OpManager ナレッジベース

大量イベント処理の仕様と設定方法


概要

OpManagerでは、短期間に同じ装置から同じ種類のSNMPトラップ、SyslogおよびWindows イベントログが大量に送信された場合に、特定のイベントを更新するプロセスを停止し、アラートを発生させます。

短期間に同じ装置から同じ種類のSNMPトラップやSyslog、Windows イベントログが大量に送信された場合に、特定のイベントを更新するプロセスを停止し、アラートを発生させます。

詳細

SNMP トラップ

・特定の装置から同一のトラップを1時間あたりに500以上受信した場合、対象のトラップの処理を制限します
・特定の装置から、種類を問わずトラップを1時間あたりに1000以上受信した場合、その装置でのトラップの処理を制限します

設定を変更する場合はこちらをご参照ください。

Syslog

2分あたりに200以上受信した場合、当該ホストからのSyslogの受信を2時間ブロックします。

設定を変更する場合はこちらをご参照ください。
※Network configuration managerと共通の設定です

Windows イベントログ

※バージョン12.4以前では、SNMP トラップにも本設定が適用されます

1時間あたりに1000以上受信した場合、当該ホストからのWindows イベントログの受信を1時間ブロックします。処理プロセスは以下の通りです。(詳細はメモ2をご覧ください)

設定変更方法:

1.イベントの件数を設定します

a) OpManagerインストールサーバで、以下のフォルダに移動します

・バージョン11.6以前
[OpManagerインストールフォルダ]\conf

・バージョン12.2以降
[OpManagerインストールフォルダ]\conf\OpManager

b) ファイル「serverparameters.conf」を開きます

c) 最終行に次のようなエントリを追加します
    EVENTS_PER_HOUR [イベントの件数]

※[イベントの件数]は、1000 - 10000の範囲で設定してください
※バージョン12.2以降では、Essential EditionおよびEnterprise Edition プローブサーバーでは、EVENTS_PER_HOUR のデフォルト値は1000 です

d) ファイルを保存し、OpManagerを再起動します

2.発生するアラートの重要度を設定します

a) OpManagerをインストールしたサーバで、以下に移動します

・バージョン11.6以前
[OpManagerインストールフォルダ]\conf

・バージョン12.2以降
[OpManagerインストールフォルダ]\conf\OpManager

b) ファイル「serverparameters.conf」を開きます

c) 最終行に次のようなエントリを追加します
    EVENT_FLOOD_SEVERITY [severity値]
※[severity値]は、重要度「Critical」「Attention」「Trouble」「Critical」「Info」のいずれかを設定できます

d) ファイルを保存し、OpManagerを再起動します。

メモ1: 重要度「info」を設定した場合、別のアラートは発生しません。
特定のWindowsイベントログのアラートとして追加されます。

メモ2: 1時間の制限時間はOpManagerを起動した時刻から開始します。
そのため、もしOpManagerを1PMに起動した場合、1PMから2PMまでを確認します。
2PMまでに上限を越えた場合、イベント処理は停止します。
その次は、2PMからカウントを再開します。2PMから3PMまでの1時間を確認します。
このように1時間ごと大量イベントの確認を繰り返します。この1時間の制限時間は現在、変更できません。

【対応バージョン】12.5以降

★-----------------------------------------------------------------------------★
OpManager 製品紹介ページはこちら ↓
https://www.manageengine.jp/products/OpManager/
★-----------------------------------------------------------------------------★