4.4.3 繰り返しイベント条件について
JP1イベントの属性および比較キーワードを条件として指定することで,どのイベントを抑止の対象とするかを設定できます。この条件を,繰り返しイベント条件といいます。繰り返しイベント条件は,最大2,500件設定できます。
繰り返しイベント条件は,[繰り返しイベント条件設定]画面,および[繰り返しイベント条件一覧]画面で設定します。[繰り返しイベント条件一覧]画面の一覧の上に表示されている繰り返しイベント条件ほど優先順位が高くなります。
システム運用中に追加でJP1イベントを抑止したくなった場合,イベント一覧に表示されているイベントを基に繰り返しイベント条件を追加できます。イベント一覧に表示されているイベントを基に設定した繰り返しイベントを,追加繰り返しイベント条件と呼びます。
追加繰り返しイベント条件は,[繰り返しイベント条件一覧]画面で種別を変更することで,通常の繰り返しイベント条件として扱えるようになります。
繰り返しイベント条件を設定する手順などについては,次の参照先を参照してください。
-
繰り返しイベント条件の設定
参照先:マニュアル「JP1/Integrated Management 3 - Manager 運用ガイド」の「6.10.6 繰り返しイベント条件を設定する」
-
追加繰り返しイベント条件の設定
参照先:マニュアル「JP1/Integrated Management 3 - Manager 運用ガイド」の「6.10.4(1) 運用中に発生したイベントを使って追加繰り返しイベント条件を設定する」
-
追加繰り返しイベント条件の種別の変更
参照先:マニュアル「JP1/Integrated Management 3 - Manager 運用ガイド」の「6.10.4(3) 追加繰り返しイベント条件を繰り返しイベント条件に変更する」
- 〈この項の構成〉
(1) 繰り返しイベント条件の設定項目(繰り返しイベントの表示抑止)
繰り返しイベント条件の設定項目について説明します。
-
イベント条件
JP1/IM - Managerが監視対象イベントを取得したときに,JP1イベントのどの属性値を比較するかを設定できます。
指定できるJP1イベントの属性などの詳細については,「4.4.3(2) 繰り返しイベント条件に設定できるイベントの比較属性」を参照してください。
-
抑止項目
抑止項目では,イベント条件に一致するJP1イベントの,何を抑止するのかを設定できます。抑止できる内容を次に示します。
-
繰り返しイベントを[イベントコンソール]画面に集約して表示するかどうか
-
繰り返しイベントに対応するアクションの実行を抑止するかどうか
繰り返しイベントの表示抑止を使用するには,抑止項目で繰り返しイベントを[イベントコンソール]画面に集約して表示するように設定する必要があります。表示抑止中のイベント一覧の詳細については,「4.4.6 繰り返しイベントが表示抑止中のイベント一覧の表示」を参照してください。また,自動アクションの実行も抑止する場合は,「4.5.8 大量発生イベントの自動アクション・対処アクションの実行抑止」を参照してください。
-
-
同一属性値条件
繰り返しイベント条件に一致するイベントを特定の属性ごとにグルーピングして抑止するかを設定できます。特定の属性ごとにまとめて抑止するための条件を同一属性値条件といいます。
同一属性値条件の詳細については,「4.4.3(3) 同一属性値条件ごとの繰り返しイベントのグルーピング」を参照してください。
-
しきい値
繰り返しイベントが大量に発生したと判断するためのしきい値を設定できます。ただし,設定したしきい値を超えるまで表示抑止が開始されないため,通常の繰り返しイベントの表示抑止では,繰り返しイベント条件にしきい値を設定しません。
しきい値の考え方については,「4.5.4 大量発生イベントの監視抑止を開始する契機」および「4.5.5 大量発生イベントの監視抑止を終了する契機」を参照してください。
-
終了監視期間
繰り返しイベントの表示抑止を終了してもよいかJP1/IM - Managerが判断するための期間を設定できます。しきい値を設定するかどうかで,終了監視期間の考え方は変わります。
繰り返しイベントの表示抑止の場合,しきい値を設定しないため,JP1/IM - Managerは終了監視期間中に繰り返しイベントが1件も発生しなかったときに,繰り返しイベントの表示抑止を終了してもよいと判断します。終了監視期間は,1秒から86,400秒まで指定できます。デフォルトは,300秒です。
しきい値を設定しない場合(繰り返しイベントの表示抑止)の終了監視期間の考え方については,「4.4.5 繰り返しイベントの表示抑止を終了する契機」を参照してください。
しきい値を設定する場合(大量発生イベントの監視抑止)の終了監視期間の考え方については,「4.5.5 大量発生イベントの監視抑止を終了する契機」を参照してください。
-
抑止開始イベントおよび抑止終了イベントの発行
繰り返しイベントの表示抑止を開始または終了したことを通知するイベントを発行するかを指定できます。監視抑止が開始したことを通知するイベントを,抑止開始イベント(イベントID:00003F58)といいます。監視抑止が終了したことを通知するイベントを,抑止終了イベント(イベントID:00003F59)といいます。デフォルトでは,どちらのイベントも通知しない設定となっています。詳細については,「4.4.8 繰り返しイベントの表示抑止に伴うイベント発行」を参照してください。
-
抑止継続判定および抑止継続処理
時間(秒),または件数ごとに繰り返しイベントの監視抑止が継続されているかを判定して,継続されている場合にJP1イベントを発行して通知したり,抑止を打ち切ったりするかを設定できます。詳細については,「4.4.7 繰り返しイベントの表示抑止が継続されている場合の通知」を参照してください。
(2) 繰り返しイベント条件に設定できるイベントの比較属性
繰り返しイベント条件に指定できるJP1イベントの属性および比較キーワードを次の表に示します。
項番 |
分類 |
属性名 |
指定の可否 |
比較キーワード |
オペランド |
---|---|---|---|---|---|
1 |
基本属性 |
イベントDB内通し番号 (B.SEQNO) |
× |
− |
− |
2 |
イベントID (B.ID) |
○ |
|
複数指定できる。複数指定では最大100件指定できる。 16進数形式(0〜7FFFFFFF)で指定する。大文字・小文字は区別しない。 |
|
3 |
拡張イベントID (B.IDEXT) |
× |
− |
− |
|
4 |
種別 (B.TYPE) |
× |
− |
− |
|
5 |
登録要因 (B.REASON) |
○ |
|
複数指定できる。複数指定では最大100件指定できる。 10進数形式(-2147483648〜2147483647)で指定する。 |
|
6 |
登録元プロセスID (B.PROCESSID) |
○ |
|||
7 |
登録時刻 (B.TIME) |
○ |
|
範囲開始日時および範囲終了日時,または期間を指定する。 範囲開始日時≦時刻≦範囲終了日時が成立する場合に一致する。 |
|
8 |
到着時刻 (B.ARRIVEDTIME) |
○ |
|||
9 |
発行元ユーザーID (B.USERID) |
○ |
|
複数指定できる。複数指定では最大100件指定できる。 10進数形式(-2147483648〜2147483647)で指定する。 |
|
10 |
発行元グループID (B.GROUPID) |
○ |
|||
11 |
発行元ユーザー名 (B.USERNAME) |
○ |
|
複数指定できる。複数指定では最大100件指定できる。ただし,正規表現を指定している場合は,複数指定できない。 制御文字を除く文字列で指定する。大文字・小文字を区別する。 |
|
12 |
発行元グループ名 (B.GROUPNAME) |
○ |
|||
13 |
登録ホスト名 (B.SOURCESERVER) |
○ |
|
複数指定できる。複数指定では最大100件指定できる。ただし,正規表現を指定している場合は,複数指定できない。 制御文字を除く文字列で指定する。jcoimdefコマンドの-ignorecasehostオプションの指定を「ON」にした場合,大文字・小文字を区別しない。 業務グループを指定できる。 |
|
14 |
送信先イベントサーバ名 (B.DESTSERVER) |
× |
− |
− |
|
15 |
発行元IPアドレス (B.SOURCEIPADDR) |
○ |
|
複数指定できる。複数指定では最大100件指定できる。ただし,正規表現を指定している場合は,複数指定できない。 制御文字を除く文字列で指定する。大文字・小文字を区別する。IPv6アドレスの場合は,英小文字で指定する。 |
|
16 |
送信先IPアドレス (B.DESTIPADDR) |
× |
− |
− |
|
17 |
発行元イベントDB内通し番号 (B.SOURCESEQNO) |
× |
− |
− |
|
18 |
コードセット (B.CODESET) |
× |
− |
− |
|
19 |
メッセージ (B.MESSAGE) |
○ |
|
複数指定できる。複数指定では最大100件指定できる。ただし,正規表現を指定している場合は,複数指定できない。 制御文字を除く文字列で指定する。大文字・小文字を区別する。 |
|
20 |
詳細情報 (B.DETAIL) |
× |
− |
− |
|
21 |
拡張属性(共通情報) |
重大度 (変更前) (E.SEVERITY) |
○ |
|
緊急,警戒,致命的,エラー,警告,通知,情報,デバッグの中から複数指定できる。 |
22 |
ユーザー名 (E.USER_NAME) |
○ |
|
複数指定できる。複数指定では最大100件指定できる。ただし,正規表現を指定している場合は,複数指定できない。 制御文字を除く文字列で指定する。大文字・小文字を区別する。 |
|
23 |
プロダクト名 (E.PRODUCT_NAME) |
○ |
|||
24 |
オブジェクトタイプ (E.OBJECT_TYPE) |
○ |
|||
25 |
オブジェクト名 (E.OBJECT_NAME) |
○ |
|||
26 |
登録名タイプ (E.ROOT_OBJECT_TYPE) |
○ |
|||
27 |
登録名 (E.ROOT_OBJECT_NAME) |
○ |
|||
28 |
オブジェクトID (E.OBJECT_ID) |
○ |
|||
29 |
事象種別 (E.OCCURRENCE) |
○ |
|||
30 |
開始時刻 (E.START_TIME) |
○ |
|
|
|
31 |
終了時刻 (E.END_TIME) |
○ |
|||
32 |
終了コード (E.RESULT_CODE) |
○ |
|
複数指定できる。複数指定では最大100件指定できる。ただし,正規表現を指定している場合は,複数指定できない。 制御文字を除く文字列で指定する。大文字・小文字を区別する。 |
|
33 |
発生元ホスト名 (E.JP1_SOURCEHOST) |
○ |
|
複数指定できる。複数指定では最大100件指定できる。ただし,正規表現を指定している場合は,複数指定できない。 制御文字を除く文字列で指定する。大文字・小文字を区別する。 業務グループを指定できる。 |
|
34 |
拡張属性(固有情報) |
E.xxxxxxx |
○ |
|
複数指定できる。複数指定では最大100件指定できる。ただし,正規表現を指定している場合は,複数指定できない。 制御文字を除く文字列で指定する。大文字・小文字を区別する。 属性名(XXXXXXX部分)には,先頭が英大文字で英大文字,数字,およびアンダーバー(_)から構成される32バイトまでの文字列を設定できる。 |
(3) 同一属性値条件ごとの繰り返しイベントのグルーピング
繰り返しイベント条件に一致するイベントを特定の属性ごとにグルーピングして抑止できます。特定の属性ごとにまとめて抑止するための条件を同一属性値条件といいます。
同一属性値条件は,繰り返しイベント条件ごとに[繰り返しイベント条件設定]画面の[オプション]ページで指定できます。同一属性値条件は,1件の繰り返しイベントに対して最大3件指定できます。
指定できる同一属性値条件の属性名は,登録ホスト名(B.SOURCESERVER),送信先イベントサーバ名(B.DESTSERVER),メッセージ(B.MESSAGE),イベントID(B.ID),登録要因(B.REASON),発行元ユーザーID(B.USERID),発行元グループID(B.GROUPID),発行元ユーザー名(B.USERNAME),発行元グループ名(B.GROUPNAME),発生元ホスト名(E.JP1_SOURCEHOST),E.xxxxxxx(拡張属性(共通情報または固有情報))です。大文字・小文字を区別します。ただし,jcoimdefコマンドの-ignorecasehostオプションで「ON」を指定した場合は,登録ホスト名(B.SOURCESERVER),送信先イベントサーバ名(B.DESTSERVER),および発生元ホスト名(E.JP1_SOURCEHOST)では,大文字・小文字を区別しません。
属性値は,完全一致で比較します。属性値がない(空文字)場合,属性値がない繰り返しイベントでグルーピングして抑止します。同一属性値条件で指定した属性が繰り返しイベントにない場合は,属性値がない繰り返しイベントとして扱います。
例えば,繰り返しイベント条件が「メッセージがエラーのイベント」だった場合に,同一属性値条件「発生元ホスト名」を指定したときと指定しなかったときの違いを次の図に示します。
-
同一属性値条件「発生元ホスト名」を指定した場合
同一属性値条件を指定した場合,エージェントごとにイベントを監視できます。
最初に,エージェントで発行されたJP1イベントが,JP1/IM - Managerに到着します。
アクションの実行を抑止している場合,JP1/IM - Managerでは,繰り返しイベント条件である「メッセージがエラーのイベント」および,同一属性値条件である「発生元ホスト名」ごとにアクションの実行を抑止します。この図の例では,hostAおよびhostBのそれぞれから1件目に到着したエラーイベントに対して,アクションが実行されます。そのあとに到着したイベントに対しては,アクションが抑止されます。
JP1/IM - Viewでは,繰り返しイベント条件である「メッセージがエラーのイベント」および,同一属性値条件である「発生元ホスト名」ごとに集約して表示されます。この図の例では,hostAおよびhostBのそれぞれから1件目に到着したエラーイベントが表示されます。そのあとに転送されたイベントは,「hostAのエラーイベント」および「hostBのエラーイベント」ごとに集約して表示されます。
-
同一属性値条件を指定しなかった場合
エージェントに関係なく,JP1/IM - Managerが監視しているエージェントから発行されたイベントをまとめて監視できます。
最初に,エージェントで発行されたJP1イベントが,JP1/IM - Managerに到着します。
アクションの実行を抑止している場合,JP1/IM - Managerでは,繰り返しイベント条件である「メッセージがエラーのイベント」ごとにアクションの実行を抑止します。この図の例では,1件目に到着したエラーイベントに対してはアクションを実行します。2件目以降に到着したエラーイベントは,エージェントに関係なくアクションの実行を抑止します。
JP1/IM - Viewでは,繰り返しイベント条件である「メッセージがエラーのイベント」ごとに集約して表示されます。この図の例では,1件目に到着したエラーイベントが表示されます。そのあとに到着したイベントは,エージェントに関係なく「エラーイベント」として集約して表示されます。