イベントしきい値は、イベント管理 がアラートを生成する頻度です。デバイスのイベントを短い間隔で複数受信すると、深刻な状況になるおそれがあるため、アラートの作成を必要とする場合があります。しかし、イベントの受信間隔が長ければ、あまり深刻な状況にならず、アラートを作成しなくて済むと思われます。

始める前に

必要なロール:evt_mgmt_admin

このタスクについて

イベントルールのプロパティを設定して、指定したしきい値に従って、アラートの作成、アラートの生成の抑制、または既存のアラートのクローズを行うことができます。しきい値は、指定された期間におけるイベントフィールドの値または発生回数に基づきます。

注: [フィールド名] には、イベントの [追加情報] フィールドの任意の数値フィールド名を指定できます。したがって、「CPU」が特定のイベントの追加情報フィールドである場合、「CPU」をフィールド名として使用できます。
CPU 使用率が 80% 以上に 3 回なり、2 つの連続するイベントの間隔が 20 秒を超えない場合にアラートを生成するとします。これらの設定を使用してイベントルールを作成します (かっこ内に各値の説明があります)。
  • アラートを作成する演算子>= ([フィールド名] の使用率が指定の値以上になったかどうかを判断するための演算子)
  • フィールド名CPU (高 CPU 使用率に関するイベント)
  • しきい値80 (パーセント)
  • 発生回数3 (CPU 使用率が 80% 以上 (>=) で 3 つのイベントが発生)
  • 制限時間 (秒)20 (イベント発生間隔が 20 秒以下)
上記の設定がどのように評価されるかを示すため、次のイベントを受信したとします。
シナリオ 結果
イベントごとに報告された経過時間と CPU 使用率:
  • 最初のイベント経過時間 = 20、CPU = 85
  • 2 番目のイベント経過時間 = 40、CPU = 80
  • 3 番目のイベント経過時間 = 60、CPU = 70

このシナリオでは、1 つのイベントの CPU 使用率が 80% 未満であるため、アラートは生成されません。
イベントごとに報告された経過時間と CPU 使用率:
  • 最初のイベント経過時間 = 20、CPU = 85
  • 2 番目のイベント経過時間 = 40、CPU = 90
  • 3 番目のイベント経過時間 = 70、CPU = 95

このシナリオでは、1 つのイベントの経過時間が指定の 20 秒を超えたため、アラートは生成されません。
イベントごとに報告された経過時間と CPU 使用率:
  • 最初のイベント経過時間 = 20、CPU = 85
  • 2 番目のイベント経過時間 = 40、CPU = 95
  • 3 番目のイベント経過時間 = 60、CPU = 90

このシナリオでは、すべてのイベントにおいて、経過時間が指定された時間内であり、CPU 使用率が 80% を超えているため、アラートが生成されます。
注:
  • しきい値に基づいてアラートを作成またはクローズするようにイベントルールを設定すると、time_of_event フィールドで決められたとおりに同時に届くイベントはスキップされます。この問題は、こうしたイベントが重複と見なされるために発生します。
  • しきい値条件が設定されている場合、アラートは、[アラートをクローズする演算子] 条件が満たされたときにクローズし、[重大度] = [クリア] または [解決ステータス] = [クローズ中] のイベントが受信されたときはクローズしません。

手順

  1. [すべて] > [イベント管理] > [ルール] > [イベントルール]に移動します。
  2. イベントルールを作成またはオープンします。
  3. [しきい値] をクリックします。
  4. [アクティブ] を選択します。
    [アクティブ] が選択されていない場合、このページのフィールドは表示されません。
  5. [アラートを作成する演算子] フィールドで、演算子を選択します。
    • [カウント] を選択した場合は、対応する [発生回数] および [制限時間 (秒)] フィールドを指定します。
    • [カウント] 以外の演算子を選択すると、[フィールド名] フィールドと [しきい値] フィールドが表示されます。これらのフィールドに必要な値を指定します。
      注: [しきい値] プロパティの値は、イベントの [追加情報 (Additional information)] の任意のフィールド名にすることができます。たとえば、「CPU」が特定のイベントの [追加情報 (Additional information)] 内のフィールドである場合、「CPU」を [しきい値] として使用できます。
    • [発生回数] フィールドに、必要な値を指定します。
    • [制限時間 (秒)] フィールドに、必要な期間を指定します。
  6. アラートを自動的にクローズするには、[アラートをクローズする演算子] フィールドで演算子を選択します。
    選択に応じて、追加のフィールドが表示されます。
    • [カウント][アラートを作成する演算子] フィールドの演算子として指定されている場合、[アラートをクローズする演算子] フィールドでは、[なし] または [アイドル] のいずれかを選択できます。必要な値を指定します。
    • [アイドル] を選択した場合は、[制限時間 (秒)] フィールドを設定します。
    • [アラートをクローズする演算子] フィールドで [アイドル] 以外の演算子を選択した場合は、[しきい値][発生回数]、および [制限時間 (秒)] のフィールドを設定します。
  7. [保存] または [送信] をクリックします。

特定のイベントが 10 分以内に 5 回発生した場合のアラートを作成するには、[しきい値] で次のようにします。
  1. [フィールド名] フィールドで、イベントの [追加情報 (Additional information)] フィールドに存在する任意のフィールドの名前を指定します。フィールドの値は無関係です。
  2. [アラートを作成する演算子] フィールドで、[カウント] を選択します。
  3. [発生回数] フィールドで、「5」を指定します。
  4. [制限時間 (秒)] フィールドで、「600」(10 * 60 秒) を指定します。
  5. [保存] または [送信] をクリックします。

特定のイベントが 10 分以内に 5 回発生し、メトリクスの値が 55 より大きい場合のアラートを作成するには、次のようにします。「metric_value」は、イベントの [追加情報] のフィールドであるとします。次を指定します。

  1. [Active] チェックボックスをオンにします。
  2. [アラートを作成する演算子] フィールドで、[>=] を選択します。
  3. [フィールド名] フィールドで、[metric_value] を指定します。
  4. [しきい値] フィールドで、「55」を指定します。
  5. [発生回数] フィールドで、「5」を指定します。
  6. [制限時間 (秒)] フィールドで、「600」(10 * 60 秒) を指定します。
  7. [保存] または [送信] をクリックします。