ルールベースのアラートのグループ化
ルールベースのアラートのグループ化は、アラート相関ルールによって作成されます。こうしたルールを使用すると、アラートを手動でプライマリまたはセカンダリとして分類し、それらの間に関係を確立できます。アラート相関ルールを使用して、関連するアラートをグループ化します。ルールは、新しいアラート、またはステータスが [クローズ]/[フラッピング] から [オープン]/[再オープン] に変更されたアラートに対してのみ実行されます。
例:ルールベースのアラートのグループ化が適用されている場合、オフラインサーバー上の仮想マシンまたはアプリケーションも停止していることを示すセカンダリアラートは、オフラインのサーバーのルートアラートであるプライマリアラートの下にグループ化されます。ルールベースのアラートのグループ化は、サービスオペレーションワークスペース (ITOM) Express Listで表示できます。詳細については、「ルールベースのアラートグループ内のアラート間でのリンク表示」を参照してください。
プライマリアラートとセカンダリアラート
- プライマリアラート:アラートグループの根本原因を特定し、そのセカンダリアラートを代表するアラートです。
- セカンダリアラート:同じ問題に関連して、プライマリアラートの下にグループ化されます。セカンダリアラートの目的は、抑制するアラートを判別することで、アラートのノイズを減らし、プライマリアラートに集中できるようにすることです。
プライマリアラートとセカンダリアラートのインタラクションの仕組み
ルールベースのアラートのグループ化では、実際のアラートのいずれかがプライマリアラートとして指定されます。プライマリアラートとセカンダリアラートのフィルター条件で、プライマリとして分類されるアラートとセカンダリとして分類されるアラートを指定します。フィルター基準は、アラート [em_alert] テーブルに適用されます。
このアラートのグループ化では、プライマリアラートとセカンダリアラートの両方が表示されますが、セカンダリアラートはプライマリアラートの下にグループ化されます。プロパティ [手動またはルールベースでプライマリーをクローズしてもセカンダリーアラートを開いたままで保持します] (evt_mgmt.rule_based_manual_closure) では、プライマリアラートがクローズされたときにセカンダリアラートをオープンしたままにするか、クローズするかを設定します。
このプロパティが選択されていない (つまり [いいえ] に設定されている) 場合、プライマリアラートがクローズされた後に、親参照がセカンダリアラートから削除され (グループ化が解消され)、セカンダリアラートがクローズされてスタンドアロンになります。このプロパティのチェックボックスをオンに (つまり [はい] に設定) した場合、プライマリアラートがクローズされると、親参照がセカンダリアラートから削除され (グループ化が解消され)、セカンダリアラートがスタンドアロンのオープンアラートになります。
アラート階層
1 つのレベルのセカンダリアラートのみが許可されています。セカンダリアラートに独自のセカンダリアラートがある場合、イベント管理アプリケーションでは、階層を統合して 2 つのレベルのみが保持されます。
たとえば、アラート A がプライマリアラートで、アラート B がセカンダリアラートであるとします。アラート C がアラート B のセカンダリアラートになると、階層が統合され、A はプライマリのままで、B と C は A の下で 1 つのレベルの兄弟セカンダリアラートになります。
- ルール 1 (順番の値が 1):B は A のプライマリアラートになる。
- ルール 2 (順番の値が 2):A は C と D のプライマリアラートになる。
- ルール 3 (順番の値が 3):E は A のプライマリアラートになる。
アラート B、C、D、および E がトリガーされると、それらの間に相関がないため、アラートリストにはすべてが個別に表示されます。
- ルール 1 により、A はアラート B の下のセカンダリアラートになります。
- ルール 2 により、C と D の両方がアラート A の下のセカンダリアラートになり、階層がフラット化されて、A、C、D がプライマリアラート B のセカンダリアラートになります。
- 複数の親が許可されていないため、ルール 3 は適用されません。A には既に B がプライマリとして含まれています。
したがって、すべてのアラートがトリガーされた場合、BのみがA、D、Cのプライマリアラートとして表示され、Eはスタンドアロンアラートのままになります。