OpManager ナレッジベース

ManageEngine > サポート > OpManager ナレッジベース > 機能仕様 > アラート(アラーム)とイベントの違いについて
戻る

アラート(アラーム)とイベントの違いについて

  • 作成日:2012年2月15日 | 更新日:2023年12月5日

要望

アラート(アラーム)とイベントは何が違うのか教えて欲しい。

解説

アラート(アラーム)とイベントの仕様について解説いたします。

目次

イベントとアラート(アラーム)について

イベント

イベントとは、OpManager で検出した事象をDBに登録する形で生成した情報群を指します。

OpManagerでは、通知情報はすべてイベントとして取り扱われます。
イベントは、ユーザからは不可視の情報である エンティティ というパラメータを持っています。

何らかの現象を検知すると、OpManager はイベントを生成します。
例えば SNMPTrap を受信すると、SNMPトラッププロセッサの設定ルールとマッチングを行い
マッチしたルールに従ってイベントを生成します。
また、装置の死活監視でダウンを検知したとき、1回、3回、5回の各ポーリング失敗回数に応じてイベントを生成します。

これらイベントは、OpManager データベース内の Event テーブルに保存されます。

アラート(アラーム)

アラート (アラーム)とは、同じ種類のイベントのなかで最新のものを指します。

[発生中のイベント]として[アラート]タブに表示するため、同一エンティティのイベントのうち
イベントの中でも最新のもののみを個別に管理し Alert テーブルへ保存します。

これをアラートとして取り扱います。

アラート(アラーム)の更新、新規生成

OpManager は、イベント生成時に以下の処理を行います。

イベントが生成されると、OpManager は Alert テーブルを参照します。
Alert テーブル内に同一エンティティのアラートが既に存在していた場合、新たにアラートを生成せず
そのアラートの重要度(Clear, Critical等)やメッセージ等を上書きします。

同一エンティティのアラートが無い場合、新たにアラートとして Alert テーブルにイベント情報を追加します。

上書きされた過去のアラート情報は、[アラート情報]ページの[イベント履歴]に表示されますが
これらは 1件のアラート情報として取り扱われます。


図: イベントとアラートの概念図

通知プロファイルの実行タイミングについて

アラートに通知プロファイルを適用した場合、その適用した通知プロファイルに関連するAlertテーブルのアラートが上書きされた、もしくは新規追加されたときに通知プロファイルは実行されます。

例) 過去、一度も検知していないSyslogメッセージのルールを通知プロファイルに割り当てた場合の動作

Case:1) 初めて通知プロファイルの通知対象として設定したSyslogを受信したとき

Alertテーブルに新規アラートとして登録される。
装置にSyslogアラートが生成され、通知プロファイルが動作する。

Case:2) 装置にSyslogアラートが通知されたあと、再度同じSyslogメッセージを受信したとき

Alertテーブルのアラート情報は、最初に受信したアラートの情報から更新されない。
そのため、装置にSyslogアラートは生成されず、通知プロファイルは動作しない。

この場合に通知プロファイルを動作させるには、アラートを一度クリアしておく必要があります。

Case:3) 装置のSyslogアラートをクリアまたは削除した。その後、同じSyslogメッセージを受信したとき

削除、クリアした時点でAlertテーブル内のアラート情報が更新されているため、
同じSyslogメッセージを受信しても、その内容でAlertテーブルのアラート情報が更新される。
そのため、装置にSyslogアラートが生成され、通知プロファイルが動作する。

上記は、クリア または 削除の操作を行わず、自動的にクリア状態となるSyslogメッセージを受信した場合も同じ動作となります。

Case:4) 同じSyslogルールにより検出されたSyslogメッセージで、装置に先に通知されたSyslogメッセージとは違う内容のものを連続で受信したとき

アラートメッセージが異なるため、Alertテーブルのアラート情報が更新される。
そのため、装置にSyslogアラートが生成され、通知プロファイルが動作する。

上記Case1から4までの動作は、Syslogやイベントログのアラートでも同様です。

装置削除時のアラート(アラーム)とイベントの削除ルール

装置を削除したとき、装置に関連付けられたアラートのデータはすべて削除されます。
イベントのデータはデータベースには保持されたままです。スナップショット画面やアラート画面などのGUI上からは、アラートのみ表示できなくなります。

エンティティについて

Alert テーブルの情報を上書きするか新規追加するかは、エンティティに一致するかどうかで判断されます。
なお、エンティティは、装置やインターフェース、サービスなどの死活に関するイベントに関してはOpManager が独自に設定するため、ユーザ独自の設定はできません。

また、SNMPトラッププロセッサ やSyslog ルール、Windowsイベントログルールに設定された各エントリのエンティティは、各ルール設定時に 「(装置名)_(ルール名)」の命名規則で設定されます。

【対応リリース】 x.x以降

★-----------------------------------------------------------------------------★
OpManager 製品紹介ページはこちら ↓
https://www.manageengine.jp/products/OpManager/
★-----------------------------------------------------------------------------★

このナレッジの総閲覧回数: 6,488

関連ナレッジ:

  1. [アラート]タブ内、ソート機能も利用できず、古い日付から表示される
  2. Virtual Devicesのカテゴリの【トップ VM】,【トップ ホスト】,【すべての装置】,【アラーム】,各タブのページが遷移しない。
  3. [アラート]に表示される「更新日時」を日時表示にしたい
  4. イベントログで同じイベントIDのイベントログを受信する度にメールが通知される

タグ: