EventLog Analyzer ナレッジベース

通知「CachedRecord Limit Exceeded」の概要


本ナレッジでは、「CachedRecord Limit Exceeded」のメール通知について、概要と対応方法を記載します。

メール通知内容

From:製品に設定したメールサーバー
To:製品管理者のメールアドレス

 

件名
ManageEngine EventLogAnalyzer: CachedRecord Limit Exceeded -

本文
Dear User,

The folder ES\CachedRecord has crossed its threshold limit. This is not favorable for real-time log processing and alerts.
For continuous real-time process of logs, please contact our support team via mail (eventloganalyzer-support@manageengine.com) with a zip file of the logs.

With Regards,
ManageEngine Eventlog Analyzer

概要

本メール通知は、ログ流量が多いことで製品負荷が高くなり、ログ処理がリアルタイムで行われていない可能性を示しています。

EventLog Analyzerでは、ログ流量が多くリアルタイムでのログ処理が行われない場合、未処理ログをキャッシュレコード(CachedRecord)として保存する機能があります。
キャッシュレコードとして保存された未処理ログはログ流量が少なくなり製品負荷が抑えられると、徐々に処理されます。

ただ、ログの処理が遅延するので、直近のログのリアルタイム監視やリアルタイムでのアラート通知が行われない可能性があります。
*ログ収集が停止するわけではありません。

対応

製品負荷を抑えるため、以下1~5をご確認ください。

※以下で記載している「ESフォルダー」のデフォルト保存パス先は以下の2つです。

・C:\ManageEngine\EventLog Analyzer\ESフォルダー
・C:\ManageEngine\elasticsearch\ESフォルダー

※ビルド12040以降を新規インストールした場合のみ、「EventLog Analyzer」のフォルダーとは別に「elasticsearch」フォルダーが作成されます

    1. ESフォルダーがアンチウイルスソフトのスキャン対象になっている場合、スキャン対象から外してください。スキャン対象となっている場合、ログ処理の負荷になると同時にインデックス情報の破損に繋がります。
    2. 不要なコリレーションルールを無効化してください。有効化しているコリレーションルールは、 [コリレーション] タブ >> [ルールの管理] にて確認可能です。不要なコリレーションルールを無効化するには、対象ルールの項目「ルールステータス」が"アクティブ"となっている箇所をマウスオーバーすることで表示される"無効化"リンクをクリックしてください。クリック後、"非アクティブ"となれば無効化に成功しています。
    3. 不要なログ解析のカスタムパターンを削除してください。作成したログ解析のカスタムパターンは、 [設定] >> [管理者権限] >> [ログの構文解析のカスタム] にて確認可能です。不要なカスタムパターンを削除するには、表示されているカスタムパターン内の×印をクリックしてください。
    4. ESフォルダーに対して定期的なスナップショットの取得やWindowsスケジューラによるコピーを実行している場合、可能であれば対象から外してください。定期的なスナップショットの取得やコピーの実行はログ処理の負荷に繋がる可能性があります。
    5. ESフォルダーをネットワーク上の共有フォルダーに配置している場合、EventLog Analyzerサーバーと共有フォルダー間のネットワーク接続に問題がないかご確認ください。

 

上記5点を確認後、当該通知を繰り返し受信するかどうか、5時間ほど監視してください。
5時間経過しても当該通知を繰り返し受信する場合、以下の【ご共有いただく情報】とともに、ManageEngine Communityよりお問い合わせください。

 

ご共有いただく情報

調査のため、以下の情報をご共有ください。

  • 1~5の確認結果
  • 以下フォルダー配下にファイルが存在するかどうか。ファイルが存在する場合、ファイルの数と直近の作成日時をご許攸ください。

ManageEngine\EventLog Analyzer\ES\CachedRecordフォルダー
ManageEngine\elasticsearch\ES\CachedRecordフォルダー

【EventLog Analyzerをインストールしているサーバーに関する情報】

  • EventLog Analyzerサーバーは仮想サーバーでしょうか。仮想サーバーである場合、オーバープロビジョニングを有効にしていますでしょうか。
  • EventLog Analyzerサーバーのスペックをご教示ください。CPUの詳細(32bit or 64bit)、実装メモリ値(RAM)、ディスク容量をご教示いただけますと幸いです。
  • タスクマネージャーを立ち上げ、CPU使用率とメモリ使用率をご教示ください。
  • 現時点におけるディスク空き容量をご教示ください。
  • ディスク読み取り速度/書き込み速度をご教示ください。以下のコマンドを実行して、実行結果のスクリーンショットをご送付ください。

winsat disk -seq -read -drive <製品フォルダーが位置するディスク>
winsat disk -seq -write -drive <製品フォルダーが位置するディスク>
winsat disk -ran -read -drive <製品フォルダーが位置するディスク>
winsat disk -ran -write -drive <製品フォルダーが位置するディスク>

例)

winsat disk -seq -read -drive C
winsat disk -seq -write -drive C
winsat disk -ran -read -drive C
winsat disk -ran -write -drive C

 

【EventLog Analyzerの情報】

  • 製品にログイン後、画面右上の[Syslog受信状況] → [サーバーの詳細]タブをクリック後に表示される画面のスクリーンショットをご送付ください。
  • 管理ホストに追加している数をご教示ください(Windowsデバイス/Syslogデバイス/アプリケーション)。
  • インポート機能を使用している場合、現在までにインポートしたファイルの合計数をご教示ください。
  • エージェントをインストールしている場合、エージェントの総数をご教示ください。
  • 直近で製品をアップグレードを実施した日時をご教示ください。

 

以上です。