イベント管理のプロセスフロー
イベント管理 は、イベントを収集および分析してアラートに変換し、効率的な追跡と修復を可能にします。
イベント管理 は、外部イベントを受信し、イベントおよびアラート管理ルールに基づいてアラートを生成します。イベントは、メールサーバー、スクリプト、SNMP トラップ、または Web サービス API を介してインスタンスに直接送信されます。対応するアラートは、追跡や修復に備えてダッシュボードに表示されます。
コンピューター、ソフトウェア、またはサービスがイベントを生成すると、MID サーバー は外部イベント追跡ツールをポーリングします。MID サーバーは、イベント管理への接続を維持しながら、情報をインスタンスに送信して保存、処理、および修復します。
インスタンスはイベント [em_event] テーブルにイベントを格納し、事前定義されたルールとイベントマッピングに基づいてアラートを生成しようとします。アラートが生成されたかどうかに関係なく、元のイベントを確認および修正できます。アラートは、次のプロセスフローに従って生成されます。
- イベントルールの一致:イベントに最適なイベントルールを検索します。
イベントのソースが既存のルールで指定されたソースと一致する場合、ルールは一致します。さらに、イベントがオプションのルールフィルターに一致し、イベントadditional_info値がルールの追加情報フィルターと一致する場合、ルールは一致します。ソースフィルターまたは追加情報フィルターがない場合など、フィルターのないルールは無視されます。同じタイプのイベントに対して複数のルールが定義されている場合は、ルール順序を使用して、ルール適用の順序を決定します。
- ルールを無視:ルールの 「無視」 チェック・ボックスが選択されている場合、アラートは生成されません。ただし、引き続きこのイベントを確認および修復できます。
- Apply Transforms:
- 変換が定義されている場合は、それを適用します。
- 構成パラメーターが設定されている場合は、アラート内のユーザーに表示する追加のコンテンツを適用します。
- しきい値の累積: [しきい値] セクションで [アクティブ] が選択されている場合は、しきい値に達するまですべてのイベントを累積し、イベントに対して 1 つのアラートを生成します。
- イベントフィールドマッピング
- イベントルールが存在しない場合でも、イベントフィールドマッピングを検索します。
- イベントフィールドマッピングが見つかった場合は、マッピング情報を適用します。
- イベントの変換後にイベントに重大度がない場合は、参照目的でイベントを保持し、アラートを生成しないようにします。
- アラートの生成
- アラート [em_alert] テーブルで一致するメッセージキーを検索します。
- 一致するメッセージキーが存在する場合は、イベント情報に従ってアラートを更新します。
- 一致するメッセージキーが存在しない場合は、アラートを作成します。
- 別のイベントに同じ一致キーがある場合は、そうしたイベントを単一のアラートに関連付けます。
- 根本原因分析のために、アラートを特定の構成アイテム (CI) にバインドします。