アラート相関ルール

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む4読むのに数分

    • アラート相関ルールを使用すると、アラートを手動でプライマリとセカンダリに分類し、それらの間に関係を確立できるようになります。アラート相関ルールを使用して、関連するアラートをグループ化します。

    たとえば、組織内のサーバーがオフラインになった場合、サーバー上で実行されている仮想マシンまたはアプリケーションもダウンしていることを示す追加のアラートを確認する必要はありません。代わりに、こうした追加のアラート、つまりセカンダリアラートは、プライマリアラートと呼ばれるルートアラートの下にグループ化されます。このようなグループ化されたアラートは、 Express List で確認できます。

    プライマリアラートとセカンダリアラート

    • プライマリアラートは、イベントの根本原因を特定します。
    • セカンダリアラートは、同じイベントによって生成される別のアラートですが、プライマリアラートよりも重要度が低いと見なされます。
    セカンダリアラートを指定する目的は、抑制するアラートを特定することにより、アラートのノイズの量を減らし、プライマリアラートに集中できるようにすることです。両方のタイプのアラートを確認できますが、プライマリアラートがクローズされてスタンドアロンのクローズ済みアラートになるまで、セカンダリアラートはプライマリアラートの下にグループ化されます。こうしたグループは、サービスオペレーションワークスペース のアラートリストで確認できます。

    アラート操作のデフォルトでは、ルールベースのグループでプライマリアラートがクローズされた後に、セカンダリアラートがクローズされます (evt_mgmt.rule_based_manual_closure プロパティが [no] に設定されている場合)。このプロパティには、[ イベント管理 プロパティ] ページ (イベント管理 > 設定 > プロパティ). プロパティが [yes] に設定されてからプライマリアラートがクローズされると、セカンダリアラートから親参照が削除され、スタンドアロンのオープンアラートになります。

    プライマリおよびセカンダリのアラート管理ルールの動作

    プライマリおよびセカンダリのアラート管理ルールは、どの種類のアラートをプライマリとして分類し、どの種類をセカンダリとして分類するかを指定するフィルターです。フィルター基準は、アラート [em_alert] テーブルに対して実行されます。

    プライマリアラートの下には 1 つのレベルのセカンダリアラートしか許可されていません。たとえば、セカンダリアラート B の下にセカンダリアラート A がグループ化されている場合、両方のアラートは同じプライマリアラートの下のセカンダリアラートになります。詳細については、アラートの履歴の箇所を参照してください。

    アラートの関係性

    アラート相関ルールを使用すると、ルールと照合するためにプライマリアラートおよびセカンダリアラートに必要な関係性のタイプを指定できます。こうした関係性は、CMDB 内の CI 間の関係性によって異なります。
    • 関係性なし:一致を検索するときに関係性を無視します。
    • 同じ CI またはノード:同じ CI に両方のアラートを関連付けます。[CI] フィールドが空白の場合、アラートは同じノード値である必要があります。
    • プライマリは親:関係性は、CI 関係性タイプテーブル [cmdb_rel_ci] で説明されているように、親 (プライマリ) から子への方向になります。
    • プライマリは子:関係性は、CI 関係性テーブル [cmdb_rel_ci] で説明されているように、子 (プライマリ) から親への方向になります。

    相関ルールが実行されるタイミング

    アラート相関ルールは、アラートが作成または再オープンされたときに実行されます。アラートは、プライマリまたはセカンダリと一致するかどうかを判断するためにチェックされます。

    プライマリアラートの重大度が「クローズ済み」に変わると、セカンダリアラートも「クローズ済み」に設定されます。ただし、プライマリアラートがまだ「クローズ済み」に設定されていない他のグループにセカンダリアラートが含まれている場合は除きます。

    アラート階層

    1 つのレベルのセカンダリアラートのみが許可されています。セカンダリアラートに独自のセカンダリアラートがある場合、Event Management アプリケーションでは、階層を統合して 2 つのレベルのみが保持されます。

    たとえば、アラート A がプライマリアラートで、アラート B がセカンダリアラートであるとします。アラート C がアラート B のセカンダリアラートになると、階層が統合され、A はプライマリのままで、B と C は A の下で 1 つのレベルの兄弟セカンダリアラートになります。

    別の例として、次のような結果をもたらす 3 つの相関ルールがあるとします。
    • ルール 1 (順番の値が 1):B は A のプライマリアラートになる。
    • ルール 2 (順番の値が 2):A は C と D のプライマリアラートになる。
    • ルール 3 (順番の値が 3):E は A のプライマリアラートになる。

    アラート B、C、D、および E がトリガーされると、それらの間に相関がないため、アラートリストにはすべてが個別に表示されます。

    アラート A がトリガーされたとき:
    1. ルール 1 により、A はアラート B の下のセカンダリアラートになります。
    2. ルール 2 により、C と D の両方がアラート A の下のセカンダリ アラートになります。
    3. ルール 3 により、A が E の下のセカンダリアラートになり、階層内で A の上のプライマリアラートが 2 つになります。

    したがって、すべてのアラートがトリガーされた場合、B と E のみがアラートリストに表示され、プライマリアラートとして示されます。

    注:
    セカンダリアラートは複数のプライマリアラートと関連付けることができ、その逆も可能です。