Event Management の管理対象

Event Management では、次の項目を管理できます。

アーキテクチャ

さまざまなシステムでイベントが発生すると、MID サーバー コネクターインスタンスがインスタンスにイベントを送信します。イベント管理 は、アラートの生成、アラート管理ルールの適用、および修復や根本原因分析のためのアラートの優先順位付けを行います。この情報は、ダッシュボード、アラートインテリジェンスのアラートリストに、または Service Mapping によって表示されます。

ワークフロー

コンピューター、ソフトウェア、またはサービスがイベントを生成すると、MID サーバー は外部イベント追跡ツールをポーリングします。イベント管理 への接続を維持する MID サーバー は、格納、処理、および修復に備えて、インスタンスに情報を送信します。

インスタンスはイベント [em_event] テーブルにイベントを格納し、事前定義されたルールとイベントマッピングに基づいてアラートを生成しようとします。アラートが生成されるかどうかにかかわらず、元のイベントをレビューおよび修正することができます。アラートは、次のプロセスフローに従って生成されます。

1. イベントに最適なイベントルールを検索します。イベントのソースが、既存のルールで指定されたソースと一致する場合、ルールは「一致」となります。また、イベントがオプションのルール [フィルター] と一致し、イベント additional_info の値がルール [追加情報 (Additional Information)] フィルターと一致する場合も、同様にルールに一致します。[ソース] フィルターがなかったり、[追加情報 (Additional Information)] フィルターがなかったりする場合など、フィルターがないルールは無視されます。同じタイプのイベントに対して複数のルールが定義されている場合は、ルール [順番] を使用して、ルールアプリケーションの順番を決定します。
   • ルール [無視] チェックボックスをオンにすると、アラートは生成されません。ただし、引き続きこのイベントを確認および修復できます。
   • 変換が定義されている場合は、それを適用します。構成パラメーターが設定されている場合は、アラート内のユーザーに表示する追加のコンテンツを適用します。
   • しきい値セクションで [アクティブ] を選択した場合、しきい値に達するまですべてのイベントを蓄積します。イベントに対して単一のアラートを生成します。
2. イベントルールが存在しない場合でも、イベントフィールドマッピングを検索します。イベントフィールドマッピングが見つかった場合は、マッピング情報を適用します。イベントの変換後にイベントに重大度がない場合は、参照目的でイベントを保持し、アラートを生成しないようにします。
3. アラート [em_alert] テーブルで一致するメッセージキーを検索します。一致するメッセージキーが存在する場合は、イベント情報に従ってアラートを更新します。一致するメッセージキーが存在しない場合は、アラートを作成します。別のイベントに同じ一致キーがある場合は、そうしたイベントを単一のアラートに関連付けます。根本原因分析に備えて、アラートを特定の CI にバインドします。

Event Management と Service Mapping

Event Management では、Service Mapping で検出されたサービスおよび根本原因分析 (RCA) により自動化されたアラートグループを使用して、アラートの解決を迅速化します。

外部ソースからのイベントを MID サーバー、スクリプト、または Web サービス API (図には示されていません) から受信すると、Event Management は、アラートの生成と CI の修復のために CI 情報を見つけます。CI 情報は、Service Mapping、Discovery、サードパーティーのソースなどのソースから、または手動入力によって CMDB に格納されます。相関アラートグループと根本原因分析情報を使用して、問題を解決できます。