イベント管理のプロセスフロー
イベント管理は、イベントを収集および分析してアラートに変換し、効率的な追跡と修復を可能にします。
イベント管理 は、外部イベントを受信し、イベントおよびアラート管理ルールに基づいてアラートを生成します。イベントは、メールサーバー、スクリプト、SNMP トラップ、または Web サービス API を介してインスタンスに直接送信されます。対応するアラートは、追跡や修復に備えてダッシュボードに表示されます。
コンピューター、ソフトウェア、またはサービスがイベントを生成すると、MID サーバー は外部イベント追跡ツールをポーリングします。イベント管理への接続を維持する MID サーバーは、格納、処理、および修復する情報をインスタンスに送信します。
インスタンスでは、イベント [em_event] テーブルにイベントを格納し、事前定義されたルールとイベントマッピングに基づいてアラートを生成しようとします。アラートが生成されるかどうかにかかわらず、元のイベントをレビューおよび修正することができます。アラートは、次のプロセスフローに従って生成されます。
- 一致するイベントルール:イベントに最も一致するイベントルールを見つけます。
イベントのソースが、既存のルールで指定されたソースと一致する場合、ルールに一致となります。また、イベントがオプションのルールフィルターと一致し、イベント additional_info の値がルールの [追加情報] フィルターと一致する場合も、ルールに一致となります。フィルターがないルールは無視されます (ソースフィルターがない場合や、[追加情報] フィルターがない場合など)。同じタイプのイベントに対して複数のルールが定義されている場合は、ルールの順序を使用して、ルール適用の順序を決定します。
- ルールを無視:ルールの [無視] チェックボックスをオンにすると、アラートは生成されません。ただし、引き続きこのイベントを確認および修復できます。
- 変換を適用:
- 変換が定義されている場合は、それを適用します。
- 構成パラメーターが設定されている場合は、アラート内のユーザーに表示する追加のコンテンツを適用します。
- しきい値の累積:しきい値セクションで [アクティブ] を選択した場合は、しきい値に達するまですべてのイベントを累積し、達したら複数のイベントに対して 1 つのアラートを生成します。
- イベントフィールドマッピング
- イベントルールが存在しない場合でも、イベントフィールドマッピングを検索します。
- イベントフィールドマッピングが見つかった場合は、マッピング情報を適用します。
- イベントの変換後にイベントに重大度がない場合は、参照目的でイベントを保持し、アラートを生成しないようにします。
- アラートの生成
- アラート [em_alert] テーブルで一致するメッセージキーを検索します。
- 一致するメッセージキーが存在する場合は、イベント情報に従ってアラートを更新します。
- 一致するメッセージキーが存在しない場合は、アラートを作成します。
- 別のイベントに同じ一致キーがある場合は、そうしたイベントを単一のアラートに関連付けます。
- 根本原因分析に備えて、アラートを特定の構成アイテム (CI) にバインドします。