大量イベント処理の仕様と設定方法
作成日:2014年6月24日 | 更新日:2023年6月16日
概要
OpManagerでは、短期間に同じ装置から同じ種類のSNMPトラップ、SyslogおよびWindows イベントログが大量に送信された場合に、特定のイベントを更新するプロセスを停止し、アラートを発生させます。
短期間に同じ装置から同じ種類のSNMPトラップやSyslog、Windows イベントログが大量に送信された場合に、特定のイベントを更新するプロセスを停止し、アラートを発生させます。
詳細
SNMP トラップ
・特定の装置から同一のトラップを1時間あたりに500以上受信した場合、対象のトラップの処理を制限します
・特定の装置から、種類を問わずトラップを1時間あたりに1000以上受信した場合、その装置でのトラップの処理を制限します
設定を変更する場合はこちらをご参照ください。
Syslog
2分あたりに200以上受信した場合、当該ホストからのSyslogの受信を2時間ブロックします。
設定を変更する場合はこちらをご参照ください。
※Network configuration managerと共通の設定です
Windows イベントログ
※バージョン12.4以前では、SNMP トラップにも本設定が適用されます
1時間あたりに1000以上受信した場合、当該ホストからのWindows イベントログの受信を1時間ブロックします。処理プロセスは以下の通りです。(詳細はメモ2をご覧ください)
設定変更方法:
1.イベントの件数を設定します
a) OpManagerインストールサーバで、以下のフォルダに移動します
・バージョン11.6以前
[OpManagerインストールフォルダ]\conf
・バージョン12.2以降
[OpManagerインストールフォルダ]\conf\OpManager
b) ファイル「serverparameters.conf」を開きます
c) 最終行に次のようなエントリを追加します
EVENTS_PER_HOUR [イベントの件数]
※[イベントの件数]は、1000 - 10000の範囲で設定してください
※バージョン12.2以降では、Essential EditionおよびEnterprise Edition プローブサーバーでは、EVENTS_PER_HOUR のデフォルト値は1000 です
d) ファイルを保存し、OpManagerを再起動します
2.発生するアラートの重要度を設定します
a) OpManagerをインストールしたサーバで、以下に移動します
・バージョン11.6以前
[OpManagerインストールフォルダ]\conf
・バージョン12.2以降
[OpManagerインストールフォルダ]\conf\OpManager
b) ファイル「serverparameters.conf」を開きます
c) 最終行に次のようなエントリを追加します
EVENT_FLOOD_SEVERITY [severity値]
※[severity値]は、重要度「Critical」「Attention」「Trouble」「Critical」「Info」のいずれかを設定できます
d) ファイルを保存し、OpManagerを再起動します。
メモ1: 重要度「info」を設定した場合、別のアラートは発生しません。
特定のWindowsイベントログのアラートとして追加されます。
メモ2: 1時間の制限時間はOpManagerを起動した時刻から開始します。
そのため、もしOpManagerを1PMに起動した場合、1PMから2PMまでを確認します。
2PMまでに上限を越えた場合、イベント処理は停止します。
その次は、2PMからカウントを再開します。2PMから3PMまでの1時間を確認します。
このように1時間ごと大量イベントの確認を繰り返します。この1時間の制限時間は現在、変更できません。
★-----------------------------------------------------------------------------★
OpManager 製品紹介ページはこちら ↓
https://www.manageengine.jp/products/OpManager/
★-----------------------------------------------------------------------------★