alexa Alerting, Escalation and Event Log Management in NetCrunch

Alerting, Escalation and Event Log Management in NetCrunch

NetCrunch は、外部からのイベントを受け取ることができます。NetCrunch は外部からイベントを受信すると、イベントログデータベースに記録し、通知などのアラートアクションを実行することができます。

Alert Sources

パフォーマンスしきい値

NetCrunch は、数千のパフォーマンスメトリックを監視できます。ユーザーは、実際の値または平均値からしきい値違反時にアラートを発生させる条件のセットを使用できます。

単純なしきい値以外にも、曜日や時間ごとに収集されたベースラインデータと実際のデータを比較するベースラインしきい値 を含む、高度なしきい値の監視方法を用意しています。

状態の変化 では、例えば値が0から1に変わった場合など、取得値の変化を監視することができます。このしきい値条件タイプでは、サービスやデバイスの状態を表すカウンターに使用できます。

利用可能なしきい値条件タイプ:

  • しきい値
  • 予期せぬ変化
  • ベースラインしきい値
  • 状態の変化
  • 状態
  • 存在
  • 値の変化
  • 範囲

カウンタによるイベント生成

ステータスアラート

NetCrunch は、ノード、インターフェース、サービス、Windows サービスなどのように、多くのオブジェクトの状態を監視します。これらのアラートは、自動的な相関関係を持ちます。

監視センサー

NetCrunch は、ファイルの内容、メール、Web ページ、HTTP の応答の監視のように、とても複雑な監視タスクのセンサーを使用しています。

Windows イベントログ

NetCrunch は、複数のWindows マシンのイベントログを監視することができます。

Windows イベントログのエントリをNetCrunch のアラートに変換するよう、アラートのフィルター条件を定義できます。また、数秒以内に同じエントリが発生した場合、大量のアラート通知を防ぐため、アラートをまとめることができます。

@@event-log-query.png Windows イベントログクエリビルダー

Syslog、SNMP トラップ、テキストログ

NetCrunch は、SNMPv1、SNMPv2、SNMPv3 トラップを受信します。受信したトラップは、他のSNMP マネージャーに転送することができます。

NetCrunch は、Syslog を受信します。受信したSyslog のメッセージごとに適切なアクションを割り当てるよう、フィルター条件を定義できます。

外部イベントからアラート定義

送信元がアトラスに存在しないノードの場合も含め、全ての受信したSNMP トラップとSyslog は、外部イベントウィンドウに表示されます。外部イベントから簡単にアラートを定義できます。アトラスに存在しないノードの場合は、自動的に追加されます。

テキストログの監視

NetCrunch のファイル監視センサーは、テキストログファイルの監視が可能です。FTP/s またはHTTP/s を使用して、Linux ファイルの監視に利用できます。

外部データ

NetCrunch は、一般的なパフォーマンスカウンターやエラーコードなど、NetCrunch にデータを送るいくつかの方法を用意しています。NetCrunch は、これらの値からアラートを作成するためのしきい値条件タイプを用意しています。

NC Open Monitor を使用したカスタマイズ監視

Alert Processing

保留アラートの相関関係

全ての内部アラートは、自動的に相関関係が設定され、アラートの開始(オープン)と終了(クローズ)を確認できます。

Syslog、SNMP トラップ、Windows イベントログといった外部アラートは、アラート定義にクローズするイベントを追加することで、相関関係を設定できます。これによって、未解決の問題を確認しやすくなるほか、クローズ時にアクションを実行することも可能です。また、ヘルプデスクに利用することも可能です。

@@3pending-alerts.png 保留アラートビュー

複数のイベントの関連付け

NetCrunch (Premium XE のみ)は、複数のノードのイベントを関連付けできるグローバルな監視パックとして、複合イベントを用意しています。代替リソース(冗長接続)が失敗した場合のみアラートを発生させるよう定義したい場合に役立ちます。

全てのアラートが保留状態の場合(各アラートは相関関係を保持している必要があります)や、全ての指定の時間範囲内に発生した場合に、アラートが発生するよう定義できます。複合イベントでは、アトラス内のいずれかのノードで定義されたいずれかのイベントから関連付けできます。

条件付きアラート

NetCrunch は、ノードステータス、Windows イベントログ、SNMP トラップなどに関係なく、各定義アラートにさらに条件を追加できます。これらの条件では、例えば、操作を実行したログが存在しなかった場合など、指定の状態にならなかった場合にアラートを実行することなどが可能です。また、ハートビートイベントを受信し、1つ欠落していた場合に通知することができます。その他の条件では、時間によってアラートの実行を抑制することができます。アラートが発生しなかった場合、クローズアクションも実行されません。

利用可能な条件:

  • イベント条件
  • 前回のイベントから以下の時間経過後にイベント発生
  • 直近の時間内でのイベントの頻度
  • 指定の時間範囲内
  • 指定の時間範囲外
  • 指定の時間範囲内にイベントがない場合
  • 前回のイベントから以下の時間内にイベントがない場合
  • 指定の時間を経過後もイベントが保留の場合

NetCrunch は、単純な時間範囲から曜日ごとの指定まで、アラートルールが有効な時間範囲の設定をサポートしています。

@@time-range-scheme.png 時間範囲スキーム

Alerting Actions

アクション

イベントへの応答として、NetCrunch はアクションのシーケンスを実行することができます。アクションは、アラートが終了(クローズ)したときにも実行することができます。NetCrunch は、基本(通知)、コントロール、ログ、定義スクリプトといった様々なアクションを用意しています。

通知は、ユーザープロフィールとグループによって、柔軟に制御することができます。さらに、アトラスビュー(マップ)と組み合わせることが可能であり、ネットワークノードの場所やその他の関係に基づいた異なるグループに通知を送ることができます。

アラートアクション

  • 基本:音の再生、デスクトップ通知ウィンドウの表示、email、Eメールを使用してのSMS、GSM を使用してのSMS、Traceroute をアラートメッセージに追加する、ネットワークサービス状態をアラートメッセージに追加、ユーザーもしくはグループに通知
  • コントロール - コンピュータ:Windows プログラムの実行、Windows スクリプトの実行、SSH スクリプトの実行、コンピュータの再起動、コンピュータのシャットダウン、SNMP 変数の設定、Windows プロセスの終了、Windows サービスの開始・停止・一時停止、Wake on LAN
  • コントロール - NetCrunch:ノード監視状態の設定、ノードの監視間隔の変更、ノード問題リストの編集、ノードのカスタムフィールドの編集、ノード問題リストに追加、ノード問題リストからクリア
  • ログ - ローカル:指定ファイルに出力、Windows イベントログに書き込む、発生イベントごとに異なるファイルに出力
  • ログ - リモート:SNMP トラップの送信、Syslog メッセージの送信、Webhook のトリガー
  • 定義スクリプト - Linux:マシンのシャットダウン、Linux マシンの再起動、Linux SNMP Daemon の再起動、CD-ROM のマウント、CD-ROM のアンマウント
  • 定義スクリプト - Windows:ディスクデフラグの実行、SNMP サービスの開始、SNMP サービスの停止

アラートアクション

アクションのエスカレーションと実行条件

アクションは、イベント発生後すぐに実行するか、指定した時間経過後に実行するよう指定できます。また、最終行に設定したアクションは、繰り返し実行することができます。また、アラートがクローズしたときに実行するアクションを設定できます。

例えば、イベントの発生を通知を送信したのち、指定した時間経過後にサーバーの再起動を実行するよう設定できます。

@@sample-script.png アラートスクリプトのサンプル

このサンプルの場合、発生したイベントの重要度が危機の場合は通知し、イベントが発生しているノードがWindows サーバーの場合は再起動します。

Event Log Views

保留アラート

全てのイベントログを表示するビューのほかに、保留アラートのみを表示するビューを用意しています。 イベントログビューは、アトラスツリーウィンドウと同期させることができます。ノードのタイプや場所など、ノードのグループに応じたマップを作成することで、そのマップに所属するノードの保留アラートを表示できます。

サマリ

サマリビューは、指定したビューのアラートの統計を表示します。統計は、監視カテゴリやカスタムビュー(イベントログのビュー)によってグループ化されます。指定の時間範囲や、発生したアラートの種類による概要を表示します。

@@event-summary.png 最近24時間のイベントサマリ

カスタムイベントログビュー

NetCrunch は、デフォルトで多くのイベントログのビューを用意しているだけでなく、ユーザーが直感的なクエリビルダーを使用してカスタムビューを作成することができます。追加したビューは、アトラスのいずれかのノードグループで使用することができます。

@@custom-view.png クエリビルダーと日付範囲の選択

イベントの詳細

イベントログ内の各イベントについて、NetCrunch は全てのアラートとパラメータを含む詳細なビューを用意しています。このウィンドウは、実行されたアクションやクローズしたアラートを表示することができます。

パフォーマンスカウンターのしきい値違反によってアラートを発生した場合は、発生時の値を示すグラフを表示します。

@@event-details.png イベントの詳細