENT=E.SEVERITY:Emergency,B.MESSAGE:$EV1_B.MESSAGE

なお，JP1/AJSがエラーのJP1イベントを発行した場合に，相関イベントを1件だけ発行したい場合は，一つ目の相関イベント発行条件を次のように設定します。

VERSION=2
 
#エラー以上のJP1イベントを相関イベントとして発行する
#JP1/AJS2が発行したイベントは除外する
[over_error_and_not_ajs2]
CON=NOT,E.SEVERITY==Error,E.PRODUCT_NAME==/HITACHI/JP1/AJS2
CON=CID:1,E.SEVERITY==Error;Critical;Alert;Emergency
SUCCESS_EVENT=E.SEVERITY:Emergency,B.MESSAGE:$EV1_B.MESSAGE
 
#JP1/AJS2のエラーのJP1イベントを相関イベントとして発行する
[ajs2_over_error]
CON=CID:1,E.SEVERITY==Error,E.PRODUCT_NAME==/HITACHI/JP1/AJS2
SUCCESS_EVENT=E.SEVERITY:Emergency,B.MESSAGE:$EV1_B.MESSAGE

定義例3：タイムアウト時間を定義した場合

VERSION=2
 
[condition]
CON=NOT,E.SEVERITY==Error,E.PRODUCT_NAME==/HITACHI/JP1/AJS2
 
CON=CID:1,B.ID==1,B.MESSAGE==TEST,E.SEVERITY==Warning
CON=CID:2,B.ID==1,B.MESSAGE==TEST,E.SEVERITY==Error
CON=CID:3,B.ID==1,B.MESSAGE==TEST,E.SEVERITY==Critical
 
TIMEOUT=10
SUCCESS_EVENT=E.SEVERITY:Emergency,B.MESSAGE:$EV1_B.MESSAGE

定義例4：JP1/AJS2およびJP1/Baseの発行したエラーのJP1イベントのメッセージをまとめて，1件の相関イベントとして発行する場合

VERSION=2
 
[cond1]
 
CON=CID:1,E.SEVERITY==Error,E.PRODUCT_NAME>=HITACHI/JP1/AJS2
CON=CID:5,E.SEVERITY==Error,E.PRODUCT_NAME>=HITACHI/JP1/Base
 
SUCCESS_EVENT=E.SEVERITY:$EV1_E.SEVERITY,B.MESSAGE:"$EV1_B.MESSAGE $EV5_B.MESSAGE"

定義例5：変数 $EVn_ENVoを使った切り出しの例

メッセージに含まれる詳細コード「error△code△=△n△」を相関イベントのメッセージに設定する場合（nは任意の文字列，△は半角スペース）

VERSION=2
 
[SAMPLE]
 
CON=CID:100, B.MESSAGE*=(error△code△=.*△)
SUCCESS_EVENT=B.ID:100,E.SEVERITY:Emergency,B.MESSAGE:エラー情報[$EV100_ENV1△]

定義例6：相関の対象範囲をホストで絞り込み，同時相関数を20としてユーザーごとに相関イベントを発行する場合

VERSION=2
 
[condition2]
TARGET=B.SOURCESERVER==host1;host2;host3
CON=NOT, E.SEVERITY==Error, E.PRODUCT_NAME==/HITACHI/JP1/AJS2
 
CON=CID:1, B.ID==1, B.MESSAGE==TEST, E.SEVERITY==Warning
CON=CID:2, B.ID==1, B.MESSAGE==TEST, E.SEVERITY==Error
CON=CID:3, B.ID==1, B.MESSAGE==TEST, E.SEVERITY==Critical
 
SAME_ATTRIBUTE=E.USERNAME
CORRELATION_NUM=20
TIMEOUT=10
SUCCESS_EVENT=B.MESSAGE:$EV1_B.MESSAGE

ページの先頭へ