イベントログルールおよびSyslogルールで複数のルールに一致するイベントが発生した場合の動作について
作成日:2014年4月1日 | 更新日:2023年1月16日
概要
イベントログルールおよびSyslogルールで複数のルールに一致するイベントが発生した場合の動作について、ご説明いたします。
解説
イベントログおよびSyslog監視では、Ssylogルールおよびイベントログルール(以下ルールと呼称)で設定されたアラートの重要度に応じてルールが適用されます。
そして複数のルールに一致するイベントが発生した場合は、アラートの重要度の優先順位に応じて使用するルールを決定します。
アラートの重要度の優先順位は以下の通りです。
イベントを無視>重大>警告>注意>クリア
なお、無視とはイベントログおよびSyslog監視にて、特定のイベントのみアラートを挙げない設定を意味します。
複数の異なるルールに一致するSylsogまたはイベントログを受信した場合、メモリ内で最初に一致したルールが適用されます。
メモリーへの格納は、OpManagerサービスの起動時に行われており、ルールで設定されたアラートの重要度で優先順位の高いものから格納されます。
同じアラートの重要度のルールは、データベースから取得されたルールの作成時刻に基づいて格納されます。
そのためSyslogルールおよびイベントログルールを頻繁に追加/編集すると、メモリー内の順序が正しく更新されず、上記の動作が実行されない場合がございます。
メモリーへの格納は、OpManagerサービスの起動時に行われており、ルールで設定されたアラートの重要度で優先順位の高いものから格納されます。
同じアラートの重要度のルールは、データベースから取得されたルールの作成時刻に基づいて格納されます。
そのためSyslogルールおよびイベントログルールを頻繁に追加/編集すると、メモリー内の順序が正しく更新されず、上記の動作が実行されない場合がございます。
例)
下記のようなイベントログルールが2つある場合、イベントID:998のイベントログを検知した場合でも、OpManagerでは「警告」としてアラートを発報します。
★-----------------------------------------------------------------------------★
OpManager 製品紹介ページはこちら ↓
https://www.manageengine.jp/products/OpManager/
★-----------------------------------------------------------------------------★