10.3.1 インシデント発行の抑止
イベントフィルタ定義ファイル(ssoevtfilter.conf)を最適化することで,監視に必要な最小限のインシデントだけを発行するよう設定できます。イベントフィルタ定義ファイルの詳細については,「7.3.27 イベントフィルタ定義ファイル(ssoevtfilter.conf)」を参照してください。
次のような場合を例に挙げます。
-
リソース収集では,監視域または危険域になったことを示すインシデントだけを発行するよう設定する。
-
アプリケーション監視では,プロセス・サービスが危険域になったこと,およびアプリケーション状態が認識不能になったことを示すインシデントだけを発行するよう設定する。
この場合,イベントフィルタ定義ファイル(ssoevtfilter.conf)を次のように設定します。
また,リソース収集(しきい値監視)では,ssocolmng動作定義ファイル(ssocolmng.def)のomit-first-monitor-event:キーを次のように設定することで,収集開始直後のインシデント発行を抑止します。ssocolmng動作定義ファイルについては「7.3.8 ssocolmng動作定義ファイル(ssocolmng.def)」を参照してください。