4.3.1 相関イベント発行の仕組み
相関イベントの発行は,次に示すJP1/IM - Managerのプロセスによって行われます。
-
統合監視DBを使用しない場合:相関イベント発行サービス
-
統合監視DBを使用する場合:イベント基盤サービス
なお,相関イベント発行サービス,およびイベント基盤サービスは,相関イベント発行機能を提供しています。
相関イベント発行機能の位置を図で表すと次のようになります。
統合監視DBを使用する場合には,相関イベント発行機能はイベント基盤サービスに組み込まれているため,イベント相関処理とイベントコンソールサービスへのイベント配信を同期できます。
- 〈この項の構成〉
(1) 相関イベント発行機能の起動時の処理
JP1/IM - Managerを起動すると,相関イベント発行機能は相関イベント発行定義を読み込み,相関イベントの発行処理の準備をします。
なお,統合監視DBを使用しない場合,相関イベント発行サービスはデフォルトでは起動しません。jcoimdefコマンドで起動するよう設定しておく必要があります。統合監視DBを使用する場合,イベント基盤サービスは起動していますが,相関イベント発行機能はデフォルトでは無効です。jcoimdefコマンドで有効に設定しておく必要があります。
相関イベント発行機能の起動時の処理を次の図に示します。
図中の番号に従って説明します(図中の丸付き番号は,次に示す番号にそれぞれ対応しています)。
-
相関イベント発行機能が,プロセス管理によって起動される。
相関イベント発行機能は,JP1/IM - Managerのほかのプロセスと同様にプロセス管理によって起動および停止されます。
なお,統合監視DBを使用しない場合,相関イベント発行サービスはデフォルトでは起動しません。jcoimdefコマンドで起動するよう設定しておく必要があります。統合監視DBを使用する場合,イベント基盤サービスは起動していますが,相関イベント発行機能はデフォルトでは無効です。jcoimdefコマンドで有効に設定しておく必要があります。
-
相関イベント発行機能が,内部で保持している相関イベント発行定義を読み込む。
相関イベント発行機能は,内部で保持している相関イベント発行定義に従って動作します。このため,相関イベント発行定義ファイルを編集しても,jcoegschangeコマンドを使用して反映するまでは相関イベント発行機能の動作は変わりません。
なお,相関イベント発行定義は,デフォルトでは定義されていません。相関イベントを発行するには,相関イベント発行定義ファイルを編集して,jcoegschangeコマンドで反映する必要があります。
- メモ
-
相関イベント発行定義を変更したい場合,jcoegschangeコマンドを使用します。
相関イベント発行機能が起動している場合,使用している相関イベント発行定義を更新できます。停止している場合は,次回の起動時から使用する相関イベント発行定義を更新できます。
ただし,相関イベント発行機能の起動処理中や停止処理中の場合は,相関イベント発行定義は更新できません。
(2) 相関イベント発行機能の起動後のJP1イベント取得処理
相関イベント発行機能の起動後のJP1イベントの処理は,統合監視DBを使用しない場合と使用する場合で異なります。それぞれの処理の流れについて説明します。
(a) 統合監視DBを使用しない場合の相関イベントの発行処理
相関イベント発行機能は,相関イベント発行サービスが取得したイベントに対して,相関イベント発行定義を関連づけし,相関イベントを発行します。
相関イベント発行サービスは,起動後にJP1/BaseのイベントDBからJP1イベントの取得を開始する位置を選択できます。JP1イベントの取得を開始する位置は,coldスタートおよびwarmスタートの2種類から選択できます。これらのオプションを総称して,起動オプションといいます。起動オプションを使用すると,実行していた相関処理を引き継ぐかどうかを指定できます。相関イベントの発行処理の起動オプションについて,次の表で説明します。
起動オプション |
説明 |
---|---|
相関イベント発行機能の起動後にJP1/BaseのイベントDBに登録されたJP1イベントから取得を開始します。 JP1/IM - Managerが停止する前に実行していた相関処理を停止し,再起動後に実行状態を引き継ぎません。 |
|
相関イベント発行機能の前回の停止時に取得を終えていたJP1イベントの次に,JP1/BaseのイベントDBに登録されたJP1イベントから取得を開始します。 JP1/IM - Managerが停止する前に実行していた相関処理を保存し,再起動後に実行状態を引き継ぎます。 なお,デフォルトの設定はwarmスタートです。 |
coldスタートとwarmスタートのそれぞれの場合で,JP1イベントの取得開始の違いを次の図に示します。
相関イベント発行機能の停止時にイベントZまで取得していた場合,warmスタートでは,イベントZの次に登録されたイベントAから取得を開始します。coldスタートでは,相関イベント発行機能の起動後に登録されたイベントCから取得を開始します。
相関イベント発行機能は,デフォルトではwarmスタートで起動します。通常はwarmスタートのままで使用できます。相関イベント発行機能が停止していた間に発行されたJP1イベントを取得対象にしない場合は,coldスタートに変更してください。
JP1/IM - Managerをクラスタシステムで運用する場合,warmスタートで使用することをお勧めします。coldスタートの場合は,JP1/IM - Managerのフェールオーバー中に発行されたJP1イベントは取得の対象になりません。
なお,相関イベント発行機能が取得するJP1イベントは,イベント取得フィルターでフィルタリングされたJP1イベントです。イベント取得フィルターの詳細については,「4.2 JP1イベントのフィルタリング」を参照してください。
■ 相関イベントの発行処理の例(統合監視DBを使用しない場合)
cold,warmそれぞれを指定した場合の相関イベントの発行処理を次の図に示します。
「図4-23 相関イベント発行サービスの停止時および起動時の発行処理(統合監視DBを使用しない場合)」の例について説明します。
- 例1の場合
-
相関イベント発行サービスの停止時の設定がcoldで,相関イベント発行サービスの起動時の設定がcoldの場合の動作を次に示します。
- 相関イベント発行サービス停止時の動作
-
-
発行処理の対象であるJP1イベントの情報をすべて破棄して,処理を終了します。
-
相関イベント発行履歴ファイルに処理内容を出力します。
-
- 相関イベント発行サービス起動後の動作
-
-
相関イベント発行サービス起動後に登録されたJP1イベントから取得を開始します。
-
相関イベント発行定義を読み込み,定義に従って発行処理を開始します。
-
- 例2の場合
-
相関イベント発行サービスの停止時の設定がcoldで,相関イベント発行サービスの起動時の設定がwarmの場合の動作を次に示します。
- 相関イベント発行サービス停止時の動作
-
-
発行処理の対象であるJP1イベントの情報をすべて破棄して,処理を終了します。
-
相関イベント発行履歴ファイルに処理内容を出力します。
-
- 相関イベント発行サービス起動後の動作
-
-
前回の停止時に取得を終えていたJP1イベントの次のJP1イベントから取得を開始します。
-
相関イベント発行定義を再読み込みし,定義に従って発行処理を開始します。
-
- 例3の場合
-
相関イベント発行サービスの停止時の設定がwarmで,相関イベント発行サービスの起動時の設定がcoldの場合の動作を次に示します。
- 相関イベント発行サービス停止時の動作
-
-
発行処理中のJP1イベントの情報,発行処理の内容,および相関イベント発行定義の内容を内部ログに出力して,処理状態を保持します。
-
相関イベント発行履歴ファイルに処理内容を出力します。
-
- 相関イベント発行サービス起動後の動作
-
-
前回停止時に発行処理中のJP1イベントがあった場合,それらのJP1イベントの情報をすべて破棄します。
-
相関イベント発行サービス起動後に登録されたJP1イベントから取得を開始します。
-
相関イベント発行定義を読み込み,定義に従って発行処理を開始します。
-
- 例4の場合
-
相関イベント発行サービスの停止時の設定がwarmで,相関イベント発行サービスの起動時の設定がwarmの場合の動作を次に示します。
- 相関イベント発行サービス停止時の動作
-
-
発行処理中のJP1イベントの情報,発行処理の内容,および相関イベント発行定義の内容を内部ログに出力して,処理状態を保持します。
-
相関イベント発行履歴ファイルに処理内容を出力します。
-
- 相関イベント発行サービス起動後の動作
-
-
前回の停止時に取得を終えていたJP1イベントの次のJP1イベントから取得を開始します。
-
相関イベント発行定義を再読み込みし,定義に従って発行処理を開始します。
-
内部ログを参照し,前回停止時に発行処理中のJP1イベントがあった場合,その続きから発行処理を継続します。
ただし,相関イベント発行サービスの停止から起動する間に相関イベント発行定義が変更されていた場合は,それらのJP1イベントの情報をすべて破棄します(coldスタートと同様に動作します)。
-
- 重要
-
相関イベント発行サービスが異常終了した場合,発行処理中のJP1イベントの情報を保持できないため,次回の起動時はcoldスタートと同様に動作します。停止時に発行処理中だったJP1イベントの情報は破棄され,相関イベント発行サービスの起動後に登録されたJP1イベントから取得が開始されます。
相関イベント発行サービスの異常終了とは,次のような場合です。
-
相関イベント発行サービスのプロセスが強制終了(kill)された場合
-
jcogencoreコマンドを実行してプロセスを強制終了した場合
-
システムの電源が強制的に切られた場合
-
(b) 統合監視DBを使用する場合の相関イベントの発行処理
相関イベント発行機能は,イベント基盤サービスが取得したイベントに対して,相関イベント発行定義を関連づけし,相関イベントを発行します。
イベント基盤サービスは,起動後にJP1/BaseのイベントDBからJP1イベントの取得を開始する位置を選択できます。JP1イベントの取得を開始する位置は,jcoimdefコマンドの-bオプションで選択できます。
相関イベントの発行処理は,JP1イベントの取得を開始する位置および起動オプションの組み合わせによって次のように異なります。
起動オプション |
-bオプションの値 |
処理 |
---|---|---|
warm |
-1(デフォルト値) |
相関イベントの発行処理中であるJP1イベントの状態を引き継ぎます。 JP1イベントの取得を開始する位置は,前回の停止時に取得を終えていたJP1イベントの次のJP1イベントからです。なお,前回の停止時に取得を終えていたJP1イベントがない場合は,イベントDBに登録されているイベントの中で最も古いJP1イベントから取得を開始します。 |
0〜144 |
KAJV2316-Wメッセージを出力し,相関イベントの発行処理中であるJP1イベントの状態を引き継ぎません。 |
|
cold |
-1〜144 |
相関イベントの発行処理は,すべて停止し,終了します。相関イベントの発行処理中であるJP1イベントの状態を引き継げません。 |
なお,一度,相関イベント発行処理の対象となったJP1イベントは,再度,相関イベント発行処理の対象にはなりません。
■ 相関イベントの発行処理の例(統合監視DBを使用する場合)
cold,warmそれぞれを指定した場合の相関イベントの発行処理を次の図に示します。
「図4-24 イベント基盤サービスの停止時および起動時の発行処理(イベント基盤サービス停止時の起動オプションがcoldの場合)」の例について説明します。
- 例1の場合
-
イベント基盤サービスの起動時の設定がcoldまたはwarmで,jcoimdefコマンドの-bオプションに0〜144が指定されている場合の動作を次に示します。
- イベント基盤サービス停止時の動作
-
-
発行処理の対象であるJP1イベントの情報をすべて破棄して,処理を終了します。
-
相関イベント発行履歴ファイルに処理内容を出力します。
-
- イベント基盤サービス起動後の動作
-
-
jcoimdefコマンドの-bオプションで指定した時間までさかのぼって,JP1イベントの取得を開始します。
-
相関イベント発行定義を読み込み,定義に従って発行処理を開始します。
-
- 例2の場合
-
イベント基盤サービスの起動時の設定がcoldまたはwarmで,jcoimdefコマンドの-bオプションに-1が指定されている場合の動作を次に示します。
- イベント基盤サービス停止時の動作
-
-
発行処理の対象であるJP1イベントの情報をすべて破棄して,処理を終了します。
-
相関イベント発行履歴ファイルに処理内容を出力します。
-
- イベント基盤サービス起動後の動作
-
-
前回の停止時に取得を終えていたJP1イベントの次のJP1イベントから取得を開始します。
-
相関イベント発行定義を再読み込みし,定義に従って発行処理を開始します。
-
「図4-25 イベント基盤サービスの停止時および起動時の発行処理(イベント基盤サービス停止時の起動オプションがwarmの場合)」の例について説明します。
- 例3の場合
-
イベント基盤サービスの起動時の設定がcoldで,jcoimdefコマンドの-bオプションに0〜144が指定されている場合の動作を次に示します。
- イベント基盤サービス停止時の動作
-
-
発行処理中のJP1イベントの情報,発行処理の内容,および相関イベント発行定義の内容を内部ログに出力して,処理状態を保持します。
-
相関イベント発行履歴ファイルに処理内容を出力します。
-
- イベント基盤サービス起動後の動作
-
-
前回停止時に発行処理中のJP1イベントがあった場合,それらのJP1イベントの情報をすべて破棄します。
-
jcoimdefコマンドの-bオプションで指定した時間までさかのぼって,JP1イベントの取得を開始します。
-
相関イベント発行定義を読み込み,定義に従って発行処理を開始します。
-
- 例4の場合
-
イベント基盤サービスの起動時の設定がwarmで,jcoimdefコマンドの-bオプションに0〜144が指定されている場合の動作を次に示します。
- イベント基盤サービス停止時の動作
-
-
発行処理中のJP1イベントの情報,発行処理の内容,および相関イベント発行定義の内容を内部ログに出力して,処理状態を保持します。
-
相関イベント発行履歴ファイルに処理内容を出力します。
-
- イベント基盤サービス起動後の動作
-
-
jcoimdefコマンドの-bオプションで指定した時間までさかのぼって,JP1イベントの取得を開始します。
-
相関イベント発行定義を再読み込みし,定義に従って発行処理を開始します。
-
内部ログを参照し,発行処理をしていないJP1イベント以降を対象にして発行処理を開始します。
-
- 例5の場合
-
イベント基盤サービスの起動時の設定がcoldで,jcoimdefコマンドの-bオプションに-1が指定されている場合の動作を次に示します。
- イベント基盤サービス停止時の動作
-
-
発行処理中のJP1イベントの情報,発行処理の内容,および相関イベント発行定義の内容を内部ログに出力して,処理状態を保持します。
-
相関イベント発行履歴ファイルに処理内容を出力します。
-
- イベント基盤サービス起動後の動作
-
-
前回の停止時に取得を終えていたJP1イベントの次のJP1イベントから取得を開始します。
-
相関イベント発行定義を再読み込みし,定義に従って発行処理を開始します。
-
- 例6の場合
-
イベント基盤サービスの起動時の設定がwarmで,jcoimdefコマンドの-bオプションに-1が指定されている場合の動作を次に示します。
- イベント基盤サービス停止時の動作
-
-
発行処理中のJP1イベントの情報,発行処理の内容,および相関イベント発行定義の内容を内部ログに出力して,処理状態を保持します。
-
相関イベント発行履歴ファイルに処理内容を出力します。
-
- イベント基盤サービス起動後の動作
-
-
前回の停止時に取得を終えていたJP1イベントの次のJP1イベントから取得を開始します。
-
相関イベント発行定義を再読み込みし,定義に従って発行処理を開始します。
-
内部ログを参照し,前回停止時に発行処理中のJP1イベントがあった場合,その続きから発行処理を継続します。
-
- 重要
-
イベント基盤サービスが異常終了した場合,発行処理中のJP1イベントの情報を保持できないため,次回の起動時はcoldスタートと同様に動作します。停止時に発行処理中だったJP1イベントの情報は破棄され,イベント基盤サービスの起動後に登録されたJP1イベントから取得が開始されます。
イベント基盤サービスの異常終了とは,次のような場合です。
-
イベント基盤サービスのプロセスが強制終了(kill)された場合
-
jcogencoreコマンドを実行してプロセスを強制終了した場合
-
システムの電源が強制的に切られた場合
-
(3) JP1イベント取得後の相関イベント発行処理
JP1イベント取得後の相関イベントの発行処理について次の図に示します。
相関イベント発行条件にイベント条件を一つだけ定義した場合,イベント条件に一致するJP1イベントが発行された時点で,相関イベント発行処理が成立で終了します。
相関イベント発行条件にイベント条件を複数定義した場合は,一つのイベント条件に一致するJP1イベントが発行されたあと,ほかのイベント条件に一致するJP1イベントが発行された時点で相関イベント発行処理が成立で終了します。ほかのイベント条件に一致するJP1イベントがタイムアウト時間※内に発行されなかった場合は,相関イベント発行処理は不成立で終了します。なお,相関イベント発行定義で相関成立および相関不成立のJP1イベントを発行するように設定している場合には,それぞれの相関イベントが発行されます。
注※ JP1イベントの基本属性の一つ,到着時刻が起点となります。
- メモ
-
イベント条件を複数定義した場合には,順序性,組み合わせ,またはしきい値の三つのイベント相関タイプを選択できます。
-
「順序性(sequence)」はJP1イベントの発生順序を考慮して発行処理を開始します。上記図の発行条件2でイベント相関タイプに「順序性(sequence)」を設定した場合,イベント条件1が成立するまでイベント条件2の処理は開始されません。
-
「組み合わせ(combination)」は上記図の発行条件2に指定されているイベント相関タイプです。イベント条件1,イベント条件2の発生順序を考慮せず,発行処理を開始します。
-
「しきい値(threshold)」は定義したイベント条件に合致するJP1イベントの発行数がしきい値に達したときに相関イベントを発行します。
-
相関イベントの発行処理の内容は,すべて相関イベント発行履歴ファイルに出力および保存されるため,必要に応じて参照できます。相関イベント発行履歴ファイルについては,「4.3.4 相関イベント発行履歴ファイルの内容」を参照してください。
(4) 統合監視DBの有効・無効を切り替えた場合の相関処理
統合監視DBの有効・無効を切り替えた場合の相関処理のイベント取得位置について次の表に示します。
統合監視DBの有効・無効の切り替え |
切り替え時の起動オプション |
切り替え後のJP1イベントの取得開始位置 |
---|---|---|
有効から無効へ切り替え |
cold |
イベント基盤サービスの起動時 |
warm |
イベント基盤サービスの前回の停止時 |
|
無効から有効へ切り替え |
cold |
jcoimdefコマンドの-bオプションに設定された値に従う |
warm |
(5) 業務グループの参照・操作制限を設定している場合の処理
業務グループでの参照・操作を制限している場合,JP1ユーザーは,異なる業務グループにわたる相関イベントを定義できません。相関イベントを定義できるのは,システム管理者だけです。JP1ユーザーが相関イベントを設定したい場合は,システム管理者に依頼してください。
異なる業務グループで発生したJP1イベントを相関イベントとして定義した場合,[関連イベント一覧]画面で相関元イベントの背景色がグレーに表示されます。
相関イベントを定義するときは,相関イベントの関連イベントが業務システム内で発生したJP1イベントになるよう絞り込み条件を定義してください。また,発行される相関イベントが業務システム内のJP1イベントとなるよう,変数を定義してください。相関イベントの定義例を次に示します。
[gyoumuA]
TARGET=E.JP1_SOURCEHOST==/業務システムA ・・・・・・・・・・・・・・・1
CON=CID:1, E.SEVERITY==Error, E.PRODUCT_NAME>=HITACHI/JP1/AJS2
CON=CID:2, E.SEVERITY==Error, E.PRODUCT_NAME>=HITACHI/JP1/Base
SUCCESS_EVENT=E.SEVERITY:Alert,E.JP1_SOURCEHOST:$EV1_E.JP1_SOURCEHOST ・・・・・・・・・・2
- 説明
-
-
絞り込み条件(TARGET)を使用し,関連イベントの発行元ホスト名(E.JP1_SOURCEHOST)が業務グループ(業務システムA)のホストのホスト名だけになるように絞り込む。業務グループ・監視グループを指定する場合は,先頭に「/」を付けてパス表記にする。
-
変数($EV1_E.SOURCEHOST)を使用し,CID:1のイベント条件と一致した関連イベント条件の発生元ホスト名を相関イベント(SUCCESS_EVENT)の発生元ホスト名(E.JP1_SOURCEHOST)に引き継ぐようにする。
-