アラート(アラーム)とイベントの違いについて
作成日:2012年2月15日 | 更新日:2023年12月5日
要望
アラート(アラーム)とイベントは何が違うのか教えて欲しい。
解説
アラート(アラーム)とイベントの仕様について解説いたします。
目次
イベントとアラート(アラーム)について
イベント
イベントとは、OpManager で検出した事象をDBに登録する形で生成した情報群を指します。
OpManagerでは、通知情報はすべてイベントとして取り扱われます。
イベントは、ユーザからは不可視の情報である エンティティ というパラメータを持っています。
何らかの現象を検知すると、OpManager はイベントを生成します。
例えば SNMPTrap を受信すると、SNMPトラッププロセッサの設定ルールとマッチングを行い
マッチしたルールに従ってイベントを生成します。
また、装置の死活監視でダウンを検知したとき、1回、3回、5回の各ポーリング失敗回数に応じてイベントを生成します。
これらイベントは、OpManager データベース内の Event テーブルに保存されます。
アラート(アラーム)
アラート (アラーム)とは、同じ種類のイベントのなかで最新のものを指します。
[発生中のイベント]として[アラート]タブに表示するため、同一エンティティのイベントのうちイベントの中でも最新のもののみを個別に管理し Alert テーブルへ保存します。
これをアラートとして取り扱います。
アラート(アラーム)の更新、新規生成
OpManager は、イベント生成時に以下の処理を行います。
イベントが生成されると、OpManager は Alert テーブルを参照します。
Alert テーブル内に同一エンティティのアラートが既に存在していた場合、新たにアラートを生成せず
そのアラートの重要度(Clear, Critical等)やメッセージ等を上書きします。
同一エンティティのアラートが無い場合、新たにアラートとして Alert テーブルにイベント情報を追加します。
上書きされた過去のアラート情報は、[アラート情報]ページの[イベント履歴]に表示されますが
これらは 1件のアラート情報として取り扱われます。
図: イベントとアラートの概念図
通知プロファイルの実行タイミングについて
アラートに通知プロファイルを適用した場合、その適用した通知プロファイルに関連するAlertテーブルのアラートが上書きされた、もしくは新規追加されたときに通知プロファイルは実行されます。
例) 過去、一度も検知していないSyslogメッセージのルールを通知プロファイルに割り当てた場合の動作
Case:1) 初めて通知プロファイルの通知対象として設定したSyslogを受信したとき
Alertテーブルに新規アラートとして登録される。
装置にSyslogアラートが生成され、通知プロファイルが動作する。
Case:2) 装置にSyslogアラートが通知されたあと、再度同じSyslogメッセージを受信したとき
Alertテーブルのアラート情報は、最初に受信したアラートの情報から更新されない。
そのため、装置にSyslogアラートは生成されず、通知プロファイルは動作しない。
この場合に通知プロファイルを動作させるには、アラートを一度クリアしておく必要があります。
Case:3) 装置のSyslogアラートをクリアまたは削除した。その後、同じSyslogメッセージを受信したとき
削除、クリアした時点でAlertテーブル内のアラート情報が更新されているため、
同じSyslogメッセージを受信しても、その内容でAlertテーブルのアラート情報が更新される。
そのため、装置にSyslogアラートが生成され、通知プロファイルが動作する。
上記は、クリア または 削除の操作を行わず、自動的にクリア状態となるSyslogメッセージを受信した場合も同じ動作となります。
Case:4) 同じSyslogルールにより検出されたSyslogメッセージで、装置に先に通知されたSyslogメッセージとは違う内容のものを連続で受信したとき
アラートメッセージが異なるため、Alertテーブルのアラート情報が更新される。
そのため、装置にSyslogアラートが生成され、通知プロファイルが動作する。
上記Case1から4までの動作は、Syslogやイベントログのアラートでも同様です。
装置削除時のアラート(アラーム)とイベントの削除ルール
装置を削除したとき、装置に関連付けられたアラートのデータはすべて削除されます。
イベントのデータはデータベースには保持されたままです。スナップショット画面やアラート画面などのGUI上からは、アラートのみ表示できなくなります。
エンティティについて
Alert テーブルの情報を上書きするか新規追加するかは、エンティティに一致するかどうかで判断されます。
なお、エンティティは、装置やインターフェース、サービスなどの死活に関するイベントに関してはOpManager が独自に設定するため、ユーザ独自の設定はできません。
また、SNMPトラッププロセッサ やSyslog ルール、Windowsイベントログルールに設定された各エントリのエンティティは、各ルール設定時に 「(装置名)_(ルール名)」の命名規則で設定されます。
【対応リリース】 x.x以降
★-----------------------------------------------------------------------------★
OpManager 製品紹介ページはこちら ↓
https://www.manageengine.jp/products/OpManager/
★-----------------------------------------------------------------------------★