13.1.5 繰り返しイベントおよび大量発生イベントの監視抑止の検討
繰り返しイベントの監視抑止機能を有効にすることで,一定期間(終了監視期間)内に発生した条件に一致するJP1イベントを集約したり,自動アクションを実行しないように抑止したりして,ほかの重要なイベントの見落としを防げます。また,JP1/Baseのイベント転送抑止と組み合わせることで,イベントが大量発生した場合に対処できます。
繰り返しイベントの監視抑止機能を有効にした場合,繰り返しイベントの集約表示機能は使用できません。繰り返しイベントの監視抑止機能を使用するかどうか検討してください。
繰り返しイベントの監視抑止機能の検討項目を次に示します。
-
繰り返しイベントの監視抑止機能を使用する目的の検討
-
繰り返しイベント条件の検討
(1) 繰り返しイベントの監視抑止機能を使用する目的の検討
繰り返しイベントの監視抑止機能は,次のどちらかの目的で使用します。
-
監視する必要のないイベントに対してイベント一覧への表示および自動アクション実行を抑止する
-
大量発生したイベントに対してイベント一覧への表示および自動アクション実行を抑止する
繰り返しイベントの監視抑止機能は,JP1/IM - Managerがイベントサービスから取得したイベントだけに適用されます。エージェントから大量にイベントが転送されることで起こる,マネージャーへの負荷の増大は防げません。そのため,2の目的で繰り返しイベントの監視抑止機能を使用する場合は,JP1/Baseでの大量発生イベントの転送抑止についても合わせて検討してください。
JP1/Baseでの大量発生イベントの転送抑止については,「13.1.7 大量発生イベントの転送抑止の検討」を参照してください。
(2) 繰り返しイベント条件の検討
繰り返しイベントの監視抑止機能を使用する目的に合わせて,繰り返しイベント条件を検討してください。ここでは,繰り返しイベント条件の設定例を二つ示します。
繰り返しイベント条件の例1:監視する必要のないJP1イベントに対してイベント一覧への表示および自動アクション実行を抑止する
日々の監視業務の中で,監視する必要のないJP1イベントに対してイベント一覧への表示および自動アクション実行を抑止する場合は,しきい値なしの繰り返しイベント条件を設定します。
|
[繰り返しイベント条件設定]画面の該当ページ |
設定項目 |
設定内容 |
|---|---|---|
|
− |
繰り返しイベント条件名 |
繰り返しイベント条件例1 |
|
コメント |
監視する必要のないJP1イベントに対してイベント一覧への表示および自動アクション実行を抑止する |
|
|
[基本設定]ページ |
イベント条件 |
|
|
抑止項目 |
|
|
|
[オプション]ページ |
同一属性値条件 |
設定なし |
|
しきい値 |
[有効]チェックボックスのチェックを外す |
|
|
終了監視期間 |
3,600秒 |
|
|
抑止開始イベント |
[発行する]チェックボックスのチェックを外す |
|
|
抑止終了イベント |
[発行する]チェックボックスのチェックを外す |
|
|
抑止継続判定 |
[有効]チェックボックスをチェックする([抑止が継続されているかを判定する契機]に[件数]を選択し,100件ごとに判定する) |
|
|
抑止継続処理 |
[抑止を打ち切る]を選択する([抑止打ち切り通知イベントを発行する]チェックボックスのチェックを外す) |
- (凡例)
-
−:該当なし
- 繰り返しイベント条件例1の説明
-
繰り返しイベント条件例1は,「登録ホスト」が「host1」であり,「重大度」が「警告」と一致するログファイルトラップの,イベント一覧への表示および自動アクションの実行を抑止するための繰り返しイベント条件です。自動アクションは繰り返し開始イベントだけで実行され,それ以外の繰り返しイベントでは実行されません。
この繰り返しイベント条件に一致する繰り返しイベントは,JP1/IM - Managerが最初に繰り返し開始イベントを受信してから抑止が完了するまで,100件受信するごとに抑止が打ち切られます。抑止打ち切り直後の繰り返しイベントは繰り返し開始イベントとして扱われるため,抑止が打ち切られるごとに設定された自動アクションが実行されます。
最後にこの繰り返しイベント条件に一致する繰り返しイベントを取得してから,1時間経過した時点で抑止を完了します。
しきい値なしの監視抑止については,次の説明を参照してください。
- しきい値なしの監視抑止について
-
-
繰り返しイベント条件に一致するイベントのイベント一覧表示を抑止する
参照先:「4.4 繰り返しイベントの表示抑止」
-
しきい値なしの繰り返しイベント条件について
参照先:「4.4.3 繰り返しイベント条件について」
-
繰り返しイベント条件に一致するイベントの自動アクションの実行を抑止する
-
繰り返しイベント条件の例2:イベントの大量発生に備える
日々の監視業務では監視する必要のあるイベントでも,何らかの事象を契機として大量発生した場合には監視を抑止する必要があります。過去の監視業務中に,イベントが大量に発生したことがある場合は,同様のイベントの大量発生に備えて,しきい値ありの繰り返しイベント条件を設定します。
|
[繰り返しイベント条件設定]画面の該当ページ |
設定項目 |
設定内容 |
|---|---|---|
|
− |
繰り返しイベント条件名 |
繰り返しイベント条件例2 |
|
コメント |
イベントの大量発生に備える |
|
|
[基本設定]ページ |
イベント条件 |
|
|
抑止項目 |
|
|
|
[オプション]ページ |
同一属性値条件 |
設定なし |
|
しきい値 |
[有効]チェックボックスをチェックする(100件/30秒) |
|
|
終了監視期間 |
43,200秒 |
|
|
抑止開始イベント |
[発行する]チェックボックスをチェックする |
|
|
抑止終了イベント |
[発行する]チェックボックスをチェックする |
|
|
抑止継続判定 |
[有効]チェックボックスをチェックする([抑止が継続されているかを判定する契機]に[時間]を選択し,3,600秒ごとに判定する) |
|
|
抑止継続処理 |
[抑止継続通知イベントを発行する]を選択する |
- (凡例)
-
−:該当なし
- 繰り返しイベント条件例2の説明
-
繰り返しイベント条件例2は,「登録ホスト」が「hostA」であり,「重大度」が「エラー」と一致するログファイルトラップの,イベント一覧への表示および自動アクションの実行を抑止するための繰り返しイベント条件です。すべての抑止対象イベントで自動アクションの実行が抑止されます。抑止開始時と抑止完了時には,それぞれJP1イベントを発行して通知します。
イベント条件に設定した条件に一致するイベントは,通常の監視業務では監視対象であると想定しています。そのため,30秒間に100件を超える大量発生時だけ監視を抑止します。
JP1/IM - Managerは,最初に繰り返し開始イベントを受信してから抑止が完了するまで,1時間ごとに抑止継続通知イベントを発行してイベントが大量発生していることを通知します。
最後に単位時間当たりのしきい値を超える量の繰り返しイベント(大量発生イベント)を受信してから,12時間経過した時点で抑止を完了します。
しきい値ありの監視抑止については,次の説明を参照してください。
- しきい値ありの監視抑止について
-
-
大量発生イベントの監視を抑止する
参照先:「4.5 大量発生イベントの監視抑止」
-
しきい値なしの繰り返しイベント条件について
-
大量発生イベントの自動アクションの実行を抑止する
-