DEX イベントとアラートの表示

イベントテーブル [em_event] では、[ソース] フィールド値が DEX のイベントはすべて DEX イベントとして分類されます。DEX の場合、DEX アラートは DEX メトリクスルールに基づいて生成されるため、[タイプ] フィールドには [DEX メトリクスルール (DEX Metric Rules)] と表示されます。任意のイベントで、イベントの [ステータス] が [処理済み] の場合、アラートが生成され、アラートテーブル [em_alert] に保存されます。

アラートテーブル [em_alert] で、任意のアラートを選択してその詳細にアクセスします。DEX イベントから作成されたアラートでは、[ソース] フィールド値が DEX として表示されます。[メトリクス名] フィールド値は DEX アプリメトリクスまたは DEX デバイスメトリクスのいずれかとして表示されます。アラートの場合、[メトリクス名] フィールドの値は DEX デバイスメトリクスです。[構成アイテム] フィールドには、対応するアプリケーションまたはデバイスの名前が表示されます。対応する [グループ] フィールドに [ルールベース] と表示されているアラートは、DEX アラートグループです。

アラート相関ルール

時間ベースのアラートのグループ化

時間ベースのアラートのグループ化では、事前定義された時間間隔に従ってアラートが自動的にグループ化されるため、多数のアラートを生成するサービスにとって役立ちます。統合されたアラートにより、レスポンダーの中断が減り、解決までの時間が短縮されます。

システムプロパティテーブル [sys_properties] で、プロパティ sn_dex.alert.correlation_rule.device.period により、類似するメトリクスルールベースの DEX アラートをグループ化して関連付ける期間を秒単位で定義します。[値] フィールドには、希望する期間を秒単位で入力できます。たとえば、アラートのグループ化に 5 分の間隔を設定するには、300 と入力します。0 を入力すると、ルールが無効になります。

たとえば、デバイス D1 からルール R1 に対するアラート A1 が生成されるとします。2 分後、同じルール R1 に対してアラート A2 と A3 が生成されますが、それぞれデバイス D2 と D3 から生成されます。A1 が最初のアラートであるため、プライマリアラートとして指定され、A2 と A3 は A1 の下のセカンダリアラートとしてグループ化されます。

今度は、期間を 300 秒 (5 分) に設定したとします。ルール R1 のアラートが 5 分以内に生成されずに、この期間が経過すると、同じルールのアラート A4、A5、および A6 が生成され、新しいグループが形成されます。アラート A4 がプライマリアラートになり、A5 と A6 が A4 の下にグループ化されます。

ただし、5 分以内にルール R1 に対していずれかのアラートが生成された場合は、A1 に対するセカンダリアラートと見なされ、それに応じてグループ化されます。