ソリューションガイドコリレーション編

Systemwalker Centric Manager ソリューションガイドコリレーション編 UNIX/Windows(R) 共通 J2X1-4590-07Z0(00) 2010 年 4 月

まえがき本書の目的本書は Systemwalker Centric Manager V13.4.0 のイベントコリレーション機能 ( 複数の異なるイベントを関連付けて監視する ) の運用方法について説明しますなお本書は Windows 版 /Solaris 版 /Linux 版を対象としています本書の読者本書は Systemwalker Centric Manager の監視機能の設定および操作する方を対象としていますまた本書を読む場合 OS や GUI の一般的な操作および TCP/IP SMTP SNMP などの一般的な知識をご理解の上でお読みください略語表記について以下の製品すべてを示す場合は Windows 7 と表記します - Windows(R) 7 Home Premium - Windows(R) 7 Professional - Windows(R) 7 Enterprise - Windows(R) 7 Ultimate 以下の製品すべてを示す場合は Windows Server 2008 R2 と表記します - Microsoft(R) Windows Server(R) 2008 R2 Foundation - Microsoft(R) Windows Server(R) 2008 R2 Standard - Microsoft(R) Windows Server(R) 2008 R2 Enterprise - Microsoft(R) Windows Server(R) 2008 R2 Datacenter - Microsoft(R) Windows Server(R) 2008 R2 Standard without Hyper-V(TM) - Microsoft(R) Windows Server(R) 2008 R2 Enterprise without Hyper-V(TM) - Microsoft(R) Windows Server(R) 2008 R2 Datacenter without Hyper-V(TM) 以下の製品すべてを示す場合は Windows Server 2008 Foundation と表記します - Microsoft(R) Windows Server(R) 2008 R2 Foundation - Microsoft(R) Windows Server(R) 2008 Foundation 以下の製品すべてを示す場合は Windows Server 2008 Server Core または Server Core と表記します - Microsoft(R) Windows Server(R) 2008 Standard Server Core - Microsoft(R) Windows Server(R) 2008 Standard without Hyper-V(TM) Server Core - Microsoft(R) Windows Server(R) 2008 Enterprise Server Core - Microsoft(R) Windows Server(R) 2008 Enterprise without Hyper-V(TM) Server Core - Microsoft(R) Windows Server(R) 2008 Datacenter Server Core - Microsoft(R) Windows Server(R) 2008 Datacenter without Hyper-V(TM) Server Core 以下の製品すべてを示す場合は Windows Server 2008 STD と表記します - Microsoft(R) Windows Server(R) 2008 Standard - i -

- Microsoft(R) Windows Server(R) 2008 Standard without Hyper-V(TM) 以下の製品すべてを示す場合は Windows Server 2008 DTC と表記します - Microsoft(R) Windows Server(R) 2008 Datacenter - Microsoft(R) Windows Server(R) 2008 Datacenter without Hyper-V(TM) 以下の製品すべてを示す場合は Windows Server 2008 EE と表記します - Microsoft(R) Windows Server(R) 2008 Enterprise - Microsoft(R) Windows Server(R) 2008 Enterprise without Hyper-V(TM) 以下の製品すべてを示す場合は Windows Server 2003 STD と表記します - Microsoft(R) Windows Server(R) 2003, Standard x64 Edition - Microsoft(R) Windows Server(R) 2003, Standard Edition 以下の製品すべてを示す場合は Windows Server 2003 DTC と表記します - Microsoft(R) Windows Server(R) 2003, Datacenter x64 Edition - Microsoft(R) Windows Server(R) 2003, Datacenter Edition for Itanium-based Systems - Microsoft(R) Windows Server(R) 2003, Datacenter Edition 以下の製品すべてを示す場合は Windows Server 2003 EE と表記します - Microsoft(R) Windows Server(R) 2003, Enterprise x64 Edition - Microsoft(R) Windows Server(R) 2003, Enterprise Edition for Itanium-based Systems - Microsoft(R) Windows Server(R) 2003, Enterprise Edition 以下の製品すべてを示す場合は Windows(R) 2000 と表記します - Microsoft(R) Windows(R) 2000 Professional operating system - Microsoft(R) Windows(R) 2000 Server operating system - Microsoft(R) Windows(R) 2000 Advanced Server operating system - Microsoft(R) Windows(R) 2000 Datacenter Server operating system 以下の製品すべてを示す場合は Windows NT(R) と表記します - Microsoft(R) Windows NT(R) Server network operating system Version 4.0 - Microsoft(R) Windows NT(R) Workstation operating system Version 4.0 - Microsoft(R) Windows NT(R) Server network operating system Version 3.51 - Microsoft(R) Windows NT(R) Workstation operating system Version 3.51 以下の製品すべてを示す場合は Windows(R) XP と表記します - Microsoft(R) Windows(R) XP Professional x64 Edition - Microsoft(R) Windows(R) XP Professional - Microsoft(R) Windows(R) XP Home Edition 以下の製品すべてを示す場合は Windows Vista と表記します - Microsoft(R) Windows Vista(R) Home Basic - Microsoft(R) Windows Vista(R) Home Premium - Microsoft(R) Windows Vista(R) Business - Microsoft(R) Windows Vista(R) Enterprise - Microsoft(R) Windows Vista(R) Ultimate - ii -

Microsoft(R) Windows(R) Millennium Edition を Windows(R) Me と表記します Microsoft(R) Windows(R) 98 operating system Microsoft(R) Windows(R) 98 Second Edition を Windows(R) 98 と表記します Microsoft(R) Windows(R) 95 operating system Microsoft(R) Windows(R) 95 Second Edition を Windows(R) 95 と表記します以下の製品上で動作する固有記事を Windows Server 2003 STD(x64) と表記します - Microsoft(R) Windows Server(R) 2003, Standard x64 Edition 以下の製品上で動作する固有記事を Windows Server 2003 DTC(x64) と表記します - Microsoft(R) Windows Server(R) 2003, Datacenter x64 Edition 以下の製品上で動作する固有記事を Windows Server 2003 EE(x64) と表記します - Microsoft(R) Windows Server(R) 2003, Enterprise x64 Edition 以下の製品上で動作する固有記事を Windows(R) 2000 Server と表記します - Microsoft(R) Windows(R) 2000 Server operating system 以下の製品上で動作する固有記事を Windows(R) XP x64 と表記します - Microsoft(R) Windows(R) XP Professional x64 Edition Systemwalker Centric Manager Standard Edition を SE 版と表記します Systemwalker Centric Manager Enterprise Edition を EE 版と表記します Systemwalker Centric Manager Global Enterprise Edition を GEE 版と表記します Standard Edition を SE Enterprise Edition を EE Global Enterprise Edition を GEE と表記します Windows 上 Itanium に対応した Windows 上で動作する Systemwalker Centric Manager を Windows 版と表記します Itanium に対応した Windows 上で動作する Systemwalker Centric Manager の固有記事を Windows for Itanium 版と表記します Windows Server 2003 STD(x64)/Windows Server 2003 DTC(x64)/Windows Server 2003 EE(x64) に対応した Windows 上で動作する Systemwalker Centric Manager の固有記事を Windows x64 版と表記します Solaris(TM) オペレーティングシステムを Solaris と表記します Solaris で動作する Systemwalker Centric Manager を Solaris 版 Systemwalker Centric Manager または Solaris 版と表記します HP-UX 上で動作する Systemwalker Centric Manager を HP-UX 版 Systemwalker Centric Manager または HP-UX 版と表記します AIX 上で動作する Systemwalker Centric Manager を AIX 版 Systemwalker Centric Manager または AIX 版と表記します Linux 上 Itanium に対応した Linux 上で動作する Systemwalker Centric Manager を Linux 版 Systemwalker Centric Manager または Linux 版と表記しますまた Itanium に対応した Linux 上で動作する Systemwalker Centric Manager の固有記事を Linux for Itanium 版と表記します Linux 上 Linux for Intel64 に対応した Linux 上で動作する Systemwalker Centric Manager を Linux 版 Systemwalker Centric Manager または Linux 版と表記しますまた Linux for Intel64 に対応した Linux 上で動作する Systemwalker Centric Manager の固有記事を Linux for Intel64 版と表記します Solaris Linux HP-UX AIX 上で動作する Systemwalker Centric Manager を UNIX 版 Systemwalker Centric Manager または UNIX 版と表記します Microsoft(R) SQL Server(TM) を SQL Server と表記します Microsoft(R) Visual C++ を Visual C++ と表記します Microsoft(R) Cluster Server および Microsoft(R) Cluster Service を MSCS と表記します - iii -

輸出管理規制について本ドキュメントを輸出または提供する場合は外国為替および外国貿易法および米国輸出管理関連法規等の規制をご確認の上必要な手続きをおとりください商標について Apache Tomcat は The Apache Software Foundation の登録商標または商標です APC PowerChute は American Power Conversion Corp. の登録商標です ARCserve は米国 CA, Inc. の登録商標です Citrix MetaFrame は Citrix Systems, Inc. の米国およびその他の国における登録商標です Ethernet は富士ゼロックス株式会社の登録商標です HP-UX は米国 Hewlett-Packard 社の登録商標です IBM IBM ロゴ AIX AIX 5L HACMP Power PowerHA は International Business Machines Corporation の米国およびその他の国における商標です Intel Itanium は米国およびその他の国における Intel Corporation またはその子会社の商標または登録商標です JP1 は株式会社日立製作所の日本における商標または登録商標です LaLaVoice は株式会社東芝の商標です LANDesk は米国およびその他の国における Avocent Corporation とその子会社の商標または登録商標です Laplink は米国 Laplink Software, Inc. の米国およびその他の国における登録商標または商標です Linux は Linus Torvalds 氏の米国およびその他の国における商標または登録商標です MC/ServiceGuard は Hewlett-Packard Company の製品であり著作権で保護されています Microsoft Windows Windows NT Windows Vista Windows Server またはその他のマイクロソフト製品の名称および製品名は米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です Mozilla Firefox は米国 Mozilla Foundation の米国およびその他の国における商標または登録商標です NEC SmartVoice WinShare は日本電気株式会社の商標または登録商標です Netscape Netscape の N および操舵輪のロゴは米国およびその他の国における Netscape Communications Corporation の登録商標です OpenLinux は The SCO Group, Inc. の米国ならびその他の国における登録商標あるいは商標です Oracle は米国 Oracle Corporation の登録商標です Palm Palm OS HotSync は Palm, Inc. の商標または登録商標です R/3 および SAP は SAP AG の登録商標です Red Hat RPM および Red Hat をベースとしたすべての商標とロゴは Red Hat, Inc. の米国およびその他の国における商標または登録商標です Solaris およびすべての Solaris に関連する商標およびロゴは米国およびその他の国における米国 Sun Microsystems, Inc. の商標または登録商標であり同社のライセンスを受けて使用しています Sun SunCluster は米国およびその他の国における米国 Sun Microsystems, Inc. の商標または登録商標です Symantec Symantec ロゴ LiveUpdate Norton AntiVirus は Symantec Corporation の米国およびその他の国における登録商標です Symantec pcanywhere Symantec Packager ColorScale SpeedSend は Symantec Corporation の米国およびその他の国における商標です Tcl/Tk はカリフォルニア大学 Sun Microsystems, Inc. Scriptics Corporation 他が作成したフリーソフトです TRENDMICRO Trend Micro Control Manager Trend Virus Control System TVCS InterScan ウイルスバスター INTERSCAN VIRUSWALL emanager はトレンドマイクロ株式会社の登録商標です Turbolinux およびターボリナックスはターボリナックス株式会社の商標または登録商標です - iv -

UNIXは米国およびその他の国におけるThe Open Groupの登録商標です UXP Systemwalker Interstage Symfowareは富士通株式会社の登録商標です Veritasは Symantec Corporationの米国およびその他の国における登録商標です VirusScanおよびNetShieldは米国 McAfee, Inc. および関連会社の商標または登録商標です VMware VMwareロゴ Virtual SMP VMotionはVMware, Inc. の米国およびその他の国における登録商標または商標ですショートメール iモード mova シティフォンは株式会社エヌティティドコモ( 以下 NTTドコモ ) の登録商標ですその他の会社名および製品名はそれぞれの会社の商標もしくは登録商標です Microsoft Corporation のガイドラインに従って画面写真を使用しています平成 22 年 4 月改版履歴平成 18 年 10 月初版平成 19 年 5 月第 2 版平成 19 年 7 月第 3 版平成 19 年 8 月第 4 版平成 20 年 6 月第 5 版平成 22 年 4 月第 6 版 Copyright 1995-2010 FUJITSU LIMITED All Rights Reserved, Copyright (C) PFU LIMITED 1995-2010 Portions Copyright (C) 1983-1994 Novell, Inc., All Rights Reserved. - v -

目次第 1 部イベントを集約して監視する運用...1 第 1 章運用形態...2 1.1 はじめに : 事象が発生したら新規イベントで通知 ( 複数イベントをまとめて監視 )...4 1.1.1 はじめにの定義方法...5 1.1.2 はじめにの運用...12 1.2 運用形態 1: 事象が発生したら処理 / 対処を行う ( 複数イベントをまとめて監視 )...13 1.2.1 運用形態 1 の定義方法...15 1.2.2 運用形態 1 の運用...27 1.3 運用形態 2: 通知されるメッセージをわかりやすく変換 ( メッセージの内容を編集 )...31 1.3.1 運用形態 2 の定義方法...31 1.3.2 運用形態 2 の運用...36 1.4 運用形態 3: 類似メッセージを抑止 ( 類似 / 大量イベントを抑止 )...37 1.4.1 運用形態 3 の定義方法...37 1.4.2 運用形態 3 の運用...38 1.5 運用形態 4: 対応中のネットワーク異常メッセージは 1 つだけ通知 ( 類似 / 大量イベントを抑止 )...40 1.5.1 運用形態 4 の定義方法...40 1.5.2 運用形態 4 の運用...45 1.6 運用形態 5: 大量メッセージを抑止 ( 類似 / 大量イベントを抑止 )...46 1.6.1 運用形態 5 の定義方法...47 1.6.2 運用形態 5 の運用...48 第 2 章イベントを集約して監視するしくみ...50 2.1 メッセージの内容を編集するしくみ...52 2.2 複数イベントをまとめるしくみ...54 2.3 イベントを抑止するしくみ...59 2.3.1 同一イベントを抑止するしくみ...59 2.3.2 類似イベント / 大量イベントを抑止するしくみ...61 2.3.3 未対処イベントを抑止するしくみ...63 2.4 発生したイベントに対しアクションを実行するしくみ...64 第 2 部イベントを集約して監視する機能...65 第 3 章イベント監視の設計をする...66 3.1 イベントコリレーション...66 3.2 同一イベントの抑止...68 3.3 メッセージ変換...68 第 4 章設定方法...70 4.1 メッセージの内容を編集する...70 4.1.1 メッセージ変換の定義手順...70 4.1.2 メッセージ変換定義を移出する...71 4.1.3 メッセージ変換方法を定義する...71 4.1.4 メッセージ変換定義を移入する...74 4.2 複数イベントをまとめて監視する ( イベントコリレーション )...74 4.2.1 イベントコリレーション定義の定義手順...74 4.2.2 イベントコリレーションの定義を移出する...75 4.2.3 新規入力支援ダイアログで設定する...75 4.2.4 各シートで設定する手順...78 4.2.5 イベントコリレーションで監視するイベントを定義する...80 4.2.6 イベントコリレーションパターンを定義する...82 4.2.7 イベントコリレーション処理を定義する...84 4.2.8 イベントコリレーションの監視条件を定義する...86 4.2.9 イベントコリレーションの定義を移入する...88 4.3 イベントを抑止する...88 4.3.1 同一イベントを抑止する...88 - vi -

4.3.2 類似イベント / 大量イベントを抑止する...88 4.3.3 [ 監視イベント一覧 ] の未対処イベントを抑止する...89 4.4 発生したイベントに対しアクションを定義する...92 4.5 イベントコリレーション定義を復元する...93 4.5.1 イベントコリレーション定義の過去定義ファイル...93 4.5.2 復元方法...95 付録 A イベントコリレーション...97 A.1 イベントコリレーションパターンごとの動作...97 A.2 発生イベントと定義の比較のしかた...101 付録 B イベントを集約して監視する場合の定義例...105 B.1 メッセージ変換の定義例...105 B.1.1 メッセージ全文を置き換える...105 B.1.2 発生メッセージを埋め込んで新たにメッセージを出力する...106 B.1.3 発生メッセージの一部を別の文字列に置き換える...107 B.1.4 発生メッセージから抽出した文字列を出力するメッセージに埋め込む...108 B.2 イベントコリレーション監視の定義例...109 B.2.1 メッセージ特定条件の定義例...110 B.2.2 イベントコリレーションパターンの定義例...111 B.2.3 イベントコリレーション処理の定義例...116 B.2.4 イベントコリレーション監視の条件定義例...119 B.2.5 特殊な定義例...121 B.3 類似イベント / 大量イベント抑止の定義例...123 B.3.1 詳細コード部分だけ異なるメッセージが複数発生する場合...123 B.3.2 複数サーバから同じイベントが発生する場合...124 B.3.3 抑止したくないイベントを定義する場合...124 B.3.4 複数サーバから異なるイベントが発生する場合...125 B.4 発生したイベントに対しアクションを実行する定義例...125 B.5 イベントグループの定義例...126 付録 C [ 新規入力支援 ] ダイアログと Event Designer のシートの対応表...131 - vii -

第 1 部イベントを集約して監視する運用第 1 部ではイベントを集約して監視する運用の運用形態およびイベントを集約して監視するしくみについて説明します第 1 章運用形態...2 第 2 章イベントを集約して監視するしくみ...50-1 -

第 1 章運用形態複数の異なるイベントを関連付けて監視する運用を以下の形態ごとに説明します設定手順等の詳細については運用形態 1: 事象が発生したら処理 / 対処を行う ( 複数イベントをまとめて監視 ) 以降を参照してくださいはじめに : 事象が発生したら新規イベントで通知 ( 複数イベントをまとめて監視 ) イベントコリレーション機能の代表的な運用形態を説明しますある事象が発生した場合に別のメッセージで通知する運用形態です運用内容 CPU 使用率を監視し 50% 超えると warning/70% 超えると error メッセージを出力監視要件 5 分以内に warning メッセージが 3 回以上発生したら異常とする新規メッセージで異常を通知する運用形態 1: 事象が発生したら処理 / 対処を行う ( 複数イベントをまとめて監視 ) ある事象が発生した場合にプロセスを停止し再起動を行う運用形態を説明します運用内容受付プロセス処理プロセス結果通知プロセス印刷処理プロセスを監視監視要件どれかのプロセスが異常停止したら自動的に全プロセスを停止し再起動する全プロセスの起動メッセージを確認する異常発生から再起動まで 5 分以内であれば対処済 5 分以上であれば対処済にしない運用形態 2: 通知されるメッセージをわかりやすく変換 ( メッセージの内容を編集 ) OSなどの英語メッセージを日本語メッセージで通知する運用形態を説明します運用内容 GS(MSP) から通知されるメッセージを監視監視要件重要メッセージが通知される重要メッセージ内のホスト名を追加して日本語メッセージで通知する運用形態 3: 類似メッセージを抑止 ( 類似 / 大量イベントを抑止 ) 複数の類似メッセージを最初の 1 つだけ通知する運用形態を説明します - 2 -

運用内容メッセージを監視監視要件メッセージが発生しその後先頭から半角文字で 30 文字が一致するメッセージが 60 秒以内に発生する最初の 1 メッセージのみ通知する運用形態 4: 対応中のネットワーク異常メッセージは1つだけ通知 ( 類似 / 大量イベントを抑止 ) ネットワーク異常を調査している間に発生するメッセージを最初の1つだけ通知する運用形態を説明します運用内容ネットワーク異常のメッセージを監視監視要件ネットワーク異常のメッセージが発生するその他のネットワーク異常のメッセージは通知せず 1 つのメッセージだけ通知する運用形態 5: 大量メッセージを抑止 ( 類似 / 大量イベントを抑止 ) 複数の大量イベントが発生したとき最初の300 件だけ通知する運用形態を説明します運用内容メッセージを監視監視要件異なる内容のメッセージが60 秒以内に発生する最初の 300 メッセージのみ通知するイベントコリレーション定義を行うサーバイベントコリレーション機能を使用する場合運用形態やネットワーク負荷を考慮してイベントコリレーション定義を行うサーバを決める必要があります第 2 章以降で説明する運用形態では運用管理サーバでイベントコリレーション定義を行っていますポイント部門管理サーバや業務サーバでイベントコリレーション定義を行うことにより上位サーバに通知するイベントが集約されネットワーク負荷を軽減することができます第 2 章以降で説明する運用形態の運用イメージを以下に示します - 3 -

1.1 はじめに : 事象が発生したら新規イベントで通知 ( 複数イベントをまとめて監視 ) ある事象が発生した場合に別のイベントで通知する運用形態について説明しますイベントコリレーション機能の代表的な運用形態です指定したイベントが一定時間内に複数回発生した場合に新規にイベントを出力しますこれにより発生したイベントの数が少ないときは対処を行わずに指定数以上のイベントが発生した場合には対処を行う運用が可能となります機能の詳細は複数イベントをまとめて監視する ( イベントコリレーション ) を参照してくださいこの節では以下の監視要件の運用形態について説明します運用内容以下の運用を想定した運用形態です CPU 使用率を監視し 50% 超えると warning/70% 超えると error メッセージを出力監視要件異常と判断する条件 5 分以内に以下の warning メッセージが 3 回以上発生する UX:SSQC: WARNING: 6102:AP:SSQC: warnning: Monitoring value of Object(UserCPU) is above than upper warning level. (Device Name:Total, Detect Value:11.560, Threshold Value:10.000, Detect Times:1, Detect CheckTimes:1) 異常と判断した後の処理以下の新規メッセージで異常を通知します - 4 -

UX: 性能監視 : ERROR: CPU 使用率の高負荷状態が多数発生しています詳細を確認してくださいポイントメッセージの色メッセージの色は以下を示しており説明のためで実際に出力される色ではありません赤色 : 基準イベント青色 : 条件成立時に通知されるメッセージ 1.1.1 はじめにの定義方法はじめにの運用の定義方法を説明します定義の流れ 1. サーバに設定しているローカル定義の内容をCSVファイルに出力します 2. Event Designer をインストールします 3. Event Designer で定義します 4. Event Designer の定義を CSV ファイルに出力します 5. 設定した定義をサーバに反映します定義の詳細 1. サーバに設定しているローカル定義の内容を CSV ファイルに出力します a. 運用管理サーバで mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) を使用して設定されている定義を出力します /opt/fjsvfwaos/usr/bin/mpaoscrcsv -o /tmp/correlation.csv mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください b. Event Designer をインストールするマシンに CSV ファイル (/tmp/correlation.csv) をコピーしますコピー後の CSV ファイルを c:\temp \correlation.csv とします 2. Event Designer をインストールします a. Systemwalker Centric Manager のセットアップ画面を起動しますローカルインストールを行う場合は CD-ROM からネットワークインストールで行う場合はネットワーク接続したドライブからインストールコマンドを実行します - 5 -

CD-ROM またはネットワーク接続ドライブ \swsetup.exe セットアップ画面が表示されます b. [ ツール ] の [Event Designer] を起動します [ ようこそ ] 画面が表示されますあとは画面の指示に従って操作してインストールします c. Event Designer を起動します以下のMicrosoft(R) Excelファイルを起動します Event Designerインストールディレクトリ \bin\event Designer.xls - 6 -

3. Event Designer で定義します a. [CSV 入力 ] ボタンをクリックします入力するファイルに mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) で出力した CSV ファイル (c:\temp\correlation.csv) を指定します CSV ファイルの内容が Event Designer に反映されます b. [ コリレーション定義 ] ボタンをクリックしサブメニューから [ コリレーション監視の条件定義 ] をクリックします [ コリレーション監視の条件定義メンテナンス ] シートと [ 新規入力支援 ] 画面が表示されます - 7 -

c. 項目を設定します (1)[ コリレーション条件 ] (1-1)[ 基準イベント ( メッセージ )]:UX:SSQC: WARNING: 6102:AP:SSQC: warnning: Monitoring value of Object\(UserCPU\) is above than upper warning level\. (1-2)[ 基準イベントの扱い ]: 監視しない (1-3)[ 監視方法 ]: 基準イベントの発生回数を監視 (1-4)[ 発生回数 ]:3 (1-5)[ 監視間隔 ( 秒 )]:300 (1-6)[ コメント ]( 任意入力 ):CPU 使用率を監視 (1-7)[ 判定方法 ]: 条件一致で真注意 (1-1) では正規表現を使用します正規表現については Systemwalker Centric Manager 使用手引書監視機能編の正規表現の設定例を参照してください (2)[ 条件成立時処理 ] (2-1)[ 対処処理 ]: 対処済にしない (2-2)[ 通知方法 ]: 新規イベントを通知 (2-3)[ メッセージ通知の実行方法 ]: 常時実行 (2-4)[ メッセージ ]:UX: 性能監視 : ERROR: CPU 使用率の高負荷状態が多数発生しています詳細を確認してください (3)[ 条件不成立時処理 ] (3-1)[ 対処処理 ]: 対処済にしない (3-2)[ 通知方法 ]: 通知しない - 8 -

d. [OK] ボタンをクリックしますコリレーション監視の条件定義の各シートに設定した項目が反映されます - [ コリレーション監視の条件定義メンテナンス ] シート : (1)[ コリレーション条件 ] (2)[ 条件成立時処理 ] および (3)[ 条件不成立時処理 ] で指定した内容が反映されます [ 反映された項目 ] (1)[ コリレーションパターン ] コリレーションパターン0000( 図中の黄色 ) (2)[ 条件成立時 ] コリレーション処理 0000( 図中のピンク色 ) (3)[ 条件不成立時 ] コリレーション処理 0001( 図中のピンク色 ) (1-6)[ コメント ]:CPU 使用率を監視 - 9 -

- [ コリレーションパターン ] シート : (1)[ コリレーション条件 ] で指定した内容が反映されます [ 反映された項目 -コリレーションパターン0000( 図中の黄色 )] (1-1)[ 基準イベント ] メッセージ特定 0023( 図中の緑色 ) (1-2)[ 基準イベントの扱い ] メッセージ特定 0023( 図中の緑色 ) (1-3)[ 監視方法 ]: 発生回数を監視 (1-4)[ 発生回数 ]:3 (1-5)[ 監視間隔 ( 秒 )]:300 (1-6)[ コメント ]:CPU 使用率を監視 (1-7)[ 判定方法 ]: 条件一致で真 - [ コリレーション処理 ] シート : (2)[ 条件成立時処理 ] (3)[ 条件不成立時処理 ] で指定した内容が反映されます [ 反映された項目 - コリレーション処理 0000( 図中のピンク色 )] (2-1)[ 対処処理 ]: 対処済にしない - 10 -

(2-2)[ 通知方法 ]: 新規イベントを通知 (2-3)[ メッセージ通知の実行方法 ]: 常時実行 (2-4)[ メッセージ ]:UX: 性能監視 : ERROR: CPU 使用率の高負荷状態が多数発生しています詳細を確認してください [ 反映された項目 -コリレーション処理 0001( 図中のピンク色 )] (3-1)[ 対処処理 ]: 対処済にしない (3-2)[ 通知方法 ]: 通知しない - [ メッセージ特定条件 ] シート : (1)[ コリレーション条件 ] で指定した内容が反映されます [ 反映された項目 - メッセージ特定 0023( 図中の緑色 )] (1-1)[ 基準イベント ( メッセージ )]:UX:SSQC: WARNING: 6102:AP:SSQC: warnning: Monitoring value of Object(UserCPU) is above than upper warning level. [ メッセージテキストの特定 ] (1-2)[ 基準イベントの扱い ]: 監視しないポイント [ 新規入力支援 ] 画面の項目と各シートの項目の対応については [ 新規入力支援 ] ダイアログと Event Designer のシートの対応表を参照してください 4. Event Designerの定義をCSVファイルに出力します a. [ コリレーション監視の条件定義メンテナンス ] シートで [ イベント監視へ ] ボタンをクリックします [ イベント監視の条件定義メンテナンス ] シートが表示されます b. [CSV 出力 ] ボタンをクリックし出力するファイルにCSVファイル (c:\temp\correlation.csv) を指定します 5. 設定した定義をサーバに反映します a. 出力した CSV ファイル (c:\temp\correlation.csv) を運用管理サーバにコピーしますコピー後のファイルを /tmp/correlation.csv とします b. 運用管理サーバで mpaoscrdef( イベントコリレーション定義の CSV 反映コマンド ) を使用して設定した定義を反映します /opt/fjsvfwaos/usr/bin/mpaoscrdef -i /tmp/correlation.csv - 11 -

mpaoscrdef( イベントコリレーション定義の CSV 反映コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください 1.1.2 はじめにの運用はじめにの運用中に表示される内容およびコリレーションログに格納された内容について説明します運用中に表示される内容監視要件に一致すると以下のように [Systemwalker コンソール ] の [ 監視イベント一覧 ] に新規メッセージが出力されますコリレーションログに格納された内容監視要件に一致すると定義された処理が実行され以下のようにコリレーションログに処理内容が格納されます Cor_correlation_nn.log - 12 -

コリレーションログの説明 a. :1 件目の warning メッセージが発生しコリレーション定義に一致しました b. :2 件目の warning メッセージが発生しコリレーション定義に一致しました c. :3 件目の warning メッセージが発生しコリレーション定義に一致しました d. : 新規メッセージで異常を通知します 1.2 運用形態 1: 事象が発生したら処理 / 対処を行う ( 複数イベントをまとめて監視 ) ある事象が発生した場合にプロセスを停止し再起動を行う運用形態を説明します - 13 -

関連するイベントを待ち合わせ発生した異常メッセージを自動的に対処済にすることができますまたイベントを契機に指定したアクションを実行することもできますこれにより異常時の復旧作業を自動化することが可能となります機能の詳細は複数イベントをまとめて監視する ( イベントコリレーション ) を参照してくださいこの節では以下の監視要件の運用形態について説明します運用内容以下の運用を想定した運用形態です以下のプロセス監視 -FjMtxCtl.EXE -FjzUser.exe -FjzObsvG.exe -FjCMS20.exe 監視要件異常と判断する条件いずれかのプロセスが以下のメッセージを出力し停止する AP:FjzUser: エラー : 114: 業務 (FjzUser.exe) で内部異常発生 FjzUser.exeが異常停止した場合異常と判断した後の処理 1. 異常と判断する条件が成立した場合自動的に以下のコマンドを実行し全プロセスを停止後プロセスを再起動します c:\work\process_restart.bat 2. 再起動後全プロセスの起動メッセージ表示を確認しますメッセージ1 AP:FjMtxCtl.EXE: 情報 : 104: 業務 (FjMtxCtl.EXE) 起動しましたメッセージ2 AP:FjzUser: 情報 : 104: 業務 (FjzUser.exe) 起動しましたメッセージ3 AP:FjObsvG: 情報 : 104: 業務 (FjzObsvG.exe) 起動しましたメッセージ4 AP:FjCMS20: 情報 : 104: 業務 (FjCMS20.exe) 起動しました 3. 異常となってから起動メッセージを表示するまでの時間を確認します - 5 分以内 : 対処済とする - 5 分以上 : 対処済としないポイントメッセージの色メッセージの色は以下を示しており説明のためで実際に出力される色ではありません赤色 : 基準イベント - 14 -

青色 : 関連イベント 1.2.1 運用形態 1 の定義方法運用形態 1 の運用の定義方法を説明します定義の流れ 1. サーバに設定しているローカル定義の内容をCSVファイルに出力します 2. Event Designer をインストールします 3. Event Designer で定義します 1) 異常と判断する条件異常と判断した後の処理 2. のメッセージ 1 および異常と判断した後の処理 3. を [ 新規入力支援 ] 画面で定義します 2) 異常と判断した後の処理 2. のメッセージ 2 メッセージ 3 およびメッセージ 4 を追加します 3) 異常と判断した後の処理 1. を定義します 4. Event Designer の定義を CSV ファイルに出力します 5. 設定した定義をサーバに反映します定義の詳細 1. サーバに設定しているローカル定義の内容を CSV ファイルに出力します a. 運用管理サーバで mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) を使用して設定されている定義を出力します Systemwalker インストールディレクトリ \mpwalker\mpaosfsv\bin\mpaoscrcsv -o c:\temp \correlation.csv mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください b. Event Designer をインストールするマシンに CSV ファイル (c:\temp\correlation.csv) をコピーします 2. Event Designer をインストールします a. Systemwalker Centric Manager のセットアップ画面を起動しますローカルインストールを行う場合は CD-ROM からネットワークインストールで行う場合はネットワーク接続したドライブからインストールコマンドを実行します CD-ROM またはネットワーク接続ドライブ \swsetup.exe セットアップ画面が表示されます - 15 -

b. [ ツール ] の [Event Designer] を起動します [ ようこそ ] 画面が表示されますあとは画面の指示に従って操作してインストールします c. Event Designer を起動します以下のMicrosoft(R) Excelファイルを起動します Event Designerインストールディレクトリ \bin\event Designer.xls - 16 -

3. Event Designer で定義します 1) 異常と判断する条件異常と判断した後の処理 2. のメッセージ 1 および異常と判断した後の処理 3. を [ 新規入力支援 ] 画面で定義します a. [CSV 入力 ] ボタンをクリックします入力するファイルに mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) で出力した CSV ファイル (c:\temp\correlation.csv) を指定します CSV ファイルの内容が Event Designer に反映されます b. [ コリレーション定義 ] ボタンをクリックしサブメニューから [ コリレーション監視の条件定義 ] をクリックします - 17 -

[ コリレーション監視の条件定義メンテナンス ] シートと [ 新規入力支援 ] 画面が表示されます c. 項目を設定します (1)[ コリレーション条件 ] (1-1)[ 基準イベント ( メッセージ )]:AP:Fj.*: エラー : 114: 業務 \(Fj.*\.exe\) で内部異常発生 (1-2)[ 基準イベントの扱い ]: 監視する (1-3)[ 監視方法 ]: 基準イベントより後に発生した関連イベントを監視 (1-4)[ 監視間隔 ( 秒 )]:300 (1-5)[ 関連イベント ]:AP:FjMtxCtl\.EXE: 情報 : 104: 業務 \(FjMtxCtl\.EXE\) 起動しました (1-6)[ 関連イベントの扱い ]: 監視しない (1-7)[ コメント ]( 任意入力 ): 全プロセスが再起動されたか監視 (1-8)[ 判定方法 ]: 条件一致で真注意 (1-1) (1-5) では正規表現を使用します正規表現については Systemwalker Centric Manager 使用手引書監視機能編の正規表現の設定例を参照してください (2)[ 条件成立時処理 ] (2-1)[ 対処処理 ]: 対処済にする (2-2)[ 通知方法 ]: 通知しない (3)[ 条件不成立時処理 ] (3-1)[ 対処処理 ]: 対処済にしない (3-2)[ 通知方法 ]: 通知しない - 18 -

d. [OK] ボタンをクリックしますコリレーション監視の条件定義の各シートに設定した項目が反映されます - [ コリレーション監視の条件定義メンテナンス ] シート : (1)[ コリレーション条件 ] (2)[ 条件成立時処理 ] および (3)[ 条件不成立時処理 ] で指定した内容が反映されます [ 反映された項目 ] (1)[ コリレーションパターン ] コリレーションパターン0001( 図中の黄色 ) (2)[ 条件成立時 ] コリレーション処理 0002( 図中のピンク色 ) (3)[ 条件不成立時処理 ] コリレーション処理 0001( 図中のピンク色 ) (1-7)[ コメント ]: 全プロセスが再起動されたか監視 - 19 -

- [ コリレーションパターン ] シート : (1)[ コリレーション条件 ] で指定した内容が反映されます [ 反映された項目 -コリレーションパターン0001( 図中の黄色 )] (1-1)[ 基準イベント ] メッセージ特定 0000( 図中の緑色 ) (1-2)[ 基準イベントの扱い ] メッセージ特定 0000( 図中の緑色 ) (1-3)[ 監視方法 ]: 基準イベントより後に発生した関連イベントを監視 (1-4)[ 監視間隔 ( 秒 )]:300 (1-5)[ 関連イベント ] メッセージ特定 0000( 図中の緑色 ) (1-7)[ コメント ]: 全プロセスが再起動されたか監視 (1-8)[ 判定方法 ]: 条件一致で真 - 20 -

- [ コリレーション処理 ] シート : (2)[ 条件成立時処理 ] (3)[ 条件不成立時処理 ] で指定した内容が反映されます [ 反映された項目 -コリレーション処理 0002( 図中のピンク色 )] (2-1)[ 対処処理 ]: 対処済にする (2-2)[ 通知方法 ]: 通知しない [ 反映された項目 -コリレーション処理 0001( 図中のピンク色 )] (3-1)[ 対処処理 ]: 対処済にしない (3-2)[ 通知方法 ]: 通知しない - [ メッセージ特定条件 ] シート : (1)[ コリレーション条件 ] で指定した内容が反映されます - 21 -

[ 反映された項目 - メッセージ特定 0000( 図中の緑色 )] (1-1)[ 基準イベント ( メッセージ )]:AP:Fj.*: エラー : 114: 業務 \(Fj.*\.exe\) で内部異常発生 [ メッセージテキストの特定 ] (1-2)[ 基準イベントの扱い ]: 監視する [ 反映された項目 - メッセージ特定 0001( 図中の緑色 )] (1-5)[ 関連イベント ]:AP:FjMtxCtl\.EXE: 情報 : 104: 業務 \(FjMtxCtl\.EXE\) 起動しました [ メッセージテキストの特定 ] (1-7)[ 関連イベントの扱い ]: 監視しない 2) 異常と判断した後の処理 2. のメッセージ 2 メッセージ 3 およびメッセージ 4 を追加します a. 監視するメッセージのテキストを追加します 1. [ メッセージ特定条件 ] シートで以下の項目を入力してください [ ラベル名の特定 ]: 分割せずにメッセージを特定 [ メッセージテキストの特定 ]:AP:FjzUser: 情報 : 104: 業務 \(FjzUser\.exe\) 起動しました [ ラベル名の特定 ]: 分割せずにメッセージを特定 [ メッセージテキストの特定 ]:AP:FjObsvG: 情報 : 104: 業務 \(FjzObsvG\.exe\) 起動しました [ ラベル名の特定 ]: 分割せずにメッセージを特定 [ メッセージテキストの特定 ]:AP:FjCMS20: 情報 : 104: 業務 \(FjCMS20\.exe\) 起動しました - 22 -

2. [ 入力チェック ] ボタンをクリックします [ メッセージ特定コード ] が自動採番 ( メッセージ特定 0002 メッセージ特定 0003 メッセージ特定 0004) されます b. [ コリレーションパターン ] に追加したメッセージの情報を追加します 1. [ コリレーションパターン ] シートを選択してください - 23 -

2. [ コリレーションパターンコード ] の [ コリレーションパターン 0001] を選択し [ 関連イベント追加 ] ボタンを追加したメッセージ分 (3 回 ) クリックしてください 3. 以下の項目をリスト選択し設定してください [ 関連イベントの関連 ]:AND:" かつ " で監視 [ 関連イベント ]: メッセージ特定 0002 [ 関連イベント ]: メッセージ特定 0003 [ 関連イベント ]: メッセージ特定 0004 3) 異常と判断した後の処理 1. を定義します - 24 -

a. [ メッセージ特定条件 ] シートで [ メッセージ特定コード ] の [ メッセージ特定 0000] を選択し [ 対応イベント定義検索 ] をクリックしてください以下のメッセージが出力されます b. [ はい ] をクリックしてください [ イベント監視の条件定義メンテナンス ] シートに定義が反映されます c. [ リモートコマンド ] シートで以下の項目を入力してください [ リモートコマンドを発行する ]:2: 常時実行 [ 発行先 ]:-: 自システム [ コマンド名 ]:c:\work\process_restart.bat - 25 -

d. [ 入力チェック ] ボタンをクリックします [ アクションコード ] が自動採番 ( リモート 0000) されます e. 定義したコマンドの情報を追加します [ イベント監視の条件定義メンテナンス ] シートで [ リモートコマンド ] に [ リモート 0000] を定義します - 26 -

ポイント [ 新規入力支援 ] 画面の項目と各シートの項目の対応については [ 新規入力支援 ] ダイアログと Event Designer のシートの対応表を参照してください 4. Event Designer の定義を CSV ファイルに出力します a. [ イベント監視の条件定義メンテナンス ] シートで [CSV 出力 ] ボタンをクリックし出力するファイルに CSV ファイル (c:\temp \correlation.csv) を指定します 5. 設定した定義をサーバに反映します a. 運用管理サーバに CSV ファイル (c:\temp\correlation.csv) をコピーします b. 運用管理サーバで mpaoscrdef( イベントコリレーション定義の CSV 反映コマンド ) を使用して設定した定義を反映します Systemwalker インストールディレクトリ \mpwalker\mpaosfsv\bin\mpaoscrdef -i c:\temp \correlation.csv -u mpaoscrdef( イベントコリレーション定義の CSV 反映コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください 1.2.2 運用形態 1 の運用運用形態 1 の運用中に表示される内容およびコリレーションログに格納された内容について説明します運用中に表示される内容以下のように [Systemwalker コンソール ] の [ 監視イベント一覧 ] に異常停止を示すメッセージが出力されると監視要件の処理が実行されます - 27 -

プロセス再起動後全プロセスの起動メッセージ表示を確認すると以下のように未対処が対処済になります - 28 -

コリレーションログに格納された内容監視要件に一致すると定義された処理が実行され以下のようにコリレーションログに処理内容が格納されます Cor_correlation_nn.log - 29 -

- 30 -

コリレーションログの説明 a. : プロセス (FjzUser) が内部異常メッセージを出力しコリレーション定義に一致しました b. : 内部異常メッセージがイベント監視の条件定義に一致しました ( コマンド実行 ) c. : プロセス (FjMtxCtl) が起動メッセージを出力しコリレーション定義に一致しました d. : プロセス (FjzUser) が起動メッセージを出力しコリレーション定義に一致しました e. : プロセス (FjObsvG) が起動メッセージを出力しコリレーション定義に一致しました f. : プロセス (FjCMS20) が起動メッセージを出力しコリレーション定義に一致しました g. : コリレーションにより a. の内部異常メッセージを対処済とします 1.3 運用形態 2: 通知されるメッセージをわかりやすく変換 ( メッセージの内容を編集 ) OS 等の英語メッセージを日本語メッセージで通知する運用形態を説明します発生したメッセージの内容を変更することができますこれにより対処者や管理者がわかりやすいメッセージに変更し通知することが可能となります機能の詳細はメッセージの内容を編集するを参照してくださいこの節では以下の監視要件の運用形態について説明します運用内容以下の運用を想定した運用形態です GS(MSP) から通知されるメッセージを監視監視要件異常と判断する条件以下のメッセージが発生する JCE328I FORCED DEACT INITIATED FOR NODE1 - REASON CODE = 2 異常と判断した後の処理メッセージ発生先を抽出し以下の日本語メッセージに埋め込んで通知します JCE328I 物理ユニットまたはクラスタコントローラ :NODE1 に障害が発生しエラー回復処理または強制ディアクティベート処理を開始しましたポイントメッセージの色メッセージの色は以下を示しており説明のためで実際に出力される色ではありません赤色 : 発生メッセージ青色 : 変換後のメッセージ 1.3.1 運用形態 2 の定義方法運用形態 2 の運用の定義方法を説明します - 31 -

定義の流れ 1. サーバに設定しているローカル定義の内容を CSV ファイルに出力します 2. Event Designer をインストールします 3. Event Designer で定義します 4. Event Designer の定義を CSV ファイルに出力します 5. 設定した定義をサーバに反映します定義の詳細 1. サーバに設定しているローカル定義の内容を CSV ファイルに出力します a. 運用管理サーバで mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) を使用して設定されている定義を出力します /opt/fjsvfwaos/usr/bin/mpaoscrcsv -o /tmp/correlation.csv mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください b. Event Designer をインストールするマシンに CSV ファイル (/tmp/correlation.csv) をコピーしますコピー後の CSV ファイルを c:\temp \correlation.csv とします 2. Event Designer をインストールします a. Systemwalker Centric Manager の [ セットアップ ] 画面を起動しますローカルインストールを行う場合は CD-ROM からネットワークインストールで行う場合はネットワーク接続したドライブからインストールコマンドを実行します CD-ROM またはネットワーク接続ドライブ \swsetup.exe [ セットアップ ] 画面が表示されます - 32 -

3. Event Designer で定義します a. [CSV 入力 ] ボタンをクリックします入力するファイルに mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) で出力した CSV ファイル (c:\temp\correlation.csv) を指定します CSV ファイルの内容が Event Designer に反映されます b. [ コリレーション定義 ] ボタンをクリックしサブメニューから [ メッセージ変換定義 ] をクリックします [ メッセージ変換定義メンテナンス ] シートが表示されます - 34 -

c. 項目を設定します - [ メッセージの特定 ]:JCE328I.* REASON CODE = 2 - [ 変換方法 ]:KEY: キーワード抽出 - [ キーワード ]:FOR は空白を示します - [ マクロ名 ]:%KEY0 - [ 変換定義 ]:JCE328I 物理ユニットまたはクラスタコントローラ :%KEY0 に障害が発生しエラー回復処理または強制ディアクティベート処理を開始しました - 35 -

4. Event Designerの定義をCSVファイルに出力します a. [ メッセージ変換定義メンテナンス ] シートで [ イベント監視へ ] ボタンをクリックします [ イベント監視の条件定義メンテナンス ] シートが表示されます b. [CSV 出力 ] ボタンをクリックし出力するファイルにCSVファイル (c:\temp\correlation.csv) を指定します 5. 設定した定義をサーバに反映します a. 出力した CSV ファイル (c:\temp\correlation.csv) を運用管理サーバにコピーしますコピー後のファイルを /tmp/correlation.csv とします b. 運用管理サーバで mpaoscrdef( イベントコリレーション定義の CSV 反映コマンド ) を使用して設定した定義を反映します /opt/fjsvfwaos/usr/bin/mpaoscrdef -i /tmp/correlation.csv -u mpaoscrdef( イベントコリレーション定義の CSV 反映コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください 1.3.2 運用形態 2 の運用運用形態 2 の運用中に表示される内容およびコリレーションログに格納された内容について説明します運用中に表示される内容監視要件に一致すると以下のように [Systemwalker コンソール ] の [ 監視イベント一覧 ] に日本語メッセージが出力されますコリレーションログに格納された内容監視要件に一致すると定義された処理が実行され以下のようにコリレーションログに処理内容が格納されます Cor_correlation_nn.log - 36 -

コリレーションログの説明 a. : 異常メッセージが発生しメッセージ変換定義に一致しました 1.4 運用形態 3: 類似メッセージを抑止 ( 類似 / 大量イベントを抑止 ) 複数の類似イベントを最初の 1 つだけ通知する運用形態を説明します多量に類似イベントが出力された場合最初の 1 イベントだけを通知することができますこれにより多量に発生した類似イベントが集約され Systemwalker コンソール上のイベント確認作業負荷を軽減します機能の詳細は類似イベント / 大量イベントを抑止するを参照してくださいこの節では以下の監視要件の運用形態について説明します運用内容以下の運用を想定した運用形態ですメッセージを監視監視要件異常と判断する条件以下の類似メッセージが発生する SY:dpti2o: エラー : 9: デバイス \Device\Scsi\dpti2o2 はタイムアウト期間内に応答しませんでした SY:dpti2o: エラー : 9: デバイス \Device\Scsi\dpti2o2 はタイムアウト期間内に応答しませんでした SY:dpti2o: エラー : 9: デバイス \Device\Scsi\dpti2o5 はタイムアウト期間内に応答しませんでした 1. メッセージ発生の時間間隔は60 秒以内とする 2. 最初から半角文字 30 文字以内が同じメッセージを類似メッセージとする異常と判断した後の処理最初の1メッセージだけ通知します 1.4.1 運用形態 3 の定義方法運用形態 3 の運用の定義方法を説明します定義の流れ 1. 最初の1メッセージだけ通知する設定をします - 37 -

2. Systemwalker Centric Manager を再起動します定義の詳細 1. 最初の 1 メッセージだけ通知する設定をします以下のコマンドを実行します Systemwalker インストールディレクトリ \mpwalker\mpaosfsv\bin\mpaosemny -n 30 -i 60 -n: メッセージの先頭からの半角文字数 -i: メッセージ発生の時間間隔 ( 秒 ) mpaosemny( 類似イベント抑止大量イベント抑止定義コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください 2. Systemwalker Centric Manager を再起動します a. 以下のコマンドを実行し Systemwalker Centric Manager を停止します pcentricmgr b. 以下のコマンドを実行し Systemwalker Centric Manager を起動します scentricmgr pcentricmgr( サービス / デーモンの停止コマンド ) と scentricmgr( サービス / デーモンの起動コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください 1.4.2 運用形態 3 の運用運用形態 3 の運用中に表示される内容およびコリレーションログに格納された内容について説明します運用中に表示される内容以下のように [Systemwalker コンソール ] の [ 監視イベント一覧 ] に最初の 1 メッセージだけが出力されます - 38 -

コリレーションログに格納された内容監視要件に一致すると定義された処理が実行され以下のようにコリレーションログに処理内容が格納されます Cor_correlation_nn.log コリレーションログの説明 a. :1 件目の異常メッセージが発生しイベント監視の条件定義に一致しました - 39 -

b. :2 件目の異常メッセージが発生し類似メッセージとして抑止されました c. :3 件目の異常メッセージが発生し類似メッセージとして抑止されました 1.5 運用形態 4: 対応中のネットワーク異常メッセージは 1 つだけ通知 ( 類似 / 大量イベントを抑止 ) ネットワーク異常を調査している間に発生するイベントを最初の 1 つだけ通知する運用形態を説明します複数のサーバから同じイベントが発生した場合最初に発生した未対処イベントだけを通知することができますこれによりネットワークイベントのように複数サーバで大量に発生するイベントを抑止し 1 イベントだけを通知することで他の重要なイベントを見過ごすことがなくなります機能の詳細は類似イベント / 大量イベントを抑止するを参照してくださいこの節では以下の監視要件の運用形態について説明します運用内容以下の運用を想定した運用形態ですネットワーク異常のメッセージを監視監視要件異常と判断する条件ネットワーク異常のメッセージが各サーバで発生する - hostaで発生 UX:APL1: ERROR: ネットワークで LinkDown が発生しました. - hostbで発生 UX:APL1: ERROR: ネットワークで LinkDown が発生しました. 異常と判断した後の処理ネットワークの調査中に発生するメッセージを最初の1つだけ通知します UX:APL1: ERROR: ネットワークで LinkDown が発生しました. ポイントメッセージの色メッセージの色は以下を示しており説明のためで実際に出力される色ではありません赤色 : 通知するメッセージ青色 : 抑止するメッセージ 1.5.1 運用形態 4 の定義方法運用形態 4 の運用の定義方法を説明します定義の流れ 1. サーバに設定しているローカル定義の内容をCSVファイルに出力します - 40 -

2. Event Designer をインストールします 3. Event Designer で定義します 4. Event Designer の定義を CSV ファイルに出力します 5. 設定した定義をサーバに反映します定義の詳細 1. サーバに設定しているローカル定義の内容を CSV ファイルに出力します 1. 運用管理サーバで mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) を使用して設定されている定義を出力します Systemwalker インストールディレクトリ \mpwalker\mpaosfsv\bin\mpaoscrcsv -o c:\temp \correlation.csv mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください 2. Event Designer をインストールするマシンに CSV ファイル (c:\temp\correlation.csv) をコピーします 2. Event Designer をインストールします 1. Systemwalker Centric Manager の [ セットアップ ] 画面を起動しますローカルインストールを行う場合は CD-ROM からネットワークインストールで行う場合はネットワーク接続したドライブからインストールコマンドを実行します CD-ROM またはネットワーク接続ドライブ \swsetup.exe [ セットアップ ] 画面が表示されます - 41 -

2. [ ツール ] の [Event Designer] を起動します [ ようこそ ] 画面が表示されますあとは画面の指示に従って操作してインストールします 3. Event Designer を起動します以下のMicrosoft(R) Excelファイルを起動します Event Designerインストールディレクトリ \bin\event Designer.xls - 42 -

3. Event Designer で定義します 1. [CSV 入力 ] ボタンをクリックします入力するファイルに mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) で出力した CSV ファイル (c:\temp\correlation.csv) を指定します CSV ファイルの内容が Event Designer に反映されます 2. [ コリレーション定義 ] ボタンをクリックしサブメニューから [ イベントグループ定義 ] をクリックします [ イベントグループ定義メンテナンス ] シートが表示されます - 43 -

3. 項目を設定します [ ホスト名の特定 ]:hosta [ メッセージの特定 ]:UX:APL1: ERROR: ネットワークで LinkDown が発生しました. [ イベントグループ名 ]:!GroupA [ ホスト名の特定 ]:hostb [ メッセージの特定 ]:UX:APL1: ERROR: ネットワークで LinkDown が発生しました. [ イベントグループ名 ]:!GroupA hosta と hostb をグループ化してグループ単位でメッセージを抑止するためイベントグループ名の先頭に! をつけます - 44 -

4. Event Designerの定義をCSVファイルに出力します 1. [ イベントグループ定義メンテナンス ] シートで [ イベント監視へ ] ボタンをクリックします [ イベント監視の条件定義メンテナンス ] シートが表示されます 2. [CSV 出力 ] ボタンをクリックし出力するファイルにCSVファイル (c:\temp\correlation.csv) を指定します 5. 設定した定義をサーバに反映します 1. 運用管理サーバに CSV ファイル (c:\temp\correlation.csv) をコピーします 2. 運用管理サーバで mpaoscrdef( イベントコリレーション定義の CSV 反映コマンド ) を使用して設定した定義を反映しますイベントグループに関する定義は運用管理サーバだけに反映されます Systemwalker インストールディレクトリ \mpwalker\mpaosfsv\bin\mpaoscrdef -i c:\temp \correlation.csv -u mpaoscrdef( イベントコリレーション定義の CSV 反映コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください 1.5.2 運用形態 4 の運用運用形態 4 の運用中に表示される内容およびコリレーションログに格納された内容について説明します運用中に表示される内容監視要件に一致すると以下のように [Systemwalker コンソール ] の [ 監視イベント一覧 ] に最初の 1 メッセージが出力されますコリレーションログに格納された内容監視要件に一致すると定義された処理が実行され以下のようにコリレーションログに処理内容が格納されます Cor_correlation_nn.log - 45 -

コリレーションログの説明 a. :1 件目のネットワーク異常メッセージが発生しイベントグループ定義に一致しました b. :2 件目のネットワーク異常メッセージが発生しイベントグループ定義に一致しました Cor_eventgroup_nn.log コリレーションログの説明 a. :1 件目のネットワーク異常メッセージにより未対処イベントの抑止を開始しました ( このイベントは抑止されません以降の未対処イベントが抑止されます ) b. :2 件目のネットワーク異常メッセージが未対処イベントとして抑止されました 1.6 運用形態 5: 大量メッセージを抑止 ( 類似 / 大量イベントを抑止 ) 複数の大量イベントが発生したとき最初の 300 件だけ通知する運用形態を説明します大量にイベントが出力された場合最初の 300 メッセージだけを通知することができますこれにより大量に発生したイベントが集約され Systemwalker コンソール上のイベント確認作業負荷を軽減させることができます機能の詳細は類似イベント / 大量イベントを抑止するを参照してくださいこの節では以下の監視要件の運用形態について説明します運用内容以下の運用を想定した運用形態です - 46 -

メッセージを監視 ( 一定時間内に 301 件以上のメッセージが発生した場合は 300 件までを監視する ) 監視要件異常と判断する条件 60 秒以内に以下のような内容が異なる 300 件のメッセージが発生する AP:FjzUser: エラー : 114: 業務 (FjzUser.exe) で内部異常発生 JCE328I FORCED DEACT INITIATED FOR NODE1 - REASON CODE = 2 SY:dpti2o: エラー : 9: デバイス \Device\Scsi\dpti2o2 はタイムアウト期間内に応答しませんでした UX:APL1: ERROR: ネットワークで LinkDown が発生しました. 異常と判断した後の処理最初の 300 メッセージだけ通知します 1.6.1 運用形態 5 の定義方法運用形態 5 の運用の定義方法を説明します定義の流れ 1. 最初の 300 メッセージだけ通知する設定をします 2. Systemwalker Centric Manager を再起動します定義の詳細 1. 最初の 300 メッセージだけ通知する設定をします以下のコマンドを実行します Systemwalker インストールディレクトリ \mpwalker\mpaosfsv\bin\mpaosemny -n 0 -i 60 -c 300 -n : -i : -c : メッセージの先頭からの半角文字数メッセージ発生の時間間隔 ( 秒 ) メッセージの発生件数 mpaosemny( 類似イベント抑止大量イベント抑止定義コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください 2. Systemwalker Centric Manager を再起動します 1. 以下のコマンドを実行し Systemwalker Centric Manager を停止します pcentricmgr - 47 -

2. 以下のコマンドを実行し Systemwalker Centric Manager を起動します scentricmgr pcentricmgr( サービス / デーモンの停止コマンド ) と scentricmgr( サービス / デーモンの起動コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください 1.6.2 運用形態 5 の運用運用形態 5 の運用中に表示される内容およびコリレーションログに格納された内容について説明します運用中に表示される内容以下のように [Systemwalker コンソール ] の [ 監視イベント一覧 ] に最初の 300 メッセージまでが出力されますコリレーションログに格納された内容監視要件に一致すると定義された処理が実行され以下のようにコリレーションログに処理内容が格納されます Cor_correlation_nn.log - 48 -

コリレーションログの説明 a. :300 件目の異常メッセージが発生しイベント監視の条件定義に一致しました b. :301 件目の異常メッセージが発生し大量メッセージとして抑止されました c. :302 件目の異常メッセージが発生し大量メッセージとして抑止されました - 49 -

第 2 章イベントを集約して監視するしくみ 1 件の事象で複数のイベントが発生する場合それらを 1 件のイベントに集約して監視できますポイント集約して監視するある 1 件の事象が発生したときに関連性をもった複数のイベントが発生する場合にそれらを 1 つのイベントにまとめることをイベントを集約するといいます 1 つにまとめたイベントを [Systemwalker コンソール ] で監視することをイベントを集約して監視するといいますイベントを集約して監視するしくみシステムで発生したイベントは以下の順で処理され複数のイベントが集約されますイベントが発生してから [Systemwalker コンソール ] に表示されるまでのイベント処理の流れを以下に説明します注 )Windows 版 Solaris 版 Linux 版で使用することができますイベントの処理結果のログ発生したイベントはイベントを集約して監視する過程においてメッセージ内容が変換されたりイベントコリレーションによって監視しないイベントに変更されます発生したイベントがどのように処理されたかという情報はコリレーションログに格納されますイベントを集約して監視する過程において抑止されなかったイベントは以下のログに格納され参照することができます監視イベントログ参照先 :[ 監視イベント一覧 ] メッセージログ参照先 :[ メッセージ一覧 ] および [ メッセージ検索 ] ログ格納のイメージを以下に示します - 50 -

コリレーションログ監視イベント一覧に表示されるはずのイベントが表示されなかった場合や抑止されるはずのイベントが監視イベント一覧に表示された場合はコリレーションログを参照してイベントがどのように処理されたかを確認しますコリレーションログは以下のファイルに格納されます Windows 版 Systemwalker インストールディレクトリ \mpwalker\mpaosfsv\base\corlog\cor_correlation_nn.log UNIX 版 /var/opt/fjsvfwaos/corlog/cor_correlation_nn.log nn:01 からコリレーションログ定義ファイル (Cor_log.ini) で指定した世代数までの通番ですコリレーションログ定義ファイルおよびコリレーションログファイルの詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してくださいイベントを集約して監視するための定義イベントを集約して監視するために必要な定義を以下に示しますメッセージを変換する複数イベントをまとめる機能一覧イベントを抑止する同一イベント抑止類似イベント / 大量イベント抑止未対処イベント抑止メッセージ変換定義必要な定義イベントコリレーション監視の条件定義 [ 通信環境定義詳細 ] の [ 動作設定 ] タブで [ メッセージ抑止 ] の設定 - 51 -

機能一覧発生したイベントに対しアクションを実行する必要な定義類似イベント抑止定義イベントグループ定義イベント監視の条件定義なおイベントコリレーション定義の履歴は CSV ファイルの形式で自動的に保存されます自動保存されている過去定義ファイルからイベントコリレーション定義を復元することができます過去定義ファイルからイベントコリレーション定義を復元する方法についてはイベントコリレーション定義を復元するを参照してください以下にイベントを集約して監視する各機能のしくみを説明しますメッセージの内容を編集するしくみ複数イベントをまとめるしくみイベントを抑止するしくみ発生したイベントに対しアクションを実行するしくみ 2.1 メッセージの内容を編集するしくみメッセージの内容を編集するしくみについて説明しますメッセージの特定方法指定された発生元ホスト名とメッセージから変換するメッセージを特定します発生したメッセージを定義された条件と比較し条件に一致した場合にメッセージを変換しますメッセージの変換方法メッセージの内容を編集することをメッセージ変換といいますメッセージを変換する方法には以下の 4 種類があります全文を置き換えるメッセージを埋め込むメッセージの一部を別の文字列に置き換えるメッセージからキーワードを抽出し変換後のメッセージに埋め込む全文を置き換える発生したイベントのメッセージを指定したメッセージに置き換えますメッセージを埋め込む発生したイベントのメッセージを指定されたメッセージに埋め込みます - 52 -

変換後のメッセージには以下の情報を埋め込むことができます発生したイベントのメッセージ発生したイベントの発生元ホスト名メッセージの一部を別の文字列に置き換える発生したイベントのメッセージ内の指定された文字列を別の文字列に置き換えます指定した文字列が複数ある場合はすべて置き換えますメッセージからキーワードを抽出し変換後のメッセージに埋め込む発生したイベントのメッセージからキーワードを使用して文字列を抽出し抽出した文字列を指定したメッセージに埋め込みます変換後のメッセージには以下の情報を埋め込むことができます発生イベントからキーワードを使用して抽出した文字列発生したイベントのメッセージ発生したイベントの発生元ホスト名この例では発生メッセージの中の JobNetComment= および Code= をキーワードとして指定しますその後ろに続く文字列が抽出され変換後のメッセージに埋め込まれます文字列の抽出方法キーワードに指定した文字列の後ろから区切り文字 ( ) までを変換後のメッセージに埋め込む文字列として抽出します - 53 -

区切り文字 ( 半角 ): 空白,. ( ) { } [ ] < > ' " = ; : 改行コード文字列の終端メッセージへの埋め込み方抽出した文字列に識別するための名前をつけますこれをマクロ名といいます使用できるマクロ名は 10 個までで %KEY0~%KEY9 です例 ) JobNetComment= というキーワードで抽出される文字列に %KEY0 と名前をつけた場合 %KEY0 の内容は KIBAN1 になります Code= というキーワードで抽出される文字列に %KEY1 と名前をつけた場合 %KEY1 の内容は 2 になります変換後のメッセージを定義する際に抽出した文字列を埋め込む位置にマクロ名を指定しますメッセージ変換定義との比較変換する対象のメッセージを特定する条件や変換方法を定義したものをメッセージ変換定義といいます発生したイベントはメッセージ変換定義の先頭行から順に比較されメッセージを特定する条件が最初に一致した行の変換定義に従って変換されます最初に一致した定義行以降は比較を行いません 2.2 複数イベントをまとめるしくみ複数のイベントをまとめて監視することをイベントコリレーションといいますここではイベントコリレーションのしくみについて説明します複数のイベントの監視方法複数のイベントをまとめて監視する方法には以下の 2 つがありますイベントを関連付けて監視する監視する条件に指定した関連性に従って一定時間内に複数の異なるイベントが発生しているかを監視します発生回数を監視する監視する条件に指定した時間内に発生したイベントの回数を監視しますまた監視する条件に指定した時間内に発生したイベントの回数を通知することもできます上記の監視する条件を定義したものをイベントコリレーションパターンといいますイベントコリレーションパターンには以下の種類がありますイベント A が発生後 nn 秒以内にイベント B が発生したイベント A が発生後 nn 秒以内にイベント B またはイベント C またはが発生したイベント A が発生後 nn 秒以内にイベント B かつイベント C かつが発生したイベント A が発生後 nn 秒以内にイベント B かつイベント C かつが登録順に発生したイベント A が発生前 nn 秒以内にイベント B が発生したイベント A が発生前 nn 秒以内にイベント B またはイベント C またはが発生したイベント A が発生前 nn 秒以内にイベント B かつイベント C かつが発生したイベント A が発生前 nn 秒以内にイベント B かつイベント C かつが登録順に発生したイベント A が nn 秒以内に mm 回発生したイベント A が発生後 nn 秒以内にイベント B が mm 回発生したまた発生したイベントの件数を通知することもできますイベント A が nn 秒以内に何回発生したかを通知各イベントコリレーションパターンでの監視方法についてはイベントコリレーションパターンごとの動作を参照してください - 54 -

イベントコリレーション監視ではコリレーションパターンをさらに組み合わせて監視できますコリレーションパターンはかつまたはまたはを使用して組み合わせますイベントの関連性複数のイベントはかつまたはまたは登録順で関連付けされますかつを使用して関連付けされた場合指定した複数のイベントがすべて発生した場合に条件に一致したと判断しますまたはを使用して関連付けされた場合指定した複数のイベントのどれかが発生した場合に条件に一致したと判断します登録順を使用して関連付けされた場合指定した複数のイベントがすべて登録順に発生した場合に条件に一致したと判断しますイベントコリレーションでは関連付けの基準となるイベントを基準イベント基準イベントに関連付けるイベントを関連イベントと呼びますイベントコリレーションの監視条件の判定方法指定時間内に関連付けされた複数のイベントが発生したかどうかで条件に一致したかを判断します指定時間内に条件に指定したイベントが発生した場合条件に一致したと判断します複数のイベントコリレーションパターンを組み合わせたものを 1 つのイベントコリレーションの監視条件として監視する場合は以下のように判断しますイベントコリレーションパターンをまたはを使用して組み合わせた場合複数のイベントコリレーションパターンのどれかを満たすようにイベントが発生した場合イベントコリレーションの監視条件に一致したと判断します複数のイベントコリレーションパターンのどれも満たされなかった場合イベントコリレーションの監視条件に一致しなかったと判断しますイベントコリレーションパターンをかつを使用して組み合わせた場合指定時間内にすべてのイベントコリレーションパターンを満たすようにメッセージが発生した場合イベントコリレーションの監視条件に一致したと判断します複数のイベントコリレーションパターンのどれかが満たされなかった場合イベントコリレーションの監視条件に一致しなかったと判断します複数のイベントコリレーションパターンのどれかが最初に満たされてから指定時間内に他のイベントコリレーションパターンが満たされなかった場合イベントコリレーションの監視条件に一致しなかったと判断しますポイント発生したイベントはイベントコリレーション監視の条件定義に設定されている定義の上から順番にすべての定義行と比較されます詳細は発生イベントと定義の比較のしかたを参照してください時間の判定方法イベントコリレーションの監視において扱う時刻情報は以下のとおりです監視開始時刻基準イベント発生から監視を終了するまでの時間を監視するときはイベントコリレーション機能が基準イベントを受信 ( 処理 ) した時刻が監視開始時刻ですイベントの発生間隔と監視間隔との比較イベントコリレーションパターン内の全関連イベントの [ ホスト名の特定 ] に [ 基準イベントと同じホスト ] が設定されている場合はイベントの発生時刻を比較します - 55 -

イベントコリレーションパターン内の全イベントの [ ホスト名の特定 ] に [ 自システム ] が設定されている場合はイベントの発生時刻を比較します上記以外の場合はイベントコリレーション機能がイベントを受信 ( 処理 ) した時間で比較します監視の定義方法とイベントの発生方法により以下のような動作になります同じシステムで発生したイベントを監視する場合基準イベントであるイベント A 発生後監視間隔内にイベント B かつイベント C が発生した場合を例に説明しますイベント B イベント C の [ ホスト名の特定 ] が [ 基準イベントと同じホスト ] の場合イベントを受信した時点でイベントの発生時刻を比較しますイベント A 受信から監視間隔経過までにすべてのイベントを受信した場合 ( 図の (1) までにすべてのイベントを受信 ) イベントを受信した時点でイベントの発生時刻を比較しますイベント A の発生時刻とイベント B イベント C の発生時刻の差が監視間隔内であれば条件は成立監視間隔を超えている場合は条件は不成立となります関連イベントの受信が遅れた場合 ( イベント C の受信が図の (2) の時間の場合 ) 運用管理サーバでイベント A を受信してから監視間隔が経過した時点 ( 図の (1)) でイベントコリレーションの監視条件が不成立となるためイベント C は監視対象外になりますイベント B イベント C の [ ホスト名の特定 ] が [ 基準イベントと同じホスト ] 以外の場合イベント A 受信から監視間隔経過までにすべてのイベントを受信した場合 ( 図の (1) までにすべてのイベントを受信 ) イベントの時刻の判定は受信時刻で行うためイベントコリレーションの条件は成立しますイベント A 受信から監視間隔経過までにすべてのイベントを受信しなかった場合 ( イベント C の受信が図の (2) の時間の場合 ) 運用管理サーバでイベント A を受信してから監視間隔が経過した時点 ( 図の (1)) でイベントコリレーションの監視条件が不成立となるためイベント C は監視対象外になります異なるシステムで発生したイベントを監視する場合イベント A 発生後監視間隔内にイベント B およびイベント C が登録順に発生した場合を例に説明します - 56 -

イベント A イベント B イベント C の順で運用管理サーバに到着した場合 ( イベント B の受信位置は図の (1)) イベントの時刻の判定は受信時刻で行いますイベント A 発生からイベント C 受信までの時間が監視間隔内であれば条件が成立しますイベント A イベント C イベント B の順で運用管理サーバに到着した場合 ( イベント B の受信位置は図の (2)) イベント C を受信した時点で登録順に発生していないと判断するため条件は不成立になりますこの例の場合イベント A と同じシステムから発生するイベント B について [ ホスト名の特定 ] で [ 基準イベントと同じホスト ] と設定されていてもイベント C に対しては [ 基準イベントと同じホスト ] と設定されていないためイベントの時刻の比較は受信時刻で行いますイベントが一斉に通知された場合下位サーバの Systemwalker Centric Manager が停止中に発生したイベントが起動後に一斉に運用管理サーバに送信された場合やメール連携でイベントが通知された場合などイベントを一斉に受信した場合は以下の動作になりますイベント A 発生後監視間隔内にイベント B およびイベント C が発生した場合を例に説明しますイベント B イベント C の [ ホスト名の特定 ] が [ 基準イベントと同じホスト ] の場合イベントの時刻の判定はイベントの発生時刻で行いますイベント B の発生時刻はイベント A が発生してから監視間隔を経過した後であるためイベント B を受信した時点で条件は不成立になりますイベント B イベント C の [ ホスト名の特定 ] が [ 基準イベントと同じホスト ] 以外の場合イベントの時刻の判定はイベントの受信時刻で行いますイベント A を受信してからイベント C を受信するまで監視間隔内であるため条件は成立します発生日付 / 日時がないイベントの時間の比較グローバルサーバで発生したイベントで発生日付がないまたは発生日時がないものをイベントコリレーションの監視条件として指定した場合時間の比較はイベントコリレーション機能がイベントを受信 ( 処理 ) した時間で行いますイベントコリレーションの監視条件に一致した場合の動作発生した複数のイベントの関連性や発生間隔がイベントコリレーションの監視条件に一致した場合および監視条件に一致しなかった場合に指定されたイベントコリレーション処理を行いますイベントコリレーション処理には以下があります新規イベントを通知新規にイベントを発生します最後のイベントを通知関連付けされた複数のイベントのうち最後に発生したイベントを通知します ( 監視条件に一致した場合だけ ) 対処済にする未対処のイベントを [ 対処済 ] に変更します ( 運用管理サーバの場合だけ ) - 57 -

1 個のイベントが複数のイベントコリレーションの監視条件を成立する / しないを確定させる場合がありますその場合に各条件に定義されているイベントコリレーション処理は以下のように実行されますイベントコリレーション処理で [ 通知方法 ] に [ 新規イベントを通知 ] を選択している場合以下のどちらかの方法で実行されます上位優先イベントコリレーション監視の条件定義一覧の上位に設定されているイベントコリレーション処理だけを実行します常時実行イベントコリレーションの監視条件が成立または不成立の場合に必ず通知しますつまり複数のイベントコリレーションの監視条件を成立させた / 成立させなかった場合その各行に定義されたイベントコリレーション処理をすべて実行しますイベントコリレーション処理で [ 通知方法 ] に [ 最後のイベントを通知 ] を選択している場合複数のイベントコリレーションの監視条件を成立させた / 成立させなかった場合でも通知するイベントは 1 件だけです通知するイベントの属性は選択した実行方法で以下のように変わります上位優先イベントコリレーション監視の条件定義一覧の上位に設定されているイベントコリレーション処理のイベントの属性が設定されます常時実行イベントコリレーション処理で通知するイベントの属性は以下のように設定されます - イベントコリレーションの監視条件に一致した複数の行で通知するイベントの属性に設定された重要度が異なる場合一番高い重要度が定義されているイベントコリレーション処理のイベントの属性が最後に発生したイベントの属性に設定されます重要度の高い順は以下のとおりです ( 高い ) 最重要 > 重要 > 警告 > 通知 > 一般 ( 低い ) - イベントコリレーションの監視条件に一致した複数行で通知するイベントの属性に設定された重要度が同じ場合イベントコリレーション監視の条件定義一覧の上位に定義されているコリレーション処理のイベントの属性が最後に発生したイベントの属性に設定されますイベントコリレーション処理で基準イベントに対する [ 対処処理 ] に [ 未対処のイベントを対処済みにする ] を選択している場合イベントコリレーションの監視条件に一致したすべての定義行の処理を実行します通知するイベントの属性イベントコリレーション処理で通知するイベントに対して以下の属性を設定できます項目設定内容 [ 上位システムに送信 ] 上位システムに送信するかを設定します上位システムに送信する上位システムに送信しない [ ログ格納 ] ログ採取を行うかを設定しますログ格納するログ格納しない [ 監視イベント種別 ] イベントの監視イベント種別を設定します [ 変更しない ] [ 監視イベント種別名 ] [ 重要度 ] イベントの重要度を設定します [ 変更しない ] [ 最重要 ]/[ 重要 ]/[ 警告 ]/[ 通知 ]/[ 一般 ] [ 文字色 ] メッセージ一覧に表示する文字色を設定します変更しない - 58 -

項目 [ 文字色 ] [ 標準 ] 設定内容 [ 背景色 ] メッセージ一覧に表示する背景色を設定します変更しない [ 背景色 ] [ 標準 ] [ 通報番号 ] イベントに設定する通報番号を設定します [ 変更しない ] 0 ~ 999 各項目の詳細はイベント監視の条件定義の [ イベント定義 / アクション定義 ]-[ 通知 / 実行アクション ] と同じです Systemwalker Centric Manager 使用手引書監視機能編の [Systemwalker コンソール ] にメッセージを通知するを参照してくださいイベントコリレーションの監視のリセットイベントコリレーションの監視中に特定のイベントが発生した場合監視中の情報をリセットし最初から監視できます監視のリセットを行った場合イベントコリレーション処理は実行されませんイベントコリレーション監視対象外のイベントイベントコリレーションの監視対象としたくないイベントを指定できますイベントコリレーションの対象となるイベントはメッセージ変換された後のイベントですイベントコリレーション処理で発生したイベントに対しては以下の処理は行われませんメッセージ変換同一イベント抑止類似イベント / 大量イベント抑止未対処イベント抑止なお監視を抑止しているノードから通知されたイベントがイベントコリレーション監視の条件定義に一致した場合は [ イベントの扱い ] に設定した定義に従ってイベントを処理しますがイベントコリレーションの対象にはなりません 2.3 イベントを抑止するしくみイベントを抑止する方法には以下の3つがあります同一イベントを抑止するしくみ類似イベント / 大量イベントを抑止するしくみ未対処イベントを抑止するしくみ 2.3.1 同一イベントを抑止するしくみ一定時間内に全く同じ内容のイベントが複数発生した場合に 2つ目以降のイベントを抑止します同一イベントかを判断する対象はイベントコリレーション機能で破棄されなかったイベントです以下のイベントですイベントコリレーション監視の監視対象外と指定したイベントイベントコリレーションで監視するイベントの定義において [ イベントの扱い ] に [ 監視する ] を設定したイベントイベントコリレーション監視の条件定義のすべての行と一致しなかったイベントまたメッセージ変換定義によってメッセージの内容が編集されている場合は変換後のメッセージで同一イベントかを判断します - 59 -

同一と判定する条件以下の 2 つの条件に一致した場合に同一イベントであると判断しますイベントの発生元システムが同じ場合メッセージの内容が同じである場合監視を抑止する機能を使用している場合監視抑止の設定を変更する前に発生したイベントと変更した後に発生したイベントは上記の条件を満たしている場合でも同一イベントとして扱いません抑止時間が 60 秒の場合の例を以下に示します抑止する条件あるイベントが発生した場合同一イベントが直前に発生した時刻からの経過時間が抑止時間以内の場合に抑止対象と判断しますメッセージ抑止機能では一定時間 ( 初期値 :60 秒 ) 内に発生した 100 種類までのメッセージについて抑止を行います一定時間内に 100 種類を超えてメッセージが発生した場合は最新の 100 種類のメッセージについてメッセージを抑止します抑止した場合の動作抑止されたイベントは [Systemwalker コンソール ] の [ 監視イベント一覧 ] および [ メッセージ一覧 ] に表示されません抑止解除時の動作同一イベントの発生間隔が抑止時間以上になった場合にイベントの抑止が解除されます抑止解除はイベントの受信時間で判定します抑止解除されたイベントは [Systemwalker コンソール ] で監視できますまた抑止解除時に抑止したイベントの数がイベントログ / シスログに通知されます同一イベント抑止の例抑止時間が 60 秒の場合同一のメッセージは以下のように抑止されます - 60 -

2.3.2 類似イベント / 大量イベントを抑止するしくみ類似イベント / 大量イベントを抑止するしくみについて説明します類似イベント抑止メッセージの一部だけが異なるような類似イベントが多発した場合にある一定時期以降の類似イベントを抑止します大量イベント抑止メッセージの内容とは無関係にある一定時間内に大量に発生したイベントも抑止できますどちらも発生頻度が低くなった場合に抑止が解除されます類似イベント / 大量イベントかどうかを判断する対象は同一イベントを抑止する機能で抑止されなかったイベントですまたメッセージ変換定義によってメッセージの内容が編集されている場合は変換後のメッセージの内容で類似イベント / 大量イベントかどうかを判断します類似と判定する条件メッセージの先頭からある一定の長さまでが全く同じである場合に類似イベントと判断します同じかどうかを判断する文字数は変更できます文字数を 0 と指定した場合すべてのメッセージが類似イベントと判断されますメッセージの内容によらず大量に発生したイベントを抑止するときは文字数を 0 と指定します標準では同じシステムから発生したイベントに対して類似かどうかを判断しますが別のシステムから発生したイベントに対して類似イベントかどうかを判断させることもできますまた類似と判断させたくないイベントを指定することもできます監視を抑止する機能を使用している場合監視抑止の設定を変更する前に発生したイベントと変更した後に発生したイベントはメッセージの先頭からある一定の長さまでが全く同じである場合でも類似イベントとして扱いません - 61 -

抑止を開始する条件以下の 3 つの条件すべてに一致した場合に抑止を開始します 1. 類似メッセージが一定の間隔以内で発生し続ける場合 2 つのメッセージが一定の時間間隔以内に発生し続けた場合に条件に一致したと判断します 2. 該当類似メッセージの発生間に異なる類似メッセージが 100 種類以上発生しない場合類似メッセージかどうかを判断するのは最新 100 個のメッセージに対してですあるメッセージが発生した場合にそのメッセージと類似のメッセージが過去に発生してから現在までに 100 種類以上の異なるメッセージが発生していた場合は今回発生したメッセージは類似メッセージと判断されません 3. 1. および 2. を満たす状態で該当類似メッセージがある一定数以上発生した場合類似メッセージの発生件数が抑止を開始するまでの最低発生件数を超した場合に条件に一致したと判断します以下は最低発生件数が 10 回の場合の例です抑止した場合の動作抑止されたメッセージは [Systemwalker コンソール ] の [ 監視イベント一覧 ] および [ メッセージ一覧 ] に表示されません抑止開始時には抑止したイベントを通知します抑止解除時の動作類似イベント / 大量イベントの抑止は該当メッセージの発生間隔が一定時間よりも長くなった場合に解除されます抑止解除されたイベントは [Systemwalker コンソール ] で監視できますまた抑止解除時に抑止したイベントの数が通知されますなお抑止解除はイベントの受信時刻で判定します類似イベント抑止の例監視間隔 =30 秒発生件数 =10 件抑止解除時間 =120 秒の場合以下のようにメッセージが抑止されます - 62 -

2.3.3 未対処イベントを抑止するしくみ複数のイベントをある条件ごとに分類してグループ化することができますこのグループのことをイベントグループといいます未対処イベント抑止機能はあるイベントが発生した場合そのイベントと同じイベントグループに属するイベントが既に通知されておりかつ [ 未対処 ] の状態である場合に抑止します [ 未対処 ] のイベントが表示されていない場合は最初の 1 個は表示されますイベント監視の条件定義において以下のように定義したイベントが同じイベントグループに属するかを判断する対象になります [ ログ格納 ] を [ する ] と設定する [ 重要度 ] が [ 一般 ] 以外であるまたメッセージ変換定義によってメッセージの内容が編集されている場合は編集後のメッセージで同じイベントグループに属するかを判断します同じイベントグループと判断する条件発生したイベントが以下の 2 つの条件に一致した場合に同じイベントグループに属するイベントであると判断しますイベントの発生元ホストが同じ場合 ( 注 ) イベントのイベントグループ名が同じである場合注 ) 発生元ホストが同じとする条件として以下の単位で指定可能です - ホスト名 - 自部門のシステム - 他部門のシステム - すべてのシステム ( ホスト名を見ない ) 抑止する条件発生したイベントが以下の2つの条件に一致した場合に抑止されます同じイベントグループと判断されたイベントが監視イベントログに格納されている場合監視イベントログに格納されている同じイベントグループに属するイベントが [ 未対処 ] の状態の場合抑止した場合の動作抑止されたメッセージは [Systemwalkerコンソール] の [ 監視イベント一覧 ] に表示されません抑止解除時の動作未対処イベントを [ 対処済 ] に変更した場合それ以降に発生する同じイベントグループのイベントは抑止されません - 63 -

以下のイベントは本抑止機能の対象外です返答要求メッセージ返答要求メッセージの詳細は Systemwalker Centric Manager 解説書のメッセージ返答要求返答操作 Solaris 版 /Linux 版を参照してください 2.4 発生したイベントに対しアクションを実行するしくみイベントコリレーションの条件定義に一致したイベントに対しメール音声通知などのアクションを実行できますアクションを実行できるイベントイベント監視の条件定義でアクションを設定してアクション実行できるイベントは以下のイベントですイベントコリレーションで監視したイベントで [ イベントの扱い ] について [ 監視する ] と設定されている場合イベントコリレーションの条件に一致した場合の動作で [ 新規のイベントを発生 ] または [ 最後に発生したイベントを通知 ] を選択し通知されたイベントイベントコリレーションの監視対象でないイベント [ メッセージ通知 ] アクションの扱いイベントコリレーションの条件に一致した場合の動作で [ 新規のイベントを発生 ] または [ 最後に発生したイベントを通知 ] を選択したことにより通知されたイベントに対してはイベント監視の条件定義の [ メッセージ通知 ] アクションは実行されませんイベントコリレーション処理の定義で設定された内容に従って通知されます [ イベント監視の条件定義 ] の比較対象の発生メッセージイベント監視の条件定義のイベント定義と比較されるメッセージはメッセージ変換機能で変換された後のメッセージですアクション実行で扱う発生メッセージ実行するアクションに渡される発生メッセージはメッセージ変換機能で変換された後のメッセージです [Systemwalker コンソール ] に表示されるメッセージメッセージ監視アクションにおいて [ メッセージの編集 ] の [ プロシジャ名 ] に指定したプロシジャに渡されるメッセージ %MSG を指定したアクションで展開されるメッセージメール通知で [ イベントの内容を送信する ] を指定した場合にメール本文に設定されるメッセージメール連携機能で他マシンに通知されるメッセージ音声通知アクションの [ メッセージの読み上げ ] で [ イベント内容の通知 ] を指定した場合に通知されるメッセージ - 64 -

第 2 部イベントを集約して監視する機能第 2 部ではイベントを集約して監視する機能の設定方法について説明します第 3 章イベント監視の設計をする...66 第 4 章設定方法...70-65 -

第 3 章イベント監視の設計をする発生したイベントを集約して監視するための以下の機能の設計方法について説明しますイベントコリレーション複数の異なるイベントを関連付けて監視します同一イベントの抑止同一類似または大量のイベントの出力を抑止しますメッセージ変換指定された条件に一致するメッセージを変換ルールに従って別のメッセージに置き換えます上記の機能を使用した場合のメッセージの送信経路は以下のようになります 3.1 イベントコリレーションイベントコリレーションを使用したイベント監視の設計を行うために必要な以下の項目について説明しますイベントコリレーションパターン ( イベントの関連付け ) イベントコリレーション処理イベントコリレーションの監視条件 ( イベントコリレーションパターンとイベントコリレーション処理の組み合わせ ) イベントコリレーションの監視条件として定義できる最大数定義方法や使用方法などの詳細については設定方法を参照してくださいイベントコリレーションパターン ( イベントの関連付け ) 1 件の事象で関連する複数のイベントが発生する場合はあらかじめ事象ごとに発生するイベントとイベントの関連性を調査してくださいイベントコリレーションでは関連付けの基準となるイベントを基準イベント基準イベントに関連付けるイベントを関連イベントと呼びますイベントコリレーションの監視条件で監視できるイベントの関連性は以下のとおりです基準イベント発生後 nn 秒以内に関連イベントが発生基準イベント発生後 nn 秒以内に関連イベント 1 が発生または関連イベント 2 が発生または関連イベント x が発生基準イベント発生後 nn 秒以内に関連イベント 1 が発生かつ関連イベント 2 が発生かつ関連イベント x が発生基準イベント発生後 nn 秒以内に関連イベント 1 関連イベント 2 関連イベント x が登録順に発生 - 66 -

基準イベント発生前 nn 秒以内に関連イベントが発生基準イベント発生前 nn 秒以内に関連イベント1が発生または関連イベント2が発生または関連イベントxが発生基準イベント発生前 nn 秒以内に関連イベント1が発生かつ関連イベント2が発生かつ関連イベントxが発生基準イベント発生前 nn 秒以内に関連イベント1 関連イベント2 関連イベントxが登録順に発生基準イベントがnn 秒以内にmm 回発生基準イベントが発生後 nn 秒以内に関連イベントがmm 回発生なおかつとまたはを 1 個の条件内で組み合わせて設定することはできません設定できない例 ) 基準イベント発生後 nn 秒以内に関連イベント1 かつ関連イベント2または関連イベント3が発生イベントコリレーションの処理発生事象ごとに対応する処理を決めますイベントコリレーションの監視で条件を満たした場合と満たさなかった場合の処理について以下の動作から選択して決めます新規にイベントを発生させる最後に発生したイベントを通知する基準イベントを対処済にするイベントコリレーションの監視条件 ( イベントコリレーションパターンとイベントコリレーション処理の組み合わせ ) イベントコリレーションパターンの組み合わせを定義しますまたイベントコリレーションの監視条件に一致した場合に行うイベントコリレーション処理を定義しますイベントコリレーションパターンの組み合わせ例 ) パターン A のみ ( 単体条件 ) パターン A またはパターン B またはパターン C パターン A かつパターン B かつパターン C なおかつとまたはを 1 個の条件内で組み合わせて設定することはできません設定できない例 ) パターン A かつパターン B またはパターン C イベントコリレーションの監視条件として定義できる最大数イベントコリレーションの監視条件として定義できる最大数は以下のようになりますイベントコリレーションの監視条件イベントコリレーションパターン項目イベントコリレーションの監視条件で組み合わせることのできるコリレーションパターンの数イベントコリレーションパターンに設定できる関連イベントの数監視間隔イベント発生回数最大数 2048 個 2048 個 10 個 10 個 610000 秒 ( 約 1 週間 ) 9999 件 - 67 -

3.2 同一イベントの抑止一定時間内の同一イベント抑止を行うための設計に必要な以下の項目について説明します抑止の設定抑止件数通知メッセージの出力定義方法や使用方法などの詳細については設定方法を参照してください抑止の設定設定できる抑止の条件は以下のとおりです設定時にイベントを抑止する抑止時間を設定します同一イベント抑止類似イベント抑止 / 大量イベント抑止監視イベント一覧上の未対処イベントの抑止同一イベント抑止一定時間内に同一のイベントが複数発生した場合に 2 つ目以降のイベントを破棄しますあるイベントが発生した場合そのイベントが直前に発生した時刻からの経過時間が抑止時間以内の場合に抑止します類似イベント抑止 / 大量イベント抑止一定時間内にイベントが多発した場合一定数発生した後にそれ以降のイベントを抑止ますイベントの長さを指定した場合は指定した長さの文字列が同じである類似イベントだけを抑止します監視イベント一覧上の未対処イベントの抑止 [Systemwalker コンソール ] の [ 監視イベント一覧 ] に表示されている未対処イベントと同一のイベントを抑止します抑止件数通知メッセージの出力抑止件数通知メッセージの出力を定義することにより抑止解除時に抑止件数をメッセージで通知することができます 3.3 メッセージ変換メッセージ変換はコリレーション定義比較の前に実行され変換した結果が以降の定義との比較対象となりますメッセージ変換を行うための設計に必要な以下の項目について説明しますメッセージ変換方法メッセージ変換定義として定義できる最大数定義方法や使用方法などの詳細については設定方法を参照してくださいメッセージ変換方法メッセージ変換を行う場合はメッセージ変換の対象となるメッセージを選出し変換方法を決めますメッセージ変換には以下の方法があります全文を置き換えるメッセージを埋め込むメッセージの一部を別の文字列に置き換えるメッセージからキーワードを抽出し変換後のメッセージに埋め込む全文を置き換える指定した条件に一致するイベントのメッセージを指定されたメッセージに置き換えますメッセージを埋め込む指定した条件に一致するイベントのメッセージを指定されたメッセージに埋め込みます - 68 -

以下のマクロを変換定義に指定できます %MSG: 元イベントのメッセージテキストを埋め込みます %HOST: 元イベントの発生ホスト名を埋め込みますメッセージの一部を別の文字列に置き換える指定した条件に一致するイベントのメッセージ内の指定された文字列を別の文字列に置き換えますキーワード定義に指定した文字列が複数ある場合はすべての文字列を置き換えますメッセージからキーワードを抽出し変換後のメッセージに埋め込む指定した条件に一致するイベントのメッセージからキーワードを使用して文字列を抽出し抽出した文字列を指定されたメッセージに埋め込みます以下のマクロをキーワード定義に指定できます %KEY0~%KEY9 キーワードから抽出した文字列を識別する以下のマクロを変換定義に指定できます %KEY0~%KEY9 キーワード定義で抽出した文字列文字列を抽出できなかった場合および抽出した文字列の長さが 0 バイトの場合 - に置き換えます %MSG 元イベントのメッセージテキストの全文 %HOST 元イベントの発生ホスト名メッセージ変換定義として定義できる最大数メッセージ変換定義として定義できる最大数は以下のようになりますメッセージ変換定義項目キーワード定義で設定するキーワード数最大数 2048 個 10 個 - 69 -

第 4 章設定方法ここではイベントを集約して監視するための設定手順について説明します 4.1 メッセージの内容を編集するメッセージの内容を編集するための定義をメッセージ変換定義といいますここではメッセージ変換定義について定義方法を説明しますメッセージ変換の定義は運用管理サーバのローカル定義で設定しますポリシー設定ポリシー配付はできませんメッセージ変換定義を部門管理サーバ業務サーバのローカル定義で設定することもできます部門管理サーバ業務サーバで定義した場合発生したイベントのメッセージの内容はメッセージ変換定義がされているサーバで変換され上位のサーバに通知されます 4.1.1 メッセージ変換の定義手順メッセージ変換の定義は Event Designer で行います運用イメージは以下のとおりです定義手順 1. CSV 出力コマンドでローカル定義の内容をCSVファイルに出力します CSVファイルの出力方法の詳細はメッセージ変換定義を移出するを参照してください 2. CSVファイルをEvent Designerがインストールされているサーバに複写します 3. Event Designerでメッセージ変換定義を編集します編集方法および設定項目の詳細はメッセージ変換方法を定義するを参照してください 4. CSVファイルをメッセージ変換定義を設定するサーバに複写します - 70 -

5. CSV ファイルをローカル定義に反映します反映方法の詳細はメッセージ変換定義を移入するを参照してください Event Designer で編集する定義について Event Designer が出力する CSV ファイルには以下の 4 つの定義がまとめて出力されます - メッセージ変換定義 - イベントコリレーション監視の条件定義 - イベントグループ定義 - イベント監視の条件定義移出コマンドや移入コマンドを使用した場合も同様に 4 つの定義がまとめて出力 / 反映されますどれか 1 つの定義だけを CSV ファイルに出力したりローカル定義に反映することはできませんただし Event Designer でイベント監視の条件定義以外の定義をしない場合にはイベント監視の条件定義だけが CSV ファイルに出力されます HP-UX AIX の場合 HP-UX および AIX の業務サーバで使用する定義を作成する場合は aoseacsv([ イベント監視の条件定義 ] の CSV 出力コマンド ) を使用して定義を移出し aoseadef([ イベント監視の条件定義 ] の CSV 反映コマンド ) を使用して定義を移入してください Event Designer ではイベント監視の条件定義以外は定義しないでください定義した場合 HP-UX 版および AIX 版では定義内容は無視されます定義方法についてメッセージ変換の定義はローカル定義で設定しますポリシー設定ポリシー配付はできません運用管理サーバ部門管理サーバ業務サーバの各サーバで定義する場合はサーバごとに定義手順に従って定義してください 4.1.2 メッセージ変換定義を移出する各サーバのローカル定義からメッセージ変換定義を CSV ファイルに移出する手順を説明します 1. mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) を使用して CSV ファイルに出力します mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください 4.1.3 メッセージ変換方法を定義するメッセージ変換の定義方法について説明します設定例はメッセージ変換の定義例を参照してください設定画面の表示方法 1. Event Designer を起動します以下の Microsoft(R) Excel ファイルを起動します Event Designer インストールディレクトリ \bin\event Designer.xls ポイント Event Designer のインストール Event Designer を初めて使用する場合はインストールする必要があります Event Designer のインストール方法については Systemwalker Centric Manager 使用手引書監視機能編のイベント監視の条件定義を変更する (Event Designer) を参照してください 2. [CSV 入力 ] ボタンをクリックします入力するファイルに mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) で出力した CSV ファイルを指定します CSV ファイルの内容が Event Designer に反映されます - 71 -

3. [ コリレーション定義 ] ボタンをクリックします 4. サブメニューから [ メッセージ変換定義 ] ボタンをクリックし [ メッセージ変換定義メンテナンス ] シートを表示します設定する項目メッセージ変換の定義では以下の2つを定義しますメッセージ変換する元のイベントメッセージの変換方法メッセージ変換する元のイベントメッセージを変換する元のイベントを特定するための条件として以下の項目を設定します分類項目説明ホスト名の特定 [ ホスト名の特定 ] イベントの発生元ホストを特定する条件を設定しますメッセージの特定 [ メッセージの特定 ] 変換対象のメッセージを特定する条件を設定します各項目の選択内容の説明は Excel のコメントを参照してくださいメッセージの変換方法メッセージをどのように変換するかを指定するため以下の項目を設定します分類項目説明変換方法 [ 変換方法 ] メッセージの変換方法を選択します [ キーワード定義 ] [ キーワード ] 文字列の置き換えまたはキーワード抽出を行う場合にキーワードを指定します [ マクロ名 ] キーワードのマクロ名を設定します変換定義 [ 変換定義 ] 変換後のメッセージを設定します各項目の選択内容の説明は Excel のコメントを参照してください - 72 -

変換後のメッセージに元のイベントの情報を埋め込む変換後のメッセージにはマクロを用いて元のイベントの情報を埋め込むことができます以下のマクロ名を使用できます %KEY0~%KEY9 キーワード定義で抽出した文字列に置き換えます文字列を抽出できなかった場合または抽出した文字列の長さが 0 バイトの場合 - に置き換えます %MSG 元イベントのメッセージ全文に置き換えます %HOST 元イベントのホスト名に置き換えます注意特定の文字を指定する際の注意事項キーワード文字列内に二重引用符を含む場合は二重引用符の前に "\" を設定してください変換後のメッセージに %MSG 等のマクロ名の文字列を出力する場合は %%MSG のように % を2 個指定してくださいポイント [ メッセージの特定 ] に設定する文字列 [ メッセージの特定 ] に設定する文字列はラベルエラー種別メッセージテキストに分割しない形式で定義します定義内容を確認する [ 入力チェック ] ボタンをクリックし設定している内容に文法的な問題はないかを確認します問題がある場合はエラーダイアログに表示された内容に従って設定内容を見直してくださいメッセージ変換定義を無効化 / 有効化するメッセージ変換定義は行単位で有効 / 無効を設定できます無効と設定した定義は発生メッセージと比較されません定義した内容が一時的に不要となった場合にはその定義行を削除するのではなく無効を設定します再びその定義が必要となったときに無効を有効に変更するだけで使用できるため最初から定義しなおす必要がありませんメッセージ変換定義を無効化する場合は以下の手順で行います 1. 無効化したい行を選択します 2. [ 無効 ] 欄で [ 無 ] を選択しますメッセージ変換定義を有効化する場合は以下の手順で行います 1. 有効化したい行を選択します 2. [ 無効 ] 欄を何も選択していない状態にします定義内容を保存するメッセージ変換の定義は以下の手順でCSVファイルに保存します 1. [ メッセージ変換定義メンテナンス ] シートにて [ イベント監視へ ] ボタンをクリックします [ イベント監視の条件定義メンテナンス ] シートが表示されます 2. [CSV 出力 ] ボタンをクリックし定義を保存するファイル名を指定します - 73 -

グローバルサーバで発生する複数行のメッセージについて被監視システムから複数行で構成されるメッセージが通知されることがあります複数行のメッセージが通知された場合 Systemwalker Centric Manager Global Enterprise Edition は複数行をブロック化 (1 ブロックは約 2047 バイト ) してメッセージの特定処理を行いますこのときメッセージの特定条件として有効な範囲は最初のブロックの範囲です 2 個目以降のブロックはメッセージ変換処理と定義と比較しませんなお最初のブロックのメッセージをメッセージ変換処理により別メッセージに変換した場合 2 個目以降のブロックに含まれるメッセージを監視することはできません 4.1.4 メッセージ変換定義を移入する Event Designer で設定したメッセージ変換定義を各サーバのローカル定義に反映させる手順を説明します 1. mpaoscrdef( イベントコリレーション定義の CSV 反映コマンド ) を使用して CSV ファイルをメッセージ変換定義に反映します mpaoscrdef( イベントコリレーション定義の CSV 反映コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください 4.2 複数イベントをまとめて監視する ( イベントコリレーション ) 複数イベントをまとめて監視するための定義をイベントコリレーション定義といいますイベントコリレーション定義は運用管理サーバのローカル定義で設定しますポリシー設定ポリシー配付はできませんイベントコリレーション定義を部門管理サーバ業務サーバのローカル定義で設定することもできます部門管理サーバや業務サーバなどの下位サーバで定義した場合各サーバで複数のイベントがまとめられます上位サーバへ通知されるイベント数が減るため通信量を減らすことができます 4.2.1 イベントコリレーション定義の定義手順イベントコリレーション定義は Event Designer で行います運用イメージはメッセージ変換の定義手順と同じです定義手順 1. CSV 出力コマンドでローカル定義の内容を CSV ファイルに出力します CSV ファイルの出力方法の詳細はイベントコリレーションの定義を移出するを参照してください 2. CSV ファイルを Event Designer がインストールされているサーバに複写します 3. Event Designer でイベントコリレーションの定義を編集しますイベントコリレーション定義を設定するには 2 つの方法があります - 新規入力支援ダイアログで設定する方法新規入力支援ダイアログを使用すると必要最低限の情報を設定するだけで定義が作成でき設定ミスを防ぐことができます定義手順の詳細および設定項目の詳細は新規入力支援ダイアログで設定するを参照してください - 各シートで入力する方法すでに設定済みの内容を変更する場合や運用にあわせて細かい設定をする場合には Event Designer の各シートで入力します定義手順の詳細は各シートで設定する手順を参照してください 4. CSV ファイルをイベントコリレーション定義を設定するサーバに複写します 5. CSV ファイルをローカル定義に反映します反映方法の詳細はイベントコリレーションの定義を移入するを参照してください Event Designer で編集する定義について Event Designer が出力する CSV ファイルには以下の 4 つの定義がまとめて出力されますメッセージ変換定義イベントコリレーション監視の条件定義 - 74 -

イベントグループ定義イベント監視の条件定義移出コマンドや移入コマンドを使用した場合も同様に 4 つの定義がまとめて出力 / 反映されますどれか 1 つの定義だけを CSV ファイルに出力したりローカル定義に反映することはできませんただし Event Designer でイベント監視の条件定義以外の定義をしない場合にはイベント監視の条件定義だけが CSV ファイルに出力されます 4.2.2 イベントコリレーションの定義を移出する各サーバのローカル定義からイベントコリレーション監視の条件定義を CSV ファイルに移出する手順を説明します mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) を使用して CSV ファイルに出力します mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください 4.2.3 新規入力支援ダイアログで設定する設定画面の表示方法 1. Event Designer を起動します以下の Microsoft(R) Excel ファイルを起動します Event Designer インストールディレクトリ \bin\event Designer.xls ポイント Event Designer のインストール Event Designer を初めて使用する場合はインストールする必要があります Event Designer のインストール方法については Systemwalker Centric Manager 使用手引書監視機能編のイベント監視の条件定義を変更する (Event Designer) を参照してください 2. [CSV 入力 ] ボタンをクリックします入力するファイルに mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) で出力した CSV ファイルを指定します CSV ファイルの内容が Event Designer に反映されます 3. [ コリレーション定義 ] ボタンをクリックします 4. サブメニューから [ コリレーション監視の条件定義 ] をクリックし [ コリレーション監視の条件定義メンテナンス ] シートを表示します [ 新規入力支援 ] ダイアログが表示されます - 75 -

[ 新規入力支援 ] ダイアログにおいて [ 次回から新規入力支援画面を起動しない ] にチェックが入っている場合は [ コリレーション監視の条件定義メンテナンス ] シートを表示したときに [ 新規入力支援 ] ダイアログが自動的に表示されません [ 新規入力支援 ] ダイアログを表示する場合は [ コリレーション監視の条件定義メンテナンス ] シートで [ 新規入力支援 ] ボタンをクリックしてください設定する項目設定する項目は以下のとおりです分類項目説明 [ コリレーション条件 ] [ 基準イベント ( メッセージ )] 基準となるイベントをラベル名エラー種別メッセージテキストに分割しない形式で設定します [ 基準イベントの扱い ] 基準イベントに対しアクションを実行するかを設定します [ 監視する ]: イベント監視の条件定義でアクションを定義して実行できます [ 監視しない ]: アクションを実行しません [ 監視方法 ] イベントコリレーションの監視方法を選択します ( 注 1) [ 発生回数 ] イベントの発生回数を設定します [ 監視間隔 ( 秒 )] イベントの監視間隔を秒単位で設定します [ 関連イベント ( メッセージ )] 関連イベントをラベル名エラー種別メッセージテキストに分割しない形式で設定します - 76 -

分類項目説明 [ 関連イベントの扱い ] 関連イベントに対しアクションを実行するかを設定します [ 監視する ]: イベント監視の条件定義でアクションを定義して実行できます [ 監視しない ]: アクションを実行しません [ コメント ] 定義に関するコメントを設定します [ 判定方法 ] 条件を満たした場合に監視するか条件を満たさなかった場合に監視するかを指定します [ 条件成立時処理 ] [ 対処処理 ] 監視条件を満たした場合に基準イベントの状態を [ 対処済 ] にするかを選択します [ 対処済みにしない ]: 基準イベントを [ 対処済 ] にしません [ 対処済みにする ]: 基準イベントを [ 対処済 ] にします [ 通知方法 ] 監視条件を満たした場合に通知するイベントを選択します [ 通知しない ]: イベント通知しません [ 新規イベントを通知 ]: 新規にイベントを通知します [ 最後のイベントを通知 ]: 関連イベントのうち最後に通知されたイベントを通知します [ メッセージ通知の実行方法 ] 複数のイベントコリレーションの監視条件に一致した場合のメッセージ通知の実行方法を選択します [ 上位優先 ]: 最初に一致した行のイベントコリレーション処理だけを実行します [ 常時実行 ]: 一致したすべての行のイベントコリレーション処理を実行します [ メッセージ ] 通知するイベントをラベル名エラー種別メッセージテキストに分割しない形式で設定します [ 条件不成立時処理 ] [ 対処処理 ] 監視条件を満たさなかった場合に基準イベントの状態を [ 対処済 ] にするかを選択します [ 対処済みにしない ]: 基準イベントを [ 対処済 ] にしません [ 対処済みにする ]: 基準イベントを [ 対処済 ] にします [ 通知方法 ] 監視条件を満たさなかった場合に通知するイベントを選択します [ 通知しない ]: イベント通知しません [ 新規イベントを通知 ]: 新規にイベントを通知します [ メッセージ通知の実行方法 ] 複数のイベントコリレーションの監視条件を満たさなかった場合のメッセージ通知の実行方法を選択します [ 上位優先 ]: 最初に一致した行のイベントコリレーション処理だけを実行します [ 常時実行 ]: 一致したすべての行のイベントコリレーション処理を実行します - 77 -

分類項目説明 [ メッセージ ] 通知するイベントをラベル名エラー種別メッセージテキストに分割しない形式で設定します各項目の選択内容の説明は各入力領域をポイントしたときに表示されるコメントを参照してください注 1) 監視方法は以下から選択します - [ 基準イベントのみ監視 ( コリレーション対象外 )] - [ 基準イベントの発生回数を監視 ] - [ 基準イベントの発生回数をカウント ] - [ 基準イベントより後に発生した関連イベントを監視 ] - [ 基準イベントより前に発生した関連イベントを監視 ] - [ 基準イベントより後に発生した関連イベントの発生回数を監視 ] イベントコリレーション監視では 2 つ以上の関連イベントを関連付けて監視できますが新規入力支援ダイアログでは関連イベントを 2 つ以上設定できません 2 つ以上の関連イベントを関連付けて監視する場合は Event Designer の各シートから設定してください詳細は各シートで設定する手順を参照してください定義内容を保存するイベントコリレーション監視の条件定義は以下の手順で CSV ファイルに保存します 1. [ 新規入力支援 ] ダイアログにて [OK] ボタンをクリックします [ 新規入力支援 ] ダイアログが終了します 2. [ コリレーション監視の条件定義メンテナンス ] シートにて [ イベント監視へ ] ボタンをクリックします [ イベント監視の条件定義メンテナンス ] シートが表示されます 3. [CSV 出力 ] ボタンをクリックし定義を保存するファイル名を指定します 4.2.4 各シートで設定する手順 Event Designer の各シートで定義を設定する場合の手順について説明します - 78 -

1. 監視対象とするイベントを決定します監視できるイベントは Systemwalker Centric Manager 導入手引書の監視対象イベントの設計を参照してください 2. 監視するイベントの扱いを決定しますイベントを特定する条件に一致したイベントに対し以下の処理を行うかを決めます - 同一イベント抑止 - 類似イベント / 大量イベント抑止 - 未対処イベント抑止 - イベント監視の条件定義との比較処理を行う対象とした場合イベント抑止の対象となります抑止されなかったイベントに対してはイベント監視の条件定義でアクションを定義しアクション実行できます 3. 基準イベントと関連イベントを決定します複数のイベントをまとめて監視する場合のまとめる対象のイベントを決めますそのイベントのうちイベントコリレーションの監視条件を判定する基準となるイベントを 1 つ決めます基準イベント以外は関連イベントとなります 4. 基準イベントの監視方法を決定します基準イベントの監視方法を決めます監視方法には以下の 2 つがあります - 79 -

- 関連イベントの発生状況を監視するイベントの発生順序や必ず発生するイベントなのか複数のイベントのうち 1 つだけ発生するのかといった基準イベントと関連イベントの関連性を決めます - イベントの発生回数を監視するイベントが何件発生したらトラブルと判断するかを決めます 5. リセット条件を決定します特定のイベントが発生したときにイベントコリレーションの監視を中止し基準イベントを受け取る前の状態にもどるかを決定します初期値はリセット条件なしです 6. イベントコリレーション監視の判定方法を決定しますイベントコリレーションの監視条件を満たした場合に監視するか満たさなかった場合に監視するかを決めます 7. イベントコリレーション処理を決定しますイベントコリレーションの監視条件に一致した場合の処理内容を決めます 8. イベントコリレーションパターンとイベントコリレーション処理の組み合わせを決定しますイベントコリレーションの監視条件に対しどのイベントコリレーション処理を実行するのかを決めますイベントコリレーションの監視条件として複数のイベントコリレーションパターンを組み合わせることもできます組み合わせて監視する場合には組み合わせの方法を決めます 1.~2. の設定方法および設定項目についてはイベントコリレーションで監視するイベントを定義するを参照してください 3.~6. の設定方法および設定項目についてはイベントコリレーションパターンを定義するを参照してください 7. の設定方法および設定項目についてはイベントコリレーション処理を定義するを参照してください 8. の設定方法および設定項目についてはイベントコリレーションの監視条件を定義するを参照してください定義例はイベントコリレーション監視の定義例を参照してくださいポイント Event Designer のインストール Event Designer を初めて使用する場合はインストールする必要があります Event Designer のインストール方法については Systemwalker Centric Manager 使用手引書監視機能編のイベント監視の条件定義を変更する (Event Designer) を参照してください 4.2.5 イベントコリレーションで監視するイベントを定義するイベントコリレーションで監視するイベントおよびそのイベントに対する扱いを設定します設定例はメッセージ特定条件の定義例を参照してください設定画面の表示方法 1. Event Designer を起動します以下の Microsoft(R) Excel ファイルを起動します Event Designer インストールディレクトリ \bin\event Designer.xls 2. [CSV 入力 ] ボタンをクリックします入力するファイルに mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) で出力した CSV ファイルを指定します CSV ファイルの内容が Event Designer に反映されます 3. [ コリレーション定義 ] ボタンをクリックします - 80 -

4. サブメニューから [ コリレーション監視の条件定義 ] ボタンをクリックし [ コリレーション監視の条件定義メンテナンス ] シートを表示します 5. 以下のどちらかの方法で [ メッセージ特定条件 ] シートを表示します - 定義する行のリセットイベントの列をダブルクリックします - Excel の [ メッセージ特定条件 ] シートタグを選択します設定する項目イベントコリレーションでイベントを特定するための条件として以下の項目を設定します分類項目説明 [ メッセージ特定条件 ] [ ホスト名の特定 ] イベントの発生元ホストで特定するための条件を設定します [ 監視イベント種別の特定 ] 監視イベント種別で特定するための条件を設定します [ エラー種別の特定 ] エラー種別で特定するための条件を設定します [ 通報番号の特定 ] 通報番号で特定するための条件を設定します [ ラベル名の特定 ] ラベル名で特定するための条件を設定します [ メッセージテキストの特定 ] メッセージテキストで特定するための条件を設定します [ メッセージタイプの特定 ] メッセージタイプで特定するための条件を設定します [ 重要度の特定 ] 重要度で特定するための条件を設定します [ イベントの扱い ] [ イベントの扱い ] 条件に一致したイベントに対しアクションの実行やSystemwalkerスクリプトの呼び出しを行うかを設定します - 81 -

各項目の選択内容の説明は Excel のコメントを参照してくださいメッセージをラベル名エラー種別メッセージテキストに分割する方法はイベント監視の条件定義でイベントを監視する場合と同じです詳細は Systemwalker Centric Manager 使用手引書監視機能編のイベント監視の条件定義のラベルエラー種別メッセージテキストについてを参照してくださいメッセージを特定するにはラベル名エラー種別メッセージテキストの組み合わせで特定するかまたはラベル名エラー種別メッセージテキストに分割しない形式で特定するかのどちらかです使用できる正規表現文字は Systemwalker Centric Manager 使用手引書監視機能編の正規表現の設定例を参照してください定義の追加 / 削除 / 変更定義変更は Excelのセルの更新行の挿入等で行います以下の機能で追加することもできます [ 入力支援 ] 監視メッセージ形式またはイベントログ形式でイベント定義を設定します設定ミスを防ぐことができます定義内容を確認する [ 入力チェック ] ボタンをクリックし設定している内容に文法的な問題はないかを確認します問題がある場合はエラーダイアログに表示された内容に従って設定内容を見直してください定義内容を保存するイベントコリレーション監視の条件定義は以下の手順で CSV ファイルに保存します 1. [ メッセージ特定条件 ] シートにて [ コリレーション監視へ ] ボタンをクリックします [ コリレーション監視の条件定義メンテナンス ] シートが表示されます 2. [ イベント監視へ ] ボタンをクリックします [ イベント監視の条件定義メンテナンス ] シートが表示されます 3. [CSV 出力 ] ボタンをクリックし定義を保存するファイル名を指定しますグローバルサーバで発生する複数行のメッセージについて被監視システムから複数行で構成されるメッセージが通知されることがあります複数行のメッセージが通知された場合 Systemwalker Centric Manager Global Enterprise Edition は複数行をブロック化 (1 ブロックは約 2047 バイト ) してメッセージの特定処理を行いますこのときメッセージの特定条件と有効な範囲は最初のブロックの範囲です 2 個目以降のブロックは特定条件として処理されません 4.2.6 イベントコリレーションパターンを定義するイベントコリレーションで監視するイベントの監視方法や複数のイベントの関連性を定義します設定例はイベントコリレーションパターンの定義例を参照してください設定画面の表示方法 1. Event Designer を起動します以下の Microsoft(R) Excel ファイルを起動します Event Designer インストールディレクトリ \bin\event Designer.xls 2. [CSV 入力 ] ボタンをクリックします入力するファイルに mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) で出力した CSV ファイルを指定します CSV ファイルの内容が Event Designer に反映されます 3. [ コリレーション定義 ] ボタンをクリックします 4. サブメニューから [ コリレーション監視の条件定義 ] ボタンをクリックし [ コリレーション監視の条件定義メンテナンス ] シートを表示します - 82 -

5. 以下のどちらかの方法で [ コリレーションパターン ] シートを表示します - 定義する行のイベントコリレーションパターンの列をダブルクリックします - Excel の [ コリレーションパターン ] シートタグを選択します設定する項目イベントコリレーション監視の判定方法イベントコリレーションの監視条件リセット条件を設定します設定する項目は以下のとおりです分類項目説明 [ パターン情報 ] [ コメント ] イベントコリレーションパターンに関するコメントを設定します [ 判定方法 ] 条件を満たした場合に真とするか条件を満たさなかった場合に真とするかを指定します [ コリレーション条件 ] [ 基準イベント ] 基準となるイベントを特定する条件を指定します [ 監視方法 ] イベントコリレーションの監視方法を指定します [ 発生回数 ] イベントの発生回数を設定します [ 監視間隔 ( 秒 )] イベントの監視間隔を秒単位で設定します [ 関連イベントの関連 ] 関連イベントの発生方法を指定します [ 関連イベント ] 関連イベントを特定するための条件を指定します [ 監視のリセット ] [ リセット処理 ] 特定のイベントが発生した場合に本イベントコリレーションパターンの監視を初期化するかを指定します [ リセットイベント ] イベントコリレーションの判定をリセットするイベントを特定する条件を設定します各項目の選択内容の説明は Excel のコメントを参照してください - 83 -

定義内容を確認する [ 入力チェック ] ボタンをクリックし設定している内容に文法的な問題はないかを確認します問題がある場合はエラーダイアログに表示された内容に従って設定内容を見直してください定義内容を保存するイベントコリレーション監視の条件定義は以下の手順で CSV ファイルに保存します 1. [ コリレーションパターン ] シートにて [ コリレーション監視へ ] ボタンをクリックします [ コリレーション監視の条件定義メンテナンス ] シートが表示されます 2. [ イベント監視へ ] ボタンをクリックします [ イベント監視の条件定義メンテナンス ] シートが表示されます 3. [CSV 出力 ] ボタンをクリックし定義を保存するファイル名を指定します 4.2.7 イベントコリレーション処理を定義するイベントコリレーションの監視条件に一致した場合に行う処理の内容を設定します設定例はイベントコリレーション処理の定義例を参照してください設定画面の表示方法 1. Event Designer を起動します以下の Microsoft(R) Excel ファイルを起動します Event Designer インストールディレクトリ \bin\event Designer.xls 2. [CSV 入力 ] ボタンをクリックします入力するファイルに mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) で出力した CSV ファイルを指定します CSV ファイルの内容が Event Designer に反映されます 3. [ コリレーション定義 ] ボタンをクリックします 4. サブメニューから [ コリレーション監視の条件定義 ] ボタンをクリックし [ コリレーション監視の条件定義メンテナンス ] シートを表示します 5. 以下のどちらかの方法で [ コリレーション処理 ] シートを表示します - 定義する行のイベントコリレーション処理の列をダブルクリックします - Excel の [ コリレーション処理 ] シートタグを選択します - 84 -

設定する項目分類項目説明対処方法 [ 対処方法 ] 基準イベントを [ 対処済 ] に変更するかを指定します通知方法 [ 通知方法 ] 通知方法を指定します [ メッセージによる通知 ] [ メッセージ通知の実行方法 ] メッセージ通知の実行方法を指定します [ メッセージ ] 新規メッセージを通知する場合のメッセージ内容を設定します [ 上位システムに送信 ] 発生させるイベントを上位システムに送信するかを指定します [ ログ格納 ] 発生させるイベントをログ格納するかを指定します [ 監視イベント種別の設定 ] 発生させるイベントの監視イベント種別を設定します [ 重要度の設定 ] 発生させるイベントの重要度を指定します [ 文字色を変更する ] 発生させるイベントの文字色を指定します [ 背景色を変更する ] 発生させるイベントの背景色を指定します各項目の選択内容の説明は Excel のコメントを参照してください定義内容を確認する [ 入力チェック ] ボタンをクリックし設定している内容に文法的な問題はないかを確認します問題がある場合はエラーダイアログに表示された内容に従って設定内容を見直してください定義内容を保存するイベントコリレーション監視の条件定義は以下の手順で CSV ファイルに保存します - 85 -

1. [ コリレーション処理 ] シートにて [ コリレーション監視へ ] ボタンをクリックします [ コリレーション監視の条件定義メンテナンス ] シートが表示されます 2. [ イベント監視へ ] ボタンをクリックします [ イベント監視の条件定義メンテナンス ] シートが表示されます 3. [CSV 出力 ] ボタンをクリックし定義を保存するファイル名を指定します 4.2.8 イベントコリレーションの監視条件を定義するイベントコリレーションパターンに一致した場合にどのコリレーション処理を行うかの組み合わせを定義しますイベントコリレーションの監視条件としてイベントコリレーションパターンを複数指定できます複数指定する場合はイベントコリレーションパターンの関連性や監視間隔などの監視条件を定義します設定例はイベントコリレーション監視の条件定義例を参照してください設定画面の表示方法 1. Event Designer を起動します以下の Microsoft(R) Excel ファイルを起動します Event Designer インストールディレクトリ \bin\event Designer.xls 2. [CSV 入力 ] ボタンをクリックします入力するファイルに mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) で出力した CSV ファイルを指定します CSV ファイルの内容が Event Designer に反映されます 3. [ コリレーション定義 ] ボタンをクリックします 4. サブメニューから [ コリレーション監視の条件定義 ] ボタンをクリックし [ コリレーション監視の条件定義メンテナンス ] シートを表示します - 86 -

設定する項目分類項目説明コリレーション情報 [ コメント ] イベントコリレーションの監視条件のコメントを設定します監視方法 [ 監視方法 ] イベントコリレーションパターンの発生方法を指定しますコリレーションパターン [ コリレーションパターン ] 監視するイベントコリレーションパターンを指定します [ 監視のリセット ] [ リセット処理 ] 特定のイベントが発生した場合にイベントコリレーションの監視を初期化するかを指定します [ リセットイベント ] イベントコリレーションの判定をリセットするイベントを特定する条件を設定します監視間隔 [ 監視間隔 ( 秒 )] 複数のイベントコリレーションパターンの監視方法にかつを指定した場合に全体のイベントコリレーション条件を満たすまでの時間を設定します [ コリレーション処理 ] [ 条件成立時 ] イベントコリレーションの条件が成立した場合のイベントコリレーション処理を指定します [ 条件不成立時 ] イベントコリレーションの条件が成立しなかった場合のイベントコリレーション処理を指定します各項目の選択内容の説明は Excel のコメントを参照してください定義内容を確認する [ 入力チェック ] ボタンをクリックし設定している内容に文法的な問題はないかを確認します問題がある場合はエラーダイアログに表示された内容に従って設定内容を見直してくださいイベントコリレーション監視の条件定義を無効化 / 有効化するイベントコリレーション監視の条件定義は行単位で有効 / 無効を設定できます無効と設定された定義は発生メッセージと比較されません定義した内容が一時的に不要となった場合にはその定義行を削除するのではなく無効を設定します再びその定義が必要となったときに無効を有効に変更するだけで使用できるため最初から定義しなおす必要がありませんイベントコリレーション監視の条件定義を無効化する場合は以下の手順で行います 1. 無効化したい行を選択します 2. [ 無効 ] 欄で [ 無 ] を選択しますイベントコリレーション監視の条件定義を有効化する場合は以下の手順で行います 1. 有効化したい行を選択します 2. [ 無効 ] 欄を何も選択していない状態にします定義内容を保存するイベントコリレーション監視の条件定義は以下の手順でCSVファイルに保存します 1. [ コリレーション監視の条件定義メンテナンス ] シートにて [ イベント監視へ ] ボタンをクリックします [ イベント監視の条件定義メンテナンス ] シートが表示されます 2. [CSV 出力 ] ボタンをクリックし定義を保存するファイル名を指定します - 87 -

4.2.9 イベントコリレーションの定義を移入する Event Designer で設定したイベントコリレーションの定義を各サーバのローカル定義に反映させる手順を説明します mpaoscrdef( イベントコリレーション定義の CSV 反映コマンド ) を使用して CSV ファイルをイベントコリレーション監視の条件定義に反映します mpaoscrdef( イベントコリレーション定義の CSV 反映コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください 4.3 イベントを抑止するイベントを抑止する定義方法について説明しますイベントを抑止するには以下の 3 つの方法があります同一イベントを抑止する類似イベント / 大量イベントを抑止する [ 監視イベント一覧 ] の未対処イベントを抑止する 4.3.1 同一イベントを抑止する同一イベントを抑止する設定を行う手順を説明します 1. 同一イベントを抑止する設定をします 2. 抑止したメッセージ数を通知する設定をします同一イベントを抑止する設定同一イベントを抑止する設定は [ 通信環境定義詳細 ] で行います詳細は Systemwalker Centric Manager 使用手引書監視機能編の通信環境を設定するを参照してください抑止したイベント数を通知する設定同一イベントの抑止を解除したときに抑止したイベントの件数をイベントログ / シスログに出力できます抑止したイベントの件数を通知する場合 mpaoscmsg( イベント抑止機能拡張定義コマンド ) で設定します mpaoscmsg( イベント抑止機能拡張定義コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください定義方法について抑止したイベント数を通知する定義はローカル定義で設定しますポリシー設定ポリシー配付はできません運用管理サーバ部門管理サーバ業務サーバのサーバごとに定義してください 4.3.2 類似イベント / 大量イベントを抑止する類似イベント / 大量イベントを抑止する設定を行う手順を説明します 1. 類似イベント / 大量イベントの抑止条件および抑止解除条件を定義します 2. 類似イベント / 大量イベントの抑止対象としないイベントを定義します設定例は類似イベント / 大量イベント抑止の定義例を参照してください類似イベント / 大量イベントの抑止条件および抑止解除条件類似イベント / 大量イベントの抑止条件および抑止解除条件は mpaosemny( 類似イベント抑止大量イベント抑止定義コマンド ) で設定します mpaosemny( 類似イベント抑止大量イベント抑止定義コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください設定値する値については以下のとおりです類似イベント設定する項目と初期値は以下のとおりです - 88 -

設定する項目初期値類似かどうかを判定する文字列の先頭からの長さ 30 バイト多発と判断するイベント発生間隔 0 秒 ( 抑止せず ) 多発判定後に出力するイベント件数 1 件抑止を解除するイベント発生間隔 0 秒ホスト名の特定の有無 ON( 特定する ) 抑止解除時のイベント出力の有無 OFF( 出力しない ) 大量イベント設定する項目と推奨する値は以下のとおりです運用に合わせて各設定を変更してください設定する項目推奨値類似かどうかを判定する文字列の先頭からの長さ 0 バイト多発と判断するイベント発生間隔 10 秒多発判定後に出力するイベント件数 300 件抑止を解除するイベント発生間隔 10 秒ホスト名の特定の有無 OFF( 特定しない ) 抑止解除時のイベント出力の有無 OFF( 出力しない ) 類似イベント / 大量イベント抑止対象としないイベントの定義類似イベント / 大量イベント抑止機能でイベントを抑止したくない場合は抑止したくないメッセージを定義します定義したメッセージの文字列は発生したメッセージの先頭の文字列と比較され一致した場合には抑止されません類似イベント / 大量イベント抑止の対象としないイベントは mpaosemex( 類似イベント抑止大量イベント抑止対象外設定コマンド ) で設定します mpaosemex( 類似イベント抑止大量イベント抑止対象外設定コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください設定する項目は以下のとおりですメッセージ定義方法について類似イベント / 大量イベント抑止の定義はローカル定義で設定しますポリシー設定ポリシー配付はできません運用管理サーバ部門管理サーバ業務サーバのサーバごとに定義してください 4.3.3 [ 監視イベント一覧 ] の未対処イベントを抑止する [ 監視イベント一覧 ] の未対処イベントを抑止する場合は抑止したいイベントにイベントグループ名を設定しますイベントグループ名の設定は Event Designer で行います運用イメージはメッセージ変換の定義手順と同じですイベントグループを定義した場合の動作については未対処イベントを抑止するしくみを参照してください設定例はイベントグループの定義例を参照してください定義手順 1. CSV 出力コマンドでローカル定義の内容を CSV ファイルに出力します CSV ファイルの出力方法の詳細は定義の移出を参照してください 2. CSV ファイルを Event Designer がインストールされているサーバに複写します - 89 -

3. Event Designerでイベントグループ定義を編集します編集方法の詳細は定義の編集を参照してください 4. CSVファイルをイベントグループ定義を設定するサーバに複写します 5. CSVファイルをローカル定義に反映します反映方法の詳細は定義の移入を参照してください定義の移出各サーバのローカル定義からイベントグループ定義を CSV ファイルに移出する手順を説明します mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) を使用して CSV ファイルに出力します mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください定義の編集設定画面の表示方法 1. Event Designer を起動します以下のMicrosoft(R) Excelファイルを起動します Event Designerインストールディレクトリ \bin\event Designer.xls ポイント Event Designer のインストール Event Designer を初めて使用する場合はインストールする必要があります Event Designer のインストール方法については Systemwalker Centric Manager 使用手引書監視機能編のイベント監視の条件定義を変更する (Event Designer) を参照してください 2. [CSV 入力 ] ボタンをクリックします入力するファイルに mpaoscrcsv( イベントコリレーション定義の CSV 出力コマンド ) で出力した CSV ファイルを指定します CSV ファイルの内容が Event Designer に反映されます 3. [ コリレーション定義 ] ボタンをクリックします - 90 -

4. サブメニューから [ イベントグループ定義 ] ボタンをクリックし [ イベントグループ定義メンテナンス ] シートを表示します設定する項目設定する項目は以下のとおりです項目説明 [ コメント ] イベントグループ定義に対するコメントを設定します [ ホスト名の特定 ] イベントの発生元ホスト名を特定する条件を設定します [ メッセージの特定 ] メッセージを特定するための条件を設定します [ 設定方法 ] イベントグループ名を付加するかを指定します [ イベントグループ名 ] 特定したメッセージに付加するイベントグループ名 ( 注 1) を設定します各項目の選択内容の説明は Excel のコメントを参照してください ( 注 1) イベントグループ名の 1 文字目に記号! ( エクスクラメーションマーク ) を指定することで以下のように抑止の動作を指定できます実際の運用に応じて指定してください! をつけない場合 [ ホスト名の特定 ] の条件に当てはまる複数ホストの中で各ホスト単位で 2 回目以降の未対処イベントを抑止します! をつけた場合 [ ホスト名の特定 ] の条件に当てはまる複数ホストをグループ化しそのグループ単位で 2 回目以降の未対処イベントを抑止します定義内容を確認する [ 入力チェック ] ボタンをクリックし設定している内容に文法的な問題はないかを確認します問題がある場合はエラーダイアログに表示された内容に従って設定内容を見直してください - 91 -

イベントグループ定義を無効化 / 有効化するイベントグループの定義は行単位で有効 / 無効を設定できます無効を設定された定義は発生メッセージと比較されません定義した内容が一時的に不要となった場合にその定義行を削除するのではなく無効を設定します再びその定義が必要となったときに無効を有効に変更するだけで使用できるため最初から定義しなおす必要がありませんイベントグループ定義を無効化する場合は以下の手順で行います 1. 無効化したい行を選択します 2. [ 無効 ] 欄で [ 無 ] を選択しますイベントグループ定義を有効化する場合は以下の手順で行います 1. 有効化したい行を選択します 2. [ 無効 ] 欄を何も選択していない状態にします定義内容を保存するイベントグループ定義は以下の手順でCSVファイルに保存します 1. [ イベントグループ定義メンテナンス ] シートにて [ イベント監視へ ] ボタンをクリックします [ イベント監視の条件定義メンテナンス ] シートが表示されます 2. [CSV 出力 ] ボタンをクリックし定義を保存するファイル名を指定します定義の移入 Event Designer で設定した定義を運用管理サーバのローカル定義に反映させる手順を説明します mpaoscrdef( イベントコリレーション定義の CSV 反映コマンド ) を使用して CSV ファイルをイベントコリレーション監視の条件定義に反映します mpaoscrdef( イベントコリレーション定義の CSV 反映コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください Event Designer で編集する定義について Event Designer が出力する CSV ファイルには以下の 4 つの定義がまとめて出力されますメッセージ変換定義イベントコリレーション監視の条件定義イベントグループ定義イベント監視の条件定義移出コマンドや移入コマンドを使用した場合も同様に 4 つの定義がまとめて出力 / 反映されますどれか 1 つの定義だけを CSV ファイルに出力したりローカル定義に反映することはできませんただし Event Designer でイベント監視の条件定義以外の定義をしない場合にはイベント監視の条件定義だけが CSV ファイルに出力されます定義方法について未対処イベントを抑止する定義は運用管理サーバでだけ有効です 4.4 発生したイベントに対しアクションを定義するイベントコリレーションの条件定義に一致したイベントに対しアクションを実行する場合はイベント監視の条件定義画面で設定しますイベント監視のアクション定義の定義方法については Systemwalker Centric Manager 使用手引書監視機能編のイベント監視の監視条件を設定するおよびアクションを定義するを参照してください - 92 -

4.5 イベントコリレーション定義を復元するイベントコリレーション定義の過去定義ファイルについての詳細と過去定義ファイルからの復元方法について説明します 4.5.1 イベントコリレーション定義の過去定義ファイル過去定義ファイルが出力される契機イベントコリレーション定義の過去定義ファイルは以下の契機で出力されます [ イベント監視の条件定義 ] 画面でイベント監視の条件定義を更新した場合 aoseadef( イベント監視の条件定義の CSV 反映コマンド ) でイベント監視の条件定義を更新した場合 poin2( イベント監視の条件のポリシーオフライン設定コマンド ) コマンドでイベント監視の条件定義を更新した場合運用管理サーバからポリシー配付でイベント監視の条件定義を更新した場合 ([ 再起動後に適用 ] を選択した場合は Systemwalker Centric Manager 再起動時に出力されます ) mpaoscrdef( イベントコリレーション定義の CSV 読み込みコマンド ) でイベントコリレーション定義を更新した場合過去定義ファイルの出力先とファイル名出力先 Windows 版 Systemwalkerインストールディレクトリ \MPWALKER\mpaosfsv\base\defcsv\local UNIX 版 /var/opt/fjsvfwaos/defcsv/local ファイル名ホスト名 _ 日時 _ 定義種別 _ 出力契機.csv ホスト名 : サーバ自身のホスト名です日時 : 定義を更新した日時です形式は YYYYMMDDhhmmss-n です YYYY: 西暦年 (~2038) MM: 月 (1~12) DD: 日 (1~31) hh: 時 (0~23) mm: 分 (0~59) ss: 秒 (0~59) - 93 -

n: 年から秒までが同一の場合の通番で通常は0 定義種別 : 更新した定義の種別です eventactdef で固定です出力契機 : 過去定義ファイルの更新契機です出力する契機となった操作により以下の文字列が付加されます過去定義ファイルを出力する契機 [ イベント監視の条件定義 ] 画面でイベント監視の条件定義を更新した場合 aoseadef( イベント監視の条件定義の CSV 反映コマンド ) でイベント監視の条件定義を更新した場合 poin2( イベント監視の条件のポリシーオフライン設定コマンド ) コマンドでイベント監視の条件定義を更新した場合運用管理サーバからポリシー配付でイベント監視の条件定義を更新した場合ですぐに適用する場合運用管理サーバからポリシー配付でイベント監視の条件定義を更新した場合でサービスを再起動したときに適用する場合 mpaoscrdef( イベントコリレーション定義の CSV 読み込みコマンド ) でイベントコリレーション定義を更新した場合付加される文字列 gui adef poin2 policy_now policy_reboot cordef 出力例 ) イベントコリレーション定義を更新した場合に出力される過去定義ファイルのファイル名 Host1_200709031058590_eventactdef_cordef.csv 過去定義ファイルの形式過去定義ファイルは以下の CSV ファイルと同じ形式で出力されていますイベントコリレーション定義の CSV ファイル上記ファイルの詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください過去定義ファイルの世代数イベントコリレーション定義の過去定義ファイルはノードごとに作成され 10 世代まで保存されています 10 世代に達した場合は古いファイルから自動的に削除されます過去定義ファイルの退避と復元過去定義ファイルは以下の方法で退避 / 復元することができます [ 運用環境保守ウィザード ] を使用する退避するとき [ 運用データ退避方法の選択 ] 画面で [ 退避方法 ] と [ 退避する機能 ] に以下を選択します [ 選択した機能の運用データのみ退避する ] の [ 監視機能 ] 詳細は Systemwalker Centric Manager 導入手引書の運用環境を退避 ( バックアップ ) するを参照してください復元するとき [ 退避データ復元方法の選択 ] 画面で [ 復元する情報 ] に以下を選択します - 94 -

[ 定義情報 ] 詳細は Systemwalker Centric Manager 導入手引書のバックアップデータを復元するを参照してくださいバックアップ / リストア用コマンドを使用する退避するとき mpbkc( バックアップコマンド ) を使用しますオプションには以下を指定します Windows /FS UNIX -FS 復元するとき mprsc( リストアコマンド ) を使用しますオプションには以下を指定します Windows /FS UNIX - 運用管理サーバ部門管理サーバ業務サーバの場合 -FS - 運用管理クライアントクライアントの場合 /Ln または/Le 各コマンドの詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください mppolclone( ポリシー複製コマンド ) を使用する mppolclone( ポリシー複製コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください移行用コマンドを使用する UNIX 版退避するとき swmove( 移行用退避コマンド ) を使用します復元するとき swtrans( 移行用変換登録コマンド ) を使用します各コマンドの詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください 4.5.2 復元方法過去定義ファイルからイベントコリレーション定義を復元する方法について説明します 1. 過去定義ファイルの内容を確認する Event Designer で過去定義ファイルを読み込んで定義内容を確認します変更が必要な場合は Event Designer で編集します Event Designer での定義の確認編集方法については Systemwalker Centric Manager 使用手引書監視機能編のイベント監視の条件定義を変更する (Event Designer) を参照してください - 95 -

2. 過去定義ファイルをイベントコリレーション定義に反映する mpaoscrdef( イベントコリレーション定義の CSV 読み込みコマンド ) を使用して復元する過去定義ファイルを自サーバのイベントコリレーション定義に移入します mpaoscrdef( イベントコリレーション定義の CSV 読み込みコマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください - 96 -

付録 A イベントコリレーションイベントコリレーション監視の詳細について説明しますイベントコリレーションパターンごとの動作発生イベントと定義の比較のしかた A.1 イベントコリレーションパターンごとの動作イベントコリレーションパターンには以下の11 種類がありますパターンごとにどのように動作するかを説明しますイベントA 発生後 nn 秒以内にイベントBが発生イベントA 発生後 nn 秒以内にイベントBまたはイベントCまたはが発生イベントA 発生後 nn 秒以内にイベントBかつイベントCかつが発生イベントA 発生後 nn 秒以内にイベントBかつイベントCかつが登録順に発生イベントA 発生前 nn 秒以内にイベントBが発生イベントA 発生前 nn 秒以内にイベントBまたはイベントCまたはが発生イベントA 発生前 nn 秒以内にイベントBかつイベントCかつが発生イベントA 発生前 nn 秒以内にイベントBかつイベントCかつが登録順に発生イベントAがnn 秒以内にmm 回発生イベントAが発生後 nn 秒以内にイベントBがmm 回発生イベントAがnn 秒以内に何回発生したかを通知ポイント上記パターンのイベント A を基準イベントイベント B イベント C 等を関連イベントと呼びますイベント A 発生後 nn 秒以内にイベント B が発生基準イベント ( イベント A) が発生後 nn 秒以内に関連イベント ( イベント B) が発生した場合に条件を満たしたと判定します基準イベントが発生後 nn 秒経過しても関連イベントが発生しなかった場合に条件を満たさなかったと判定します例 ) イベント A 発生後 5 秒以内にイベント B が発生した場合イベント A1 が発生してから 2 秒後にイベント B1 が発生したため条件成立と判定しますイベント A2 は 5 秒以内にイベント B が発生しなかったため 10 秒の時点 ( イベント A2 発生から 6 秒後 ) に条件不成立と判定しますイベント A3 とイベント A4 はイベント B が発生するまで同時に待ち状態になりますイベント B2 が発生した時点で両イベントの条件が成立したと判断しますイベント A 発生後 nn 秒以内にイベント B またはイベント C またはが発生基準イベント ( イベント A) 発生後 nn 秒以内に登録された関連イベント ( イベント B イベント C ) のどれかが発生した場合に条件を満たしたと判定します基準イベント発生後 nn 秒経過しても関連イベントのどれも発生しなかった場合に条件を満たさなかったと判定します例 ) イベント A 発生後 5 秒以内にイベント B またはイベント C が発生した場合 - 97 -

イベント A1 発生してから 2 秒後にイベント B1 が発生したため条件成立と判定しますイベント A2 は 5 秒以内に関連イベントが発生しなかったため 10 秒の時点 ( イベント A2 発生から 6 秒後 ) に条件不成立と判定しますイベント A3 とイベント A4 は関連イベントが発生するまで同時に待ち状態になりますイベント C1 が発生した時点で両イベントの条件成立と判定しますイベント A 発生後 nn 秒以内にイベント B かつイベント C かつが発生基準イベント ( イベント A) 発生後 nn 秒以内に登録された関連イベント ( イベント B イベント C ) のすべてが発生した場合に条件を満たしたと判定ます基準イベント発生後 nn 秒経過しても関連イベントのすべてが発生しなかったまたは関連イベントのどれかが発生しなかった場合に条件を満たさなかったと判定します例 ) イベント A 発生後 5 秒以内にイベント B かつイベント C が発生した場合イベントA1が発生してから5 秒以内にイベントC1 イベントB1が発生したため条件成立と判定しますイベントA2は5 秒以内にイベントB2が発生したがイベントCが発生しなかったため条件不成立と判定しますイベントA3は5 秒以内にイベントB2 イベントC2が発生したため条件成立と判定しますイベントA4は5 秒以内にイベントC2が発生したがイベントBが発生しなかったため条件不成立と判定しますイベント A 発生後 nn 秒以内にイベント B かつイベント C かつが登録順に発生基準イベント ( イベント A) が発生後 nn 秒以内に関連イベント ( イベント B イベント C ) が登録順にすべて発生した場合に条件を満たしたと判定します基準イベント発生後 nn 秒以内に関連イベントが登録順に発生しなかった場合に条件を満たさなかったと判定します例 ) イベント A 発生後 5 秒以内にイベント B かつイベント C が登録順に発生した場合イベントA1が発生してから5 秒以内にイベントB1 イベントC1が発生したため条件成立と判定しますイベントA2は5 秒以内にイベントB2が発生したがイベントCが発生しなかったため条件不成立と判定しますイベントA3は5 秒以内に発生してから5 秒以内にイベントB2 イベントC2が発生したため条件成立と判定しますイベントA4は5 秒以内にイベントC2がイベントBよりも先に発生したため条件不成立と判定しますイベント A 発生前 nn 秒以内にイベント B が発生基準イベント ( イベント A) が発生したときに基準イベントが発生する前の nn 秒以内に関連イベント ( イベント B) が発生していた場合に条件を満たしたと判定します基準イベントが発生する nn 秒前に関連イベントが発生していなかった場合に条件を満たさないと判定します例 ) イベント A 発生前 5 秒以内にイベント B が発生した場合 - 98 -

イベント A1 が発生する 2 秒前にイベント B1 が発生しているため条件成立と判定しますイベント A2 が発生する 4 秒前にイベント B1 が発生しているため条件成立と判定しますイベント A3 はイベント A3 発生時刻 (11 秒時点 ) とそれより 5 秒前 (6 秒時点 ) の間にイベント B が発生していないため条件不成立と判定しますイベント A 発生前 nn 秒以内にイベント B またはイベント C またはが発生基準イベント ( イベント A) が発生したときに基準イベント ( イベント B イベント C ) が発生する前の nn 秒以内に登録された関連イベントのどれかが発生していた場合に条件を満たしたと判定します基準イベントが発生する nn 秒前に登録された関連イベントのどれも発生していなかった場合に条件を満たさないと判定します例 ) イベント A 発生前 5 秒以内にイベント B またはイベント C が発生した場合イベント A1 が発生する 2 秒前にイベント B1 が発生しているため条件成立と判定しますイベント A2 はイベント A2 発生時刻 (5 秒時点 ) とそれより 5 秒前 (0 秒時点 ) の間にイベント B1( およびイベント C1) が発生しているため条件成立と判定しますイベント A3 はイベント A3 発生時刻 (11 秒時点 ) とそれより 5 秒前 (6 秒時点 ) の間にイベント B イベント C のどちらも発生していないため条件不成立と判定しますイベント A 発生前 nn 秒以内にイベント B かつイベント C かつが発生基準イベント ( イベント A) が発生したときに基準イベントが発生する前の nn 秒以内に登録されたすべての関連イベント ( イベント B イベント C ) が発生していた場合に条件を満たしたと判定します基準イベントが発生する nn 秒前に登録されたすべての関連イベントが発生していないまたはどれかが発生していない場合に条件を満たさないと判定します例 ) イベント A 発生前 5 秒以内にイベント B かつイベント C が発生した場合イベント A1 が発生する 4 秒前にイベント C1 が発生し 2 秒前にイベント B1 が発生しているため条件成立と判定しますイベント A2 が発生する 4 秒前にイベント B1 が発生し 1 秒前にイベント C2 が発生しているため条件成立と判定しますイベント A3 はイベント A3 発生時刻 (9 秒時点 ) とそれより 5 秒前 (4 秒時点 ) の間にイベント C2 だけが発生しイベント B が発生していないため条件不成立と判定しますイベント A 発生前 nn 秒以内にイベント B かつイベント C かつが登録順に発生基準イベント ( イベント A) が発生したときに基準イベントが発生する前の nn 秒以内に関連イベント ( イベント B イベント C ) が登録順に発生していた場合に条件を満たしたと判定し基準イベントが発生する nn 秒前に関連イベントが登録順に発生していない場合に条件を満たさないと判定します例 ) イベント A 発生前 5 秒以内にイベント B かつイベント C が登録順に発生した場合 - 99 -

イベント A1 発生 5 秒前からイベント A1 発生までにイベント B1 イベント C1 の順で発生しているため条件成立と判定しますイベント A2 発生 5 秒前からイベント A2 発生までにイベント C1 イベント B2 の順で発生しているため条件不成立と判定しますイベント A3 発生 5 秒前からイベント A3 発生までにイベント B2 イベント C2 の順で発生しているため条件成立と判定しますイベント A が nn 秒以内に mm 回発生最初の基準イベント ( イベント A) が発生してから nn 秒以内に同類のイベントが mm 回発生した場合に条件を満たしたと判定します最初の基準イベントが発生してから nn 秒以内に同類のイベントが mm 回発生しなかった場合に条件を満たさなかったと判定します例 ) イベント A が 5 秒以内に 4 回発生した場合イベント A1 発生後 5 秒以内にイベント A2~A4 のイベントが発生し合計 4 個のイベントが発生したためイベント A4 発生時点で条件成立と判定しますイベント A4 発生後監視を一旦終了しイベントのカウントをリセットしますイベント A5 発生後 5 秒以内に 4 個のイベントが発生していないため条件不成立と判定しますイベント A が発生後 nn 秒以内にイベント B が mm 回発生基準イベント ( イベント A) が発生後 nn 秒以内に関連イベント ( イベント B) が mm 回発生した場合に条件を満たしたと判定します基準イベントが発生後 nn 秒以内に関連イベントが mm 回発生しなかった場合に条件を満たさなかったと判定します例 ) イベント A 発生後 5 秒以内にイベント B が 3 回発生した場合イベント A1 発生後 5 秒以内にイベント B1~B3 が発生したため条件成立と判定しますイベント A2 発生後 5 秒以内にイベント B が 3 個発生しなかったため条件不成立イベント A が nn 秒以内に何回発生したかを通知一定時間内に発生したイベントの数をカウントする場合監視する時間は監視するイベントを最初に受信してからの時間です例 ) イベント A が 5 秒間に発生した数を通知する - 100 -

イベント A1 が発生してから 5 秒後 3 件のイベントが発生していることをメッセージで通知しますイベント A4 が発生してから 5 秒後 2 件のイベントが発生していることをメッセージで通知します発生したイベントの数は以下のメッセージで通知しますラベル :MpAosfB エラー種別 : 情報メッセージ ID:8010 メッセージの詳細は Systemwalker Centric Manager メッセージ説明書を参照してください A.2 発生イベントと定義の比較のしかた 1 個のイベントが発生するとイベントコリレーションの監視条件に設定されている定義の上から順番にすべての定義行を比較します基準イベントと関連イベントの関連性の違いでイベントコリレーションでの監視におけるイベントの比較処理の流れが違います以下の場合についてイベント処理の流れを説明します基準イベントより後に関連イベントが発生する場合基準イベントより前に関連イベントが発生する場合またイベントの発生回数を監視する場合についてイベントの比較処理の流れを説明します基準イベントの発生回数を監視する場合基準イベントより後に関連イベントが発生する場合発生したイベントをイベントコリレーションの監視定義と比較し監視条件に一致しているかを判断するときの処理の流れを以下に説明します - 101 -

1. 過去に基準イベントが発生しているかを確認する 2. 基準イベントを前回受信してから現在までの経過時間を監視間隔と比較する 3. リセットイベントが登録されている場合は発生したイベントとリセットイベントの定義を比較する 4. 発生したイベントと基準イベントの定義を比較する 5. 過去に基準イベントが発生しているかを確認する 6. 発生したイベントと関連イベントの定義を登録順に比較しイベントが一致した場合に比較を終了する基準イベントより前に関連イベントが発生する場合発生したイベントをイベントコリレーションの監視定義と比較し監視条件に一致しているかを判断するときの処理の流れを以下に説明します - 102 -

1. 過去に関連イベントが発生しているかを確認する 2. 関連イベントを前回受信してから現在までの経過時間を監視間隔と比較する発生済みの関連イベントに対してすべて比較する 3. リセットイベントが登録されている場合は発生したイベントとリセットイベントの定義を比較する 4. 発生したイベントと基準イベントの定義を比較する 5. 関連イベントの発生状態から条件の一致 / 不一致を判定する 6. 発生したイベントと関連イベントの定義を登録順に比較しイベントが一致した場合に比較を終了する基準イベントの発生回数を監視する場合発生したイベントをイベントコリレーションの監視定義と比較し監視条件に一致しているかを判断するときの処理の流れを以下に説明します - 103 -

1. 過去に基準イベントが発生しているかを確認する 2. 基準イベントを最初に受信してから現在までの経過時間を監視間隔と比較する 3. リセットイベントが登録されている場合は発生したイベントとリセットイベントの定義を比較する 4. 発生したイベントと基準イベントの定義を比較する 5. 指定された回数のイベントが発生した場合は条件成立発生していない場合は発生件数を更新する - 104 -

付録 B イベントを集約して監視する場合の定義例イベントを集約して監視する場合の定義例を説明します B.1 メッセージ変換の定義例メッセージを変換する場合の定義例として以下の4パターンについて説明しますメッセージ全文を置き換える発生メッセージを埋め込んで新たにメッセージを出力する発生メッセージの一部を別の文字列に置き換える発生メッセージから抽出した文字列を出力するメッセージに埋め込む B.1.1 メッセージ全文を置き換える以下のように置き換える場合の定義例を説明します Event Designer の [ メッセージ変換定義メンテナンス ] シートを使用して以下のように変換前のイベントを特定する条件および変換後のメッセージを定義します [ メッセージ変換定義メンテナンス ] の項目設定する内容説明 [ ホスト名の特定 ] ( 任意 ) ある特定のホストから発生したメッセージだけを定義する場合は下位コンピュータのホスト名を設定します複数の下位コンピュータから発生するメッセージをまとめて定義する場合は [ 特定しない ] または [ 全ての他システム ] を選択します [ 全ての他システム ] を選択した場合は自ホストから発生したメッセージは監視されません [ メッセージの特定 ] unix: disk full 発生イベントのメッセージを設定しますメッセージ文字列すべてを設定する必要はありません特殊な単語特殊な文型があればそれらは正規表現を用いて設定することもできます ( 注 1) ラベルエラー種別メッセージテキストに分割しない形式で定義します ( 注 2) [ 変換方法 ] [ALL: 全文置換え ] メッセージ全体を置き換える場合は [ALL: 全文置換え ] を選択します [ キーワード ] - 設定する必要はありません [ マクロ名 ] - 設定する必要はありません - 105 -

[ メッセージ変換定義メンテナンス ] の項目設定する内容説明 [ 変換定義 ] Hard: ERROR: disk full 変換後のメッセージを設定しますラベルエラー種別メッセージテキストに分割しない形式で定義しますここで設定したメッセージが [Systemwalker コンソール ] の [ 監視イベント一覧 ] [ メッセージ一覧 ] に表示されます注 1) 注 2) B.1.2 正規表現の使用方法については Systemwalker Centric Manager 使用手引書監視機能編の正規表現の設定例を参照してくださいメッセージ内に Solaris が付加する以下の文字列がある場合この文字列も定義することができます - [ID nnnnn facility.priority] 形式の文字列 nnnn : 可変の数値 - エラー種別の前部分に付加される xxxx[nnnnn] 形式の文字列から前の文字列 xxxx : アプリケーションが指定する文字列 nnnnn : プロセス ID 発生メッセージを埋め込んで新たにメッセージを出力する以下のように変換する場合の定義例を説明します Event Designer の [ メッセージ変換定義メンテナンス ] シートを使用して以下のように変換前のイベントを特定する条件および変換後のメッセージを定義します [ メッセージ変換定義メンテナンス ] の項目設定する内容説明 [ ホスト名の特定 ] ( 任意 ) ある特定のホストから発生したメッセージだけを定義する場合は下位コンピュータのホスト名を設定します複数の下位コンピュータから発生するメッセージをまとめて定義する場合は [ 特定しない ] または [ 全ての他システム ] を選択します [ 全ての他システム ] を選択した場合は自ホストから発生したメッセージは監視されません [ メッセージの特定 ] unix: disk full 発生イベントのメッセージを設定しますメッセージ文字列すべてを設定する必要はありません特殊な単語特殊な文型があればそれらは正規表現を用いて設定することもできます ( 注 1) - 106 -

[ メッセージ変換定義メンテナンス ] の項目設定する内容説明ラベルエラー種別メッセージテキストに分割しない形式で定義します ( 注 2) [ 変換方法 ] [ADD: メッセージ追加 ] 発生メッセージを埋め込んだメッセージに変換する場合は [ADD: メッセージ追加 ] を選択します [ キーワード ] - 設定する必要はありません [ マクロ名 ] - 設定する必要はありません [ 変換定義 ] ハードの異常を検知しました (%MSG) 注 1) 注 2) B.1.3 メッセージ全文を置き換えるの注 1) 注 2) を参照してください変換後のメッセージを設定しますラベルエラー種別メッセージテキストに分割しない形式で定義します元のメッセージの情報を埋め込みたい場所にマクロ名を記述します以下のマクロを使用できます %MSG 発生イベントのメッセージ %HOST 発生イベントの発生元ホスト名発生メッセージの一部を別の文字列に置き換える以下のように置き換える場合の定義例を説明します Event Designer の [ メッセージ変換定義メンテナンス ] シートを使用して変換前のイベントを特定する条件置き換えを行う文字列および変換後の文字列を定義します設定例を以下に示します [ メッセージ変換定義メンテナンス ] の項目設定する内容説明 [ ホスト名の特定 ] ( 任意 ) ある特定のホストから発生したメッセージだけを定義する場合は下位コンピュータのホスト名を設定します複数の下位コンピュータから発生するメッセージをまとめて定義する場合は [ 特定しない ] または [ 全ての他システム ] を選択します [ 全ての他システム ] を選択した場合は自ホストから発生したメッセージは監視されません [ メッセージの特定 ] システム DB の更新に失敗しました発生イベントのメッセージを設定しますメッセージ文字列すべてを設定する必要はありません特殊な単語特殊な文型があればそれらは正規表現を用いて設定することもできます ( 注 1) - 107 -

[ メッセージ変換定義メンテナンス ] の項目設定する内容説明ラベルエラー種別メッセージテキストに分割しない形式で定義します ( 注 2) [ 変換方法 ] [PART: 文字列置換え ] 発生メッセージの一部を変換する場合は [PART: 文字列置換え ] を選択します [ キーワード ] DB System1 置き換えを行う対象の文字列を指定します [ マクロ名 ] - 設定する必要はありません [ 変換定義 ] 基盤 DB 置き換え後の文字列を設定します注 1) 注 2) B.1.4 メッセージ全文を置き換えるの注 1) 注 2) を参照してください発生メッセージから抽出した文字列を出力するメッセージに埋め込む以下のように変換する場合の定義例を説明します Event Designer の [ メッセージ変換定義メンテナンス ] シートを使用して変換前のイベントを特定する条件抽出する文字列を特定するためのキーワード抽出した文字列を示すマクロ名および変換後のメッセージを定義します抽出する文字列が複数ある場合はキーワードとマクロ名をセットで複数定義します定義できるキーワードは 10 個までです設定例を以下に示します [ メッセージ変換定義メンテナンス ] の項目設定する内容説明 [ ホスト名の特定 ] ( 任意 ) ある特定のホストから発生したメッセージだけを定義する場合は下位コンピュータのホスト名を設定します複数の下位コンピュータから発生するメッセージをまとめて定義する場合は [ 特定しない ] または [ 全ての他システム ] を選択します [ 全ての他システム ] を選択した場合は自ホストから発生したメッセージは監視されません [ メッセージの特定 ] The job net has abnormal ended. 発生イベントのメッセージを設定しますメッセージ文字列すべてを設定する必要はありません特殊な単語特殊な文型があればそれらは正規表現を用いて設定することもできます ( 注 1) - 108 -

[ メッセージ変換定義メンテナンス ] の項目設定する内容説明ラベルエラー種別メッセージテキストに分割しない形式で定義します ( 注 2) [ 変換方法 ] [KEY: キーワード抽出 ] キーワードを使用して抽出した文字列を出力するメッセージに埋め込む場合は [KEY: キーワード抽出 ] を選択します [ キーワード ] JobNetComment= 抽出する文字列の前にある文字列をキーワードとして指定します [ マクロ名 ] %KEY0 抽出される文字列に割り当てるマクロ名を指定します使用できるマクロは %KEY0 ~%KEY9です [ キーワード ] Code= 抽出する文字列の前にある文字列をキーワードとして指定します [ マクロ名 ] %KEY1 抽出される文字列に割り当てるマクロ名を指定します使用できるマクロは %KEY0 ~%KEY9です [ 変換定義 ] 業務が異常終了しました業務名 =%KEY0 終了コード = %KEY1 注 1) 注 2) メッセージ全文を置き換えるの注 1) 注 2) を参照してください変換後のメッセージを設定します抽出した文字列を埋め込む位置にはマクロ名を記述しますメッセージはラベルエラー種別メッセージテキストに分割しない形式で定義しますポイントメッセージ内に同一のキーワードが複数あり特定の位置のキーワード文字列を抽出する場合キーワードとマクロ名は以下のように設定します例 ) 発生メッセージから 2 番目の ErrCode= の値を抽出する場合発生メッセージ : The job net has abnormal ended. Aplication ErrCode=1, System ErrCode=2, Detail ErrCode=3 キーワードとマクロの設定例 : 項目 [ キーワード ] ErrCode= [ マクロ名 ] 指定なし [ キーワード ] ErrCode= [ マクロ名 ] %KEY0 設定する内容 B.2 イベントコリレーション監視の定義例イベントコリレーションの定義例を説明しますメッセージ特定条件の定義例イベントコリレーションパターンの定義例 - 109 -

イベントコリレーション処理の定義例イベントコリレーション監視の条件定義例特殊な定義例 B.2.1 メッセージ特定条件の定義例以下のイベントをイベントコリレーションで監視する場合にイベントを特定する条件の定義例を説明します発生イベント AP: APL1: ERROR: system error occurred. Code=0x1001 Data=System01,a1000000e 定義例 [ メッセージ特定条件 ] シートで以下のように定義します分類項目設定内容説明 [ メッセージ特定条件 ] [ ホスト名の特定 ] ( 任意 ) ある特定のホストから発生したメッセージだけを定義する場合は下位コンピュータのホスト名を設定します複数の下位コンピュータから発生するメッセージをまとめて定義する場合は [ 特定しない ] または [ 全ての他システム ] を選択します [ 全ての他システム ] を選択した場合は自ホストから発生したメッセージは監視されません関連イベントに対して [ 基準イベントと同じホスト ] を選択した場合基準イベントと異なるホストから発生した関連イベントは監視されません基準イベントに対して [ 基準イベントと同じホスト ] を選択した場合は [ 特定しない ] を選択した場合と同じです [ 監視イベント種別の特定 ] [ エラー種別の特定 ] ( 任意 ) 発生イベントの [ 監視イベント種別 ] を設定します下位システムでどのように設定しているかわからない場合は空欄のままとします ERROR 発生イベントの [ エラー種別 ] を設定します [ 通報番号の特定 ] ( 任意 ) 発生イベントの [ 通報番号 ] を設定します下位システムでどのように設定しているかわからない場合は空欄のままとします [ ラベル名の特定 ] AP: APL1 発生イベントの [ ラベル名 ] を設定します [ メッセージテキストの特定 ] system error occurred. Code= 発生イベントのメッセージテキストを設定しますメッセージテキスト文字列すべてを設定する必要はありません特殊な単語特殊な文型があればそれらは正規表現を用いて設定することもできます ( 注 1) - 110 -

分類項目設定内容説明 [ メッセージタイプの特定 ] ( 任意 ) 発生イベントの [ メッセージタイプ ] を設定しますわからない場合は空欄のままとします [ 重要度の特定 ] ( 任意 ) 発生イベントの [ 重要度 ] を設定しますわからない場合は空欄のままとします [ イベントの扱い ] [ イベントの扱い ] [MONITOR: 監視する ] 注 1) B.2.2 イベント発生時にアクションを実行する場合は [MONITOR] を設定します [NONE] を選択した場合アクションは実行されませんまた [Systemwalker コンソール ] にも表示されません正規表現の使用方法については Systemwalker Centric Manager 使用手引書監視機能編の正規表現の設定例を参照してくださいイベントコリレーションパターンの定義例イベントコリレーションパターンの定義例として以下の 5 パターンについて説明します事象発生時に複数のイベントが発生する場合事象発生時に複数のイベントが決まった順番で発生する場合イベントが発生しなかったことを監視する場合事象が自動復旧したらイベントを通知しない場合 ( リセット機能 ) 同じイベントが集中して発生する場合事象発生時に複数のイベントが発生する場合以下の条件でイベントを監視する場合についての定義方法を説明します発生イベント AP: APL1: ERROR: system error occurred. Code=XXXX Data=XXXXXXXX,XXXXXXXX --(1) AP: APL1: ERROR: file system down. Code=XXXX --(2) AP: APL1: ERROR: file I/O error. file=xxxx --(3) AP: APL1: ERROR: hard disk error. disk num=xxxxx --(4) 条件 a. (1) のイベント発生後 (2)~(4) のどれかが発生したら障害発生と判断する設定手順イベントコリレーションパターンを以下の手順で設定します 1. [ メッセージ特定条件 ] シートで上の各イベントについてイベントを特定する条件を定義します 2. 各イベントに対する [ メッセージコード ] を上から順に Msg-A Msg-B Msg-C Msg-D と名づけます 3. 基準イベントを決めます例では (1) のイベント ( メッセージコードが Msg-A) が基準イベントとなります - 111 -

4. [ コリレーションパターン ] シートで以下のように定義します分類項目設定内容説明 [ パターン情報 ] [ コメント ] ( 任意 ) この定義についてのコメントを記述します記述しなくても問題ありません [ コリレーション条件 ] [ 判定方法 ] [1: 条件一致で真 ] 条件一致した場合に真と判断します [ 基準イベント ] Msg-A 基準イベントのメッセージコードを設定します [ 監視方法 ] [3: 後に発生したイベントを監視 ] 基準イベント発生後に関連イベントが発生する場合は 3( 後に発生したイベントを監視 ) を指定します [ 発生回数 ] - 設定する必要はありません [ 監視間隔 ( 秒 )] 120 イベントが発生する時間間隔を指定します [ 関連イベントの関連 ] [OR: またはで監視 ] [ 関連イベント ] Msg-B Msg-C Msg-D [ 監視のリセット ] [ リセット処理 ] [NONE: リセットしない ] 注 1) 複数イベントのどれかが発生することを定義する場合は OR を設定します関連する複数のイベントをすべてメッセージコードで設定します ( 注 1) イベントコリレーション監視をリセットするイベントがない場合は NONE を指定します [ リセットイベント ] - 設定する必要はありませんメッセージコードを複数指定する場合は複数行に分けて記述します事象発生時に複数のイベントが決まった順番で発生する場合以下の条件でイベントを監視する場合についての定義方法を説明します発生イベント AP: APL1: ERROR: system error occurred. Code=XXXX Data=XXXXXXXX,XXXXXXXX --(1) AP: APL1: ERROR: file I/O error. file=xxxx --(2) AP: APL1: ERROR: file check sequence start. --(3) AP: APL1: ERROR: incomplete. --(4) 条件 a. (1)~(4) のイベントが順番に発生する b. 2 分以内に (1)~(4) のイベントが発生したら障害発生と判断する定義手順イベントコリレーションパターンを以下の手順で設定します 1. [ メッセージ特定条件 ] シートで上の各イベントについてイベントを特定する条件を定義します 2. 各イベントに対する [ メッセージコード ] を上から順に Msg-A Msg-B Msg-C Msg-D と名づけます 3. 基準イベントを決めます例では (1) のイベント ( メッセージコードが Msg-A) が基準イベントとなります - 112 -

4. [ コリレーションパターン ] シートで以下のように定義します分類項目設定内容説明 [ パターン情報 ] [ コメント ] ( 任意 ) この定義についてのコメントを記述します記述しなくても問題ありません [ コリレーション条件 ] [ 判定方法 ] [1: 条件一致で真 ] 条件一致した場合に真と判断します [ 基準イベント ] Msg-A 基準イベントのメッセージコードを設定します [ 監視方法 ] [3: 後に発生したイベントを監視 ] 基準イベント発生後に関連イベントが発生する場合は 3( 後に発生したイベントを監視 ) を指定します [ 発生回数 ] - 設定する必要はありません [ 監視間隔 ( 秒 )] 120 イベントが発生する時間間隔を指定します [ 関連イベントの関連 ] [ORDER: 登録順に発生 ] [ 関連イベント ] Msg-B Msg-C Msg-D [ 監視のリセット ] [ リセット処理 ] [NONE: リセットしない ] 注 1) 複数イベントが決まった順番で発生する場合は ORDER を設定します関連イベントを発生順にメッセージコードで設定します ( 注 1) イベントコリレーション監視をリセットするイベントがない場合は NONE を指定します [ リセットイベント ] - 設定する必要はありませんメッセージコードを複数指定する場合は複数行に分けて記述しますイベントが発生しなかったことを監視する場合以下の条件でイベントを監視する場合についての定義方法を説明します発生イベント AP: APL1: ERROR: system error occurred. Code=XXXX Data=XXXXXXXX,XXXXXXXX --(1) AP: APL1: ERROR: file I/O error. file=xxxx --(2) AP: APL1: ERROR: file check sequence start. --(3) AP: APL1: ERROR: file check sequence complete. --(4) 条件 a. (1) のイベントが発生した場合は (2)~(4) のイベントが順番に発生する b. (1) のイベントが発生した後 2 分以内に (2)~(4) のイベントが発生しなかった場合に障害発生と判断する定義手順イベントコリレーションパターンを以下の手順で設定します 1. [ メッセージ特定条件 ] シートで上の各イベントについてイベントを特定する条件を定義します 2. 各イベントに対する [ メッセージコード ] を上から順に Msg-A Msg-B Msg-C Msg-D と名づけます 3. 基準イベントを決めます例では (1) のイベント ( メッセージコードが Msg-A) が基準イベントとなります - 113 -

4. [ コリレーションパターン ] シートで以下のように定義します分類項目設定内容説明 [ パターン情報 ] [ コメント ] ( 任意 ) この定義についてのコメントを記述します記述しなくても問題ありません [ コリレーション条件 ] [ 判定方法 ] [2: 条件不一致で真 ] 条件に一致しなかった場合に真と判断します [ 基準イベント ] Msg-A 基準イベントのメッセージコードを設定します [ 監視方法 ] [3: 後に発生したイベントを監視 ] 基準イベント発生後に関連イベントが発生する場合は 3( 後に発生したイベントを監視 ) を指定します [ 発生回数 ] - 設定する必要はありません [ 監視間隔 ( 秒 )] 120 イベントが発生する時間間隔を指定します [ 関連イベントの関連 ] [ORDER: 登録順に発生 ] [ 関連イベント ] Msg-B Msg-C Msg-D [ 監視のリセット ] [ リセット処理 ] [NONE: リセットしない ] 注 1) 複数イベントが決まった順番で発生する場合は ORDER を設定します関連イベントを発生順にメッセージコードで設定します ( 注 1) イベントコリレーション監視をリセットするイベントがない場合は NONE を指定します [ リセットイベント ] - 設定する必要はありませんメッセージコードを複数指定する場合は複数行に分けて記述します事象が自動復旧したらイベントを通知しない場合 ( リセット機能 ) 以下の条件でイベントを監視する場合についての定義方法を説明します発生イベント AP: APL1: ERROR: system error occurred. Code=XXXX Data=XXXXXXXX,XXXXXXXX --(1) AP: APL1: ERROR: file I/O error. file=xxxx --(2) AP: APL1: ERROR: file check sequence start. --(3) AP: APL1: ERROR: incomplete. --(4) AP: APL1: ERROR: file check sequence complete. --(5) 条件 a. 障害発生時には (1) のイベント発生後 (2)~(4) のイベントが順番に発生する b. 自動復旧した場合には (3) の後 (4) の替わりに (5) のイベントが発生する c. 障害発生時にはイベントコリレーション処理を行いたいが自動復旧した場合にはイベントコリレーション処理は不要定義手順イベントコリレーションパターンを以下の手順で設定します 1. [ メッセージ特定条件 ] シートで上の各イベントについてイベントを特定する条件を定義します 2. 各イベントに対する [ メッセージコード ] を上から順に Msg-A Msg-B Msg-C Msg-D Msg-E と名づけます - 114 -

3. 基準イベントを決めます例では (1) のイベント ( メッセージコードが Msg-A) が基準イベントとなります 4. [ コリレーションパターン ] シートで以下のように定義します分類項目設定内容説明 [ パターン情報 ] [ コメント ] ( 任意 ) この定義についてのコメントを記述します記述しなくても問題ありません [ コリレーション条件 ] [ 判定方法 ] [1: 条件一致で真 ] 条件一致した場合に真と判断します [ 基準イベント ] Msg-A 基準イベントのメッセージコードを設定します [ 監視方法 ] [3: 後に発生したイベントを監視 ] 基準イベント発生後に関連イベントが発生する場合は 3( 後に発生したイベントを監視 ) を指定します [ 発生回数 ] - 設定する必要はありません [ 監視間隔 ( 秒 )] 120 イベントが発生する時間間隔を指定します [ 関連イベントの関連 ] [ORDER: 登録順に発生 ] [ 関連イベント ] Msg-B Msg-C Msg-D [ 監視のリセット ] [ リセット処理 ] [RESET: リセットする ] 注 1) 複数イベントが決まった順番で発生する場合は ORDER を設定します関連イベントを発生順にメッセージコードで設定します ( 注 1) イベントコリレーション監視をリセットするイベントがある場合は RESET を指定します [ リセットイベント ] Msg-E イベントコリレーション監視をリセットするイベントをメッセージコードで設定しますメッセージコードを複数指定する場合は複数行に分けて記述します同じイベントが集中して発生する場合以下の条件でイベントを監視する場合についての定義方法を説明します発生イベント AP: APL1: ERROR: system error occurred. Code=XXXX Data=XXXXXXXX,XXXXXXXX --(1) AP: APL1: ERROR: file I/O error. file=xxxx --(2) 条件 a. (1) のイベント発生後 (2) のイベントが多数発生する b. (2) のイベントが 1 分間に 10 件以上発生したら障害と判断する設定手順以下の手順で設定します 1. [ メッセージ特定条件 ] シートで上の各イベントについてイベントを特定する条件を定義します 2. 各イベントに対する [ メッセージコード ] を上から順に Msg-A Msg-B と名づけます - 115 -

B.2.3 3. 基準イベントを決めます例では (1) のイベント ( メッセージコードが Msg-A) が基準イベントとなります 4. [ コリレーションパターン ] シートで以下のように定義します分類項目設定内容説明 [ パターン情報 ] [ コメント ] ( 任意 ) この定義についてのコメントを記述します記述しなくても問題ありません [ コリレーション条件 ] [ 判定方法 ] [1: 条件一致で真 ] 条件一致した場合に真と判断します [ 基準イベント ] Msg-A 基準イベントのメッセージコードを設定します [ 監視方法 ] [5: 後に発生したイベントの発生回数を監視 ] 基準イベント発生後に発生する関連イベントの発生回数を監視する場合は 5( 後に発生したイベントの発生回数を監視 ) を指定します [ 発生回数 ] 10 監視する発生回数を指定します [ 監視間隔 ( 秒 )] 60 イベントが発生する時間間隔を指定します [ 関連イベントの関連 ] - 設定する必要はありません [ 関連イベント ] Msg-B 関連イベントメッセージコードで設定します [ 監視のリセット ] [ リセット処理 ] [NONE: リセットしない ] イベントコリレーション監視をリセットするイベントがない場合は NONE を指定します [ リセットイベント ] - 設定する必要はありませんイベントコリレーション処理の定義例以下の 3 つのパターンについて定義例を説明します新しいイベントを通知する最後に通知された関連イベントを通知する事象が自動復旧したらイベントを対処済にする新しいイベントを通知するイベントコリレーションパターンに一致したときに以下の新しいイベントを通知する場合について説明します新しく発生させるイベント AP: APL1: ERROR: 事象が発生しました定義例 [ コリレーション処理 ] シートで以下のように定義します分類項目設定内容説明対処方法 [ 対処方法 ] [NONE: 対処済みにしない ] 基準イベントを対処済に変更しない場合は [NONE: 対処済みにしない ] を指定します - 116 -

分類項目設定内容説明通知方法 [ 通知方法 ] [NEW: 新規イベントを通知 ] [ メッセージによる通知 ] 表示結果例 [ メッセージ通知の実行方法 ] [ メッセージ ] AP: APL1: ERROR: 事象が発生しました新しいイベントを通知する場合は [NEW: 新規イベントを通知 ] を指定します [1: 上位優先 ] 複数のイベントコリレーションの監視条件に一致した場合に最初に一致した条件に定義されているイベントコリレーション処理だけを実行する場合は [1: 上位優先 ] を指定ます常にイベントコリレーション処理を実行する場合は [2: 常時実行 ] を指定します新規で発生させるイベントの内容を設定しますラベルエラー種別メッセージテキストに分割しない形式で定義します [ 上位システムに送信 ] [SEND: する ] 発生させるイベントを上位システムに送信する場合は [SEND: する ] を指定します [ ログ格納 ] [LOG: する ] [Systemwalkerコンソール] に通知する場合は [LOG: する ] を指定します [ 監視イベント種別の設定 ] 業務発生させるイベントの監視イベント種別を設定します [ 重要度の設定 ] [EMG: 重要 ] 発生させるイベントの重要度を指定します [Systemwalkerコンソール] に通知する場合は [NORM: 一般 ] 以外を指定します [ 文字色を変更する ] 20 発生させるイベントの文字色を指定します [ 背景色を変更する ] 20 発生させるイベントの背景色を指定しますイベントコリレーションパターンに一致した場合 [ 監視イベント一覧 ] には以下のイベントが表示されます AP: APL1: ERROR: 事象が発生しました最後に通知された関連イベントを通知するイベントコリレーションパターンに一致したときに最後に通知された関連イベントを以下の条件で [Systemwalker コンソール ] の [ 監視イベント一覧 ] に表示する場合について説明します発生イベント AP: APL1: ERROR: system error occurred. Code=XXXX Data=XXXXXXXX,XXXXXXXX --(1) AP: APL1: ERROR: file system down. Code=XXXX --(2) AP: APL1: ERROR: file I/O error. file=xxxx --(3) AP: APL1: ERROR: hard disk error. disk num=xxxxx --(4) 条件 a. (1) のイベント発生後 (2)~(4) のうち最後に発生したイベントを [Systemwalker コンソール ] の [ 監視イベント一覧 ] に表示する - 117 -

b. 表示するイベントの監視イベント種別は業務重要度は重要とする定義例 [ コリレーション処理 ] シートで以下のように定義します分類項目設定内容説明対処方法 [ 対処方法 ] [NONE: 対処済みにしない ] 通知方法 [ 通知方法 ] [LAST: 最後のイベントを通知 ] [ メッセージによる通知 ] 表示結果例 [ メッセージ通知の実行方法 ] 基準イベントを対処済に変更しない場合は [NONE: 対処済みにしない ] を指定します最後に通知された関連イベントを通知する場合は LAST を指定します [1: 上位優先 ] 複数のイベントコリレーションの監視条件に一致した場合に最初に一致した条件に定義されているイベントコリレーション処理だけを実行する場合は [1: 上位優先 ] を指定ます常にイベントコリレーション処理を実行する場合は [2: 常時実行 ] を指定します [ メッセージ ] - 設定する必要はありません [ 上位システムに送信 ] [SEND: する ] 発生させるイベントを上位システムに送信する場合は [SEND: する ] を指定します [ ログ格納 ] [LOG: する ] [Systemwalkerコンソール] に通知する場合は [LOG: する ] を指定します [ 監視イベント種別の設定 ] 業務発生させるイベントの監視イベント種別を設定します [ 重要度の設定 ] [EMG: 重要 ] 発生させるイベントの重要度を指定します [Systemwalkerコンソール] に通知する場合は [NORM: 一般 ] 以外を指定します [ 文字色を変更する ] 20 発生させるイベントの文字色を指定します [ 背景色を変更する ] 20 発生させるイベントの背景色を指定します発生イベントが (1)~(4) の順に発生した場合 [ 監視イベント一覧 ] にはイベント (4) が表示されます事象が自動復旧したらイベントを対処済にするイベントコリレーションパターンに一致したときに [Systemwalker コンソール ] の [ 監視イベント一覧 ] に表示されている未対処の基準イベントを対処済に変更する場合は以下のように設定します分類項目設定内容説明対処方法 [ 対処方法 ] [RESOLVE: 対処済みにする ] 基準イベントを対処済に変更する場合は [RESOLVE: 対処済みにする ] を指定します - 118 -

分類項目設定内容説明通知方法 [ 通知方法 ] [NONE: 通知しない ] [ メッセージによる通知 ] [ メッセージ通知の実行方法 ] - イベントの通知をしない場合は [NONE: 通知しない ] を指定します設定する必要はありません [ メッセージ ] - 設定する必要はありません [ 上位システムに送信 ] - 設定する必要はありません [ ログ格納 ] - 設定する必要はありません [ 監視イベント種別の設定 ] - 設定する必要はありません [ 重要度の設定 ] - 設定する必要はありません [ 文字色を変更する ] - 設定する必要はありません [ 背景色を変更する ] - 設定する必要はありませんイベントコリレーション処理について未対処の基準イベントを対処済に変更するイベントコリレーション処理は運用管理サーバでだけ設定できます部門管理サーバ業務サーバで設定した場合は対処済になりません B.2.4 イベントコリレーション監視の条件定義例イベントコリレーション監視の条件定義ではイベントコリレーションパターンとイベントコリレーション処理の関係を定義します複数のイベントコリレーションパターンを組み合わせて定義することもできます以下の条件の場合を例に設定方法を説明しますイベントコリレーションパターンをかつで組み合わせる場合イベントコリレーションパターンをまたはで組み合わせる場合イベントコリレーションパターンをかつで組み合わせる場合以下の条件でイベントを監視する場合の設定方法を説明します発生イベント AP: APL1: INFO: 印刷業務を開始します --(1) AP: APL1: ERROR: 印刷業務が異常終了しました --(2) AP: APL1: ERROR: system error occurred. Code=XXXX Data=XXXXXXXX,XXXXXXXX --(3) AP: APL1: ERROR: printer error. file=xxxxx --(4) 条件 a. (1) と (2) のイベントはセットで発生する b. (3) と (4) のイベントはセットで発生する c. (1) と (2) および (3) と (4) が発生したら新しいイベントを通知する d. (1) と (2) だけまたは (3) と (4) だけが発生した場合は何もしない設定手順 1. [ メッセージ特定条件 ] シートで上の各イベントについてイベントを特定する条件を定義します 2. 各イベントに対する [ メッセージコード ] を上から順に Msg-A Msg-B Msg-C Msg-D と名づけます 3. [ コリレーションパターン ] シートで (1) と (2) および (3) と (4) のイベントについてイベントコリレーションパターンを定義します設定方法はイベントコリレーションパターンの定義例を参考にしてくださいイベントコリレーションパターンコードをそれぞれ Patern1 Patern2 と名づけます - 119 -

4. [ コリレーション処理 ] で新しいイベントを通知するためのイベントコリレーション処理を定義します設定方法はイベントコリレーション処理の定義例の新しいイベントを通知するを参照してくださいイベントコリレーション処理コードを Action1 と名づけます 5. [ コリレーション監視の条件定義メンテナンス ] シートで以下のように定義します分類項目設定内容説明コリレーション情報 [ コメント ] ( 任意 ) イベントコリレーションのコメントを設定します監視方法 [ 監視方法 ] [AND: かつで監視 ] コリレーションパターン [ コリレーションパターン ] Patern1 Patern2 [ 監視のリセット ] [ リセット処理 ] [NONE: リセットしない ] 複数のイベントコリレーションパターンのすべてに一致する条件の場合は [AND: かつで監視 ] を指定します関連するイベントコリレーションパターンをすべてイベントコリレーションパターンコードで設定します ( 注 1) イベントコリレーション監視をリセットするイベントがない場合は [NONE: リセットしない ] を指定します [ リセットイベント ] - 設定する必要はありません監視間隔 [ 監視間隔 ( 秒 )] 120 イベントの発生間隔を設定します [ コリレーション処理 ] 注 1) [ 条件成立時 ] Action1 イベントコリレーションの条件が成立した場合に実行するイベントコリレーション処理をイベントコリレーション処理コードで指定します [ 条件不成立時 ] - 設定する必要はありませんイベントコリレーションパターンコードを複数指定する場合は複数行に分けて記述しますイベントコリレーションパターンをまたはで組み合わせる場合以下の条件でイベントを監視する場合の設定方法を説明します発生イベント AP: APL1: INFO: サーバAで印刷業務を開始します --(1) AP: APL1: ERROR: 印刷業務が異常終了しました --(2) AP: APL1: INFO: サーバBで印刷業務を開始します --(3) AP: APL1: ERROR: 印刷業務が異常終了しました --(4) 条件 a. (1) と (2) のイベントはセットで発生する b. (3) と (4) のイベントはセットで発生する c. (1) と (2) または (3) と (4) が発生したら新しいイベントを通知する設定手順 1. [ メッセージ特定条件 ] シートで上の各イベントについてイベントを特定する条件を定義します 2. 各イベントに対する [ メッセージコード ] を上から順に Msg-A Msg-B Msg-C Msg-D と名づけます - 120 -

3. [ コリレーションパターン ] シートで (1) と (2) および (3) と (4) のイベントについてイベントコリレーションパターンを定義します設定方法はイベントコリレーションパターンの定義例を参考にしてくださいイベントコリレーションパターンコードをそれぞれ Patern1 Patern2 と名づけます 4. [ コリレーション処理 ] で新しいイベントを通知するためのイベントコリレーション処理を定義します設定方法はイベントコリレーション処理の定義例の新しいイベントを通知するを参照してくださいイベントコリレーション処理コードを Action1 と名づけます 5. [ コリレーション監視の条件定義メンテナンス ] シートで以下のように定義します分類項目設定内容説明コリレーション情報 [ コメント ] ( 任意 ) イベントコリレーションの監視条件のコメントを設定します監視方法 [ 監視方法 ] [OR: またはで監視 ] コリレーションパターン [ コリレーションパターン ] Patern1 Patern2 [ 監視のリセット ] [ リセット処理 ] [NONE: リセットしない ] 複数のイベントコリレーションパターンのどれかに一致する条件の場合は [OR: またはで監視 ] を指定します関連するイベントコリレーションパターンをすべてイベントコリレーションパターンコードで設定します ( 注 1) イベントコリレーション監視をリセットするイベントがない場合は [NONE: リセットしない ] を指定します [ リセットイベント ] - 設定する必要はありません監視間隔 [ 監視間隔 ( 秒 )] 120 イベントの発生間隔を設定します [ コリレーション処理 ] 注 1) [ 条件成立時 ] Action1 イベントコリレーションの条件が成立した場合に実行するイベントコリレーション処理をイベントコリレーション処理コードで指定します [ 条件不成立時 ] - 設定する必要はありませんイベントコリレーションパターンコードを複数指定する場合は複数行に分けて記述しますイベントコリレーションパターンをまたはで組み合わせる場合についてイベントコリレーションパターンの [ 監視方法 ] で [ 発生回数をカウント ] を設定している場合は他のイベントコリレーションパターンと組み合わせることはできません B.2.5 特殊な定義例以下の定義を行う場合の定義例を説明しますあるイベントをイベントコリレーションの監視対象としない場合あるイベントをイベントコリレーションの監視対象としない場合以下のイベントをイベントコリレーションの監視対象としない場合の定義方法を説明します発生イベント AP: APL1: ERROR: system reboot start. --(1) 設定手順 - 121 -

以下の手順で設定します 1. [ メッセージ特定条件 ] シートで上記のイベントについてイベントを特定する条件を定義します 2. イベントに対する [ メッセージコード ] を Msg-A と名づけます 3. [ コリレーションパターン ] シートで以下のように定義します分類項目設定内容説明 [ パターン情報 ] [ コメント ] ( 任意 ) この定義についてのコメントを記述します記述しなくても問題ありません [ コリレーション条件 ] [ 判定方法 ] - 設定する必要はありません [ 基準イベント ] Msg-A 基準イベントのメッセージコードを設定します [ 監視方法 ] [0: 基準イベントのみ監視 ] 関連イベントがない場合は 0 を設定します [ 発生回数 ] - 設定する必要はありません [ 監視間隔 ( 秒 )] - 設定する必要はありません [ 関連イベントの関連 ] - 設定する必要はありません [ 関連イベント ] - 設定する必要はありません [ 監視のリセット ] [ リセット処理 ] [NONE: リセットしない ] イベントコリレーション監視をリセットするイベントがない場合は NONE を指定します [ リセットイベント ] - 設定する必要はありません 4. このイベントコリレーションパターンに名前を付けます Patern1 と名づけます 5. [ コリレーション監視の条件定義メンテナンス ] シートで以下のように定義します分類項目設定内容説明コリレーション情報 [ コメント ] ( 任意 ) イベントコリレーションパターンのコメント監視方法 [ 監視方法 ] [NONE: 対処済みにしない ] イベントコリレーション監視をしない場合は NONE を設定しますコリレーションパターン [ コリレーションパターン ] Patern1 [ 監視のリセット ] [ リセット処理 ] [NONE: リセットしない ] 監視しないパターンをパターンコードで設定しますイベントコリレーション監視をリセットするイベントがない場合は NONE を指定します [ リセットイベント ] - 設定する必要はありません監視間隔 [ 監視間隔 ( 秒 )] - 設定する必要はありません [ コリレーション処理 ] [ 条件成立時 ] - 設定する必要はありません [ 条件不成立時 ] - 設定する必要はありません - 122 -

B.3 類似イベント / 大量イベント抑止の定義例類似イベント / 大量イベントを抑止する場合の定義例として以下のパターンについて説明します詳細コード部分だけ異なるメッセージが複数発生する場合複数サーバから同じイベントが発生する場合抑止したくないイベントを定義する場合複数サーバから異なるイベントが発生する場合 B.3.1 イベントの発生例発生イベント詳細コード部分だけ異なるメッセージが複数発生する場合 AP: APL1: ERROR: system error occurred. Code=101,Data=10000010,10000020 AP: APL1: ERROR: system error occurred. Code=101,Data=10000010,10000100 AP: APL1: ERROR: system error occurred. Code=102,Data=00000001,10000001 AP: APL1: ERROR: system error occurred. Code=102,Data=10000011,10000021 AP: APL1: ERROR: system error occurred. Code=301,Data=10000010,10000020 (XXX は可変文字列 ) イベントの発生間隔設定例正常運用中は発生しないが事象発生時には連続でイベントが出力される以下のようにパラメタを指定して mpaosemny( 類似イベント抑止大量イベント抑止定義コマンド ) を実行します mpaosemny( 類似イベント抑止大量イベント抑止定義コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください mpaosemny -n 30 -i 10 -c 10 -r 120 -h ON -m ON パラメタの詳細設定項目類似かどうかを判定する文字列の長さ 30 ( バイト ) 多発と判断するイベント発生間隔 10 ( 秒 ) 多発判定後に出力するイベント件数 10 ( 件 ) 抑止を解除するイベント発生間隔 120 ( 秒 ) ホスト名の特定の有無抑止解除時のイベント出力の有無解説類似かどうかを判定する文字列の長さ ON ON 設定する内容同一文字列部分の長さよりも小さい値を指定する必要があります例では AP: APL1 : ERROR: system error occurred. とうい部分が同じ文字列ですこの部分の長さは 40 バイトですので 40 以下の値を指定します多発と判断するイベント発生間隔イベントが連続して発生する場合でも通信経路によるイベント通知の遅延を考慮し少し余裕を持った値で設定します 10 秒と指定した場合は 10 秒以内に類似イベントが 2 個以上発生したときに多発していると判断します - 123 -

多発判定後に出力するイベント件数多発と判断してから抑止を開始するまでに出力するイベントの数を指定します 10 を指定した場合多発と判断する条件に一致しても 10 件までは通知されます抑止を解除するイベント発生間隔抑止を解除する場合のイベントの発生間隔を指定します多発と判断するイベント発生間隔よりも長く設定する必要がありますホスト名の特定の有無ある特定のホストから発生したイベントだけを定義する場合は ON を指定します複数のホストから発生したイベントを定義する場合は OFF を指定します抑止解除時のイベント出力の有無 B.3.2 抑止を解除したときに何件のイベントを抑止したのかを通知する場合は ON を指定します抑止したイベントの件数を通知する必要がない場合は OFF を指定します複数サーバから同じイベントが発生する場合複数のサーバを一斉に起動した場合など同じイベントが複数サーバから発生する場合は以下のように設定します設定例以下のようにパラメタを指定して mpaosemny( 類似イベント抑止大量イベント抑止定義コマンド ) を実行します mpaosemny( 類似イベント抑止大量イベント抑止定義コマンド ) の詳細についてのは Systemwalker Centric Manager リファレンスマニュアルを参照してください mpaosemny -i 10 -c 10 -r 120 -h ON パラメタの詳細設定項目設定する内容類似かどうかを判定する文字列の長さ初期値 (30 バイト ) 多発と判断するイベント発生間隔 10 ( 秒 ) 多発判定後に出力するイベント件数初期値 (1 件 ) 抑止を解除するイベント発生間隔 120 ( 秒 ) ホスト名の特定の有無抑止解除時のイベント出力の有無解説 OFF 初期値 (OFF) 異なるホストから発生したイベントを類似イベントと判断する場合はホスト名の特定の有無には OFF( 特定しない ) を指定します B.3.3 抑止したくないイベントを定義する場合類似イベント / 大量イベントに対して抑止したくないイベントを定義することができます抑止したくないイベントを指定する場合には正規表現は使用できませんイベントの発生例抑止したいイベント AP: APL2: ERROR: system error occurred. Code=XXX,Data=XXXXXXXX,XXXXXXXX AP: APL2: ERROR: system error occurred. (file I/O) Code=XXX,Data=XXXXXXXX,XXXXXXXX AP: APL2: ERROR: system error occurred at hard disk. Code=XXXXXXXX (XXX は可変文字列 ) - 124 -

抑止したくないイベント設定例 AP: APL2: ERROR: system error occurred at system file. system down. Code=XXXXXXXX 以下のようにパラメタを指定して mpaosemex( 類似イベント抑止大量イベント抑止対象外設定コマンド ) を実行します mpaosemex( 類似イベント抑止大量イベント抑止対象外設定コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください mpaosemex -a AP: APL2: ERROR: system error occurred at system file. system down. 解説抑止したくないイベントはラベルエラー種別メッセージテキストに分割しない形式で指定しますメッセージすべてを指定する必要はありません抑止対象外であることが判別できる部分までを指定してください B.3.4 複数サーバから異なるイベントが発生する場合ネットワーク機器で異常が発生した場合など異なるイベントが複数サーバから発生する場合は以下のように設定します設定例以下のようにパラメタを指定して mpaosemny( 類似イベント抑止大量イベント抑止定義コマンド ) を実行します mpaosemny( 類似イベント抑止大量イベント抑止定義コマンド ) の詳細については Systemwalker Centric Manager リファレンスマニュアルを参照してください mpaosemny -i 0 -c 10 -r 120 -h OFF パラメタの詳細設定項目類似かどうかを判定する文字列の長さ 0 バイト多発と判断するイベント発生間隔 10 ( 秒 ) 多発判定後に出力するイベント件数初期値 (1 件 ) 抑止を解除するイベント発生間隔 120 ( 秒 ) ホスト名の特定の有無抑止解除時のイベント出力の有無解説 OFF 初期値 (OFF) 設定する内容異なるホストから発生したイベントを類似イベントと判断する場合はホスト名の特定の有無には OFF ( 特定しない ) を指定します B.4 発生したイベントに対しアクションを実行する定義例設定例イベントコリレーション監視の条件定義において条件に一致した際の処理に [NEW: 新規イベントを通知 ] を選択し新規に通知されるイベントに対しメール通知のアクションを定義する場合イベント定義 [ イベント監視の条件定義 ] の [ イベント定義 / アクション定義 ] ダイアログボックスで Event Designer の [ コリレーション処理 ] シートに設定した内容を以下のように設定します - 125 -

[ イベント定義 / アクション定義 ] ダイアログボックスの設定項目設定内容 [ ホスト名の特定 ] ある特定のホストから発生したメッセージだけを定義する場合は下位コンピュータのホスト名を設定します複数の下位コンピュータから発生するメッセージをまとめて定義する場合は [ 特定しない ] または [ 全ての他システム ] を選択します [ 全ての他システム ] を選択した場合は自ホストから発生したメッセージは監視されません [ 監視イベント種別の特定 ] [ コリレーション処理 ] シートの [ 監視イベント種別の設定 ] で監視イベント種別を指定している場合は同じ文字列をここで設定します [ 通報番号の特定 ] [ コリレーション処理 ] シートの [ 通報番号の設定 ] で通報番号を指定している場合は同じ番号をここで設定します [ メッセージタイプの特定 ] - ( 指定しません ) [ 重要度の特定 ] [ コリレーション処理 ] シートの [ 重要度の設定 ] で重要度を指定している場合は同じ重要度をここで設定します [ エラー種別の特定 ] [ コリレーション処理 ] シートの [ メッセージ ] で設定したメッセージをラベルエラー種別メッセージテキストに分割しそのうちのエラー種別をここで指定します ( 注 1) [ ラベルの特定 ] [ コリレーション処理 ] シートの [ メッセージ ] で設定したメッセージをラベルエラー種別メッセージテキストに分割しそのうちのラベルをここで指定します ( 注 1) [ メッセージテキストの特定 ] [ コリレーション処理 ] シートの [ メッセージ ] で設定したメッセージをラベルエラー種別メッセージテキストに分割しそのうちのメッセージテキストをここで指定します ( 注 1) 注 1) メッセージはラベルエラー種別メッセージテキストに分割せずに定義することもできますその場合は以下のように定義します [ イベント定義 / アクション定義 ] ダイアログボックスの設定項目 [ エラー種別ラベルテキストに分割せずにメッセージを特定する ] 設定内容チェックボックスをチェックします [ エラー種別の特定 ] 指定できません [ ラベルの特定 ] 指定できません [ メッセージテキストの特定 ] [ コリレーション処理 ] シートの [ メッセージ ] で設定したメッセージをそのまま指定しますアクション定義 [ イベント定義 / アクション定義 ]-[ 通知 / 実行アクション ] ダイアログボックスの [ メール ] タブでメールアクションの詳細を設定します B.5 イベントグループの定義例イベントグループ定義の定義例として以下の 3 パターンについて説明します - 126 -

ホストを指定して未対処イベントを抑止する場合ホストごとに未対処イベントを抑止する場合複数ホストをグループ化して未対処イベントを抑止する場合ホストを指定して未対処イベントを抑止する場合ある特定のホストから発生したイベントについてだけ未対処イベントを抑止する場合について説明します発生イベント AP: APL1: ERROR: system error occurred. Code=XXXX Data=XXXXXXXX,XXXXXXXX --(1) AP: APL1: ERROR: system error occurred. file system down. Code=XXXX --(2) AP: APL1: ERROR: system error occurred. file I/O error. file=xxxx --(3) AP: APL1: ERROR: system error occurred. hard disk error. disk num=xxxxx --(4) 監視条件 HostA から発生した上記のイベントは [ 監視イベント一覧 ] に同じ未対処イベントがあれば抑止する HostA 以外から発生した上記イベントは抑止しない設定例項目設定内容説明 [ コメント ] ( 任意 ) この定義についてのコメントを記述します記述しなくても問題ありません [ ホスト名の特定 ] HostA ある特定のホストから発生したイベントだけを定義する場合は下位コンピュータのホスト名を設定します [ メッセージの特定 ] AP: APL1: ERROR: system error occurred. 発生イベントのメッセージを設定しますメッセージ文字列すべてを設定する必要はありません特殊な単語特殊な文型があればそれらは正規表現を用いて設定することもできますまた複数イベントをまとめて定義する場合は複数イベントに共通な文字列を設定するか正規表現を使用して設定します ( 注 1) ラベルエラー種別メッセージテキストに分割しない形式で定義します ( 注 2) [ 設定方法 ] ( 空欄 ) イベントグループ名を設定する場合は空欄にします [ イベントグループ名 ] EventGroup1 イベントグループ名を設定します注 1) 注 2) 正規表現の使用方法については Systemwalker Centric Manager 使用手引書監視機能編の正規表現の設定例を参照してくださいメッセージ内に Solaris が付加する以下の文字列がある場合この文字列も定義することができます - [ID nnnnn facility.priority] 形式の文字列 nnnn : 可変の数値 - エラー種別の前部分に付加される xxxx[nnnnn] 形式の文字列から前の文字列 xxxx : アプリケーションが指定する文字列 nnnnn : プロセス ID - 127 -

表示結果例イベントが同じホストから通知された場合は [ 監視イベント一覧 ] には最初の1 個だけが表示されます発生イベントが (1)~(4) の順に発生した場合の表示結果例は以下のとおりです発生元ホスト発生メッセージ表示説明 HostA AP: APL1: ERROR: system error occurred. Code=1 Data=12,999 表示 HostA から EventGroup1 に属する未対処のイベントが通知されていないためこのイベントは表示されます HostA AP: APL1: ERROR: system error occurred. file system down. Code=0x0e 抑止既に HostA から EventGroup1 に属する未対処のイベントが通知されているためこのイベントは抑止されます HostB AP: APL1: ERROR: system error occurred. file I/O error. file=xxxx 表示 HostB から発生したイベントのため抑止対象となりません HostA AP: APL1: ERROR: system error occurred. hard disk error. disk num=d1 抑止既に HostA から EventGroup1 に属する未対処のイベントが通知されているためこのイベントは抑止されますホストごとに未対処イベントを抑止する場合発生イベント AP: APL1: ERROR: system error occurred. Code=XXXX Data=XXXXXXXX,XXXXXXXX --(1) AP: APL1: ERROR: system error occurred. file system down. Code=XXXX --(2) AP: APL1: ERROR: system error occurred. file I/O error. file=xxxx --(3) AP: APL1: ERROR: system error occurred. hard disk error. disk num=xxxxx --(4) 監視条件上記イベントが発生した場合ホストごとに最初の 1 個は表示し 2 個目以降を抑止する設定例項目設定内容説明 [ コメント ] ( 任意 ) この定義についてのコメントを記述します記述しなくても問題ありません [ ホスト名の特定 ] [=: 全ての他システム ] [=: 全ての他システム ] を選択します [ メッセージの特定 ] AP: APL1: ERROR: system error occurred. 発生イベントのメッセージを設定しますメッセージ文字列すべてを設定する必要はありません特殊な単語特殊な文型があればそれらは正規表現を用いて設定することもできますまた複数イベントをまとめて定義する場合は複数イベントに共通な文字列を設定するか正規表現を使用して設定します ( 注 1) ラベルエラー種別メッセージテキストに分割しない形式で定義します ( 注 2) [ 設定方法 ] ( 空欄 ) イベントグループ名を設定する場合は空欄にします [ イベントグループ名 ] EventGroup1 イベントグループ名を設定します - 128 -

注 1) 注 2) 正規表現の使用方法については Systemwalker Centric Manager 使用手引書監視機能編の正規表現の設定例を参照してくださいメッセージ内に Solaris が付加する以下の文字列がある場合この文字列も定義することができます - [ID nnnnn facility.priority] 形式の文字列 nnnn : 可変の数値 - エラー種別の前部分に付加される xxxx[nnnnn] 形式の文字列から前の文字列表示結果例 xxxx : アプリケーションが指定する文字列 nnnnn : プロセス ID [ 監視イベント一覧 ] には EventGroup1 に属するイベントのうちホストごとに最初の 1 個だけが表示されます発生元ホスト発生メッセージ表示説明 HostA AP: APL1: ERROR: system error occurred. Code=1 Data=12,999 表示 HostA から EventGroup1 に属する未対処のイベントが通知されていないためこのイベントは表示されます HostA AP: APL1: ERROR: system error occurred. file system down. Code=0x0e 抑止既に HostA から EventGroup1 に属する未対処のイベントが通知されているためこのイベントは抑止されます HostB AP: APL1: ERROR: system error occurred. hard disk error. disk num=d1 表示 HostB からは EventGroup1 に属する未対処イベントが通知されていないためこのイベントは表示されます HostC AP: APL1: ERROR: system error occurred. Code=1 Data=10,998 表示 HostC からは EventGroup1 に属する未対処イベントが通知されていないためこのイベントは表示されます HostC AP: APL1: ERROR: system error occurred. hard disk error. disk num=d2 抑止既に HostC から EventGroup1 に属する未対処のイベントが通知されているためこのイベントは抑止されます複数ホストをグループ化して未対処イベントを抑止する場合発生イベント AP: APL1: ERROR: system error occurred. Code=XXXX Data=XXXXXXXX,XXXXXXXX --(1) AP: APL1: ERROR: system error occurred. file system down. Code=XXXX --(2) AP: APL1: ERROR: system error occurred. file I/O error. file=xxxx --(3) AP: APL1: ERROR: system error occurred. hard disk error. disk num=xxxxx --(4) 監視条件上記イベントが発生した場合最初の 1 個は表示し 2 個目以降を抑止する設定例項目設定内容説明 [ コメント ] ( 任意 ) この定義についてのコメントを記述します記述しなくても問題ありません [ ホスト名の特定 ] [=: 全ての他システム ] [=: 全ての他システム ] を選択します [ メッセージの特定 ] AP: APL1: ERROR: system error occurred. 発生イベントのメッセージを設定しますメッセージ文字列すべてを設定 - 129 -

項目設定内容説明する必要はありません特殊な単語特殊な文型があればそれらは正規表現を用いて設定することもできますまた複数イベントをまとめて定義する場合は複数イベントに共通な文字列を設定するか正規表現を使用して設定します ( 注 1) ラベルエラー種別メッセージテキストに分割しない形式で定義します ( 注 2) [ 設定方法 ] ( 空欄 ) イベントグループ名を設定する場合は空欄にします [ イベントグループ名 ]!EventGroup1 イベントグループ名を設定します発生元ホストもグループ化したい場合はイベントグループ名の前に!( エクスクラメーションマーク ) をつけます注 1) 注 2) 正規表現の使用方法については Systemwalker Centric Manager 使用手引書監視機能編の正規表現の設定例を参照してくださいメッセージ内に Solaris が付加する以下の文字列がある場合この文字列も定義することができます - [ID nnnnn facility.priority] 形式の文字列 nnnn : 可変の数値 - エラー種別の前部分に付加される xxxx[nnnnn] 形式の文字列から前の文字列表示結果例 xxxx : アプリケーションが指定する文字列 nnnnn : プロセス ID [ 監視イベント一覧 ] には EventGroup1 に属するイベントのうち最初の 1 個だけが表示されます発生元ホスト発生メッセージ表示説明 HostA AP: APL1: ERROR: system error occurred. Code=1 Data=12,999 表示 EventGroup1 に属する未対処のイベントが通知されていないためこのイベントは表示されます HostA AP: APL1: ERROR: system error occurred. file system down. Code=0x0e 抑止既に EventGroup1 に属する未対処のイベントが通知されているためこのイベントは抑止されます HostB AP: APL1: ERROR: system error occurred. hard disk error. disk num=d1 抑止既に EventGroup1 に属する未対処のイベントが通知されているためこのイベントは抑止されます HostC AP: APL1: ERROR: system error occurred. Code=1 Data=10,998 抑止既に EventGroup1 に属する未対処のイベントが通知されているためこのイベントは抑止されます HostC AP: APL1: ERROR: system error occurred. hard disk error. disk num=d2 抑止既に EventGroup1 に属する未対処のイベントが通知されているためこのイベントは抑止されます - 130 -

付録 C [ 新規入力支援 ] ダイアログと Event Designer のシートの対応表新規入力支援ダイアログで設定する項目が Event Designer のどこに反映されるかを表で説明します設定する項目は以下のとおりです [ コリレーション条件 ] 新規入力支援ダイアログ Event Designer 説明分類項目反映場所 [ コリレーション条件 ] [ 基準イベント ( メッセージ )] [ メッセージ特定条件 ] シート [ メッセージテキストの特定 ] [ 基準イベントの扱い ] [ メッセージ特定条件 ] シート [ 基準イベントの扱い ] [ 監視方法 ] [ コリレーションパターン ] シート [ 監視方法 ] [ 発生回数 ] [ コリレーションパターン ] シート [ 発生回数 ] [ 監視間隔 ( 秒 )] [ コリレーションパターン ] シート [ 監視間隔 ( 秒 )] [ 関連イベント ( メッセージ )] [ コリレーション処理 ] シート [ メッセージ ] [ 関連イベントの扱い ] [ メッセージ特定条件 ] シート [ 関連イベントの扱い ] 基準となるイベントをラベル名エラー種別メッセージテキストに分割しない形式で設定します基準イベントに対しアクションを実行するかを設定します [ 監視する ]: イベント監視の条件定義でアクションを定義して実行できます [ 監視しない ]: アクションを実行しませんイベントコリレーションの監視方法を選択します ( 注 1) イベントの発生回数を設定しますイベントの監視間隔を秒単位で設定します関連イベントをラベル名エラー種別メッセージテキストに分割しない形式で設定します関連イベントに対しアクションを実行するかを設定します [ 監視する ]: イベント監視の条件定義でアクションを定義して実行できます [ 監視しない ]: アクションを実行しません - 131 -

新規入力支援ダイアログ Event Designer 説明分類項目反映場所 [ コメント ] [ コリレーション監視の条件定義メンテナンス ] シート [ コメント ] [ コリレーションパターン ] シート [ コメント ] [ 判定方法 ] [ コリレーションパターン ] シート [ 判定方法 ] 定義に関するコメントを設定します条件を満たした場合に監視するか条件を満たさなかった場合に監視するかを指定します注 1) 監視方法は以下から選択します [ 基準イベントのみ監視 ( コリレーション対象外 )] [ 基準イベントの発生回数を監視 ] [ 基準イベントの発生回数をカウント ] [ 基準イベントより後に発生した関連イベントを監視 ] [ 基準イベントより前に発生した関連イベントを監視 ] [ 基準イベントより後に発生した関連イベントの発生回数を監視 ] イベントコリレーション監視では 2 つ以上の関連イベントを関連付けて監視できますが新規入力支援ダイアログでは関連イベントを 2 つ以上設定できません 2 つ以上の関連イベントを関連付けて監視する場合は Event Designer の各シートから設定してください詳細は Systemwalker Centric Manager 使用手引書監視機能編を参照してください [ 条件成立時処理 ] 新規入力支援ダイアログ Event Designer 説明分類項目反映場所 [ 条件成立時処理 ] [ 対処処理 ] [ コリレーション処理 ] シート [ 対処処理 ] [ 通知方法 ] [ コリレーション処理 ] シート [ 通知方法 ] 監視条件を満たした場合に基準イベントの状態を [ 対処済 ] にするかを選択します [ 対処済みにしない ]: 基準イベントを [ 対処済 ] にしません [ 対処済みにする ]: 基準イベントを [ 対処済 ] にします監視条件を満たした場合に通知するイベントを選択します [ 通知しない ]: イベント通知しません [ 新規イベントを通知 ]: 新規にイベント - 132 -

新規入力支援ダイアログ Event Designer 説明分類項目反映場所 [ メッセージ通知の実行方法 ] [ コリレーション処理 ] シート [ メッセージ通知の実行方法 ] [ メッセージ ] [ コリレーション処理 ] シート [ メッセージ ] を通知します [ 最後のイベントを通知 ]: 関連イベントのうち最後に通知されたイベントを通知します複数のイベントコリレーションの監視条件に一致した場合のメッセージ通知の実行方法を選択します [ 上位優先 ]: 最初に一致した行のイベントコリレーション処理だけを実行します [ 常時実行 ]: 一致したすべての行のイベントコリレーション処理を実行します通知するイベントをラベル名エラー種別メッセージテキストに分割しない形式で設定します [ 条件不成立時処理 ] 新規入力支援ダイアログ Event Designer 説明分類項目反映場所 [ 条件不成立時処理 ] [ 対処処理 ] [ コリレーション処理 ] シート [ 対処処理 ] [ 通知方法 ] [ コリレーション処理 ] シート [ 通知方法 ] 監視条件を満たさなかった場合に基準イベントの状態を [ 対処済 ] にするかを選択します [ 対処済みにしない ]: 基準イベントを [ 対処済 ] にしません [ 対処済みにする ]: 基準イベントを [ 対処済 ] にします監視条件を満たさなかった場合に通知するイベントを選択します [ 通知しない ]: イベント通知しません [ 新規イベントを通 - 133 -

新規入力支援ダイアログ Event Designer 説明分類項目反映場所 [ メッセージ通知の実行方法 ] [ コリレーション処理 ] シート [ メッセージ通知の実行方法 ] [ メッセージ ] [ コリレーション処理 ] シート [ メッセージ ] 知 ]: 新規にイベントを通知します複数のイベントコリレーションの監視条件を満たさなかった場合のメッセージ通知の実行方法を選択します [ 上位優先 ]: 最初に一致した行のイベントコリレーション処理だけを実行します [ 常時実行 ]: 一致したすべての行のイベントコリレーション処理を実行します通知するイベントをラベル名エラー種別メッセージテキストに分割しない形式で設定します各項目の選択内容の説明は各入力領域をポイントしたときに表示されるコメントを参照してください - 134 -

ソリューションガイド コリレーション編

ソリューションガイドコリレーション編