複数イベントから構成されるインシデント

関心の対象に複数のイベントが関連する場合があります。複数イベントを収容できるインシデントの機能により、複雑でより意味のある問題をモニターおよび管理できます。こうした複数イベント・インシデントは、ルール・セット・レベルで有効化されるイベント圧縮(「ルールベースのイベント圧縮」を参照)、または有効化されたグローバル・イベント圧縮ポリシー(「イベント圧縮ポリシー」を参照)によって自動的に生成できます。

たとえば、管理対象システムの領域が枯渇した場合、表領域フルおよびファイルシステム・フルという、別々の複数イベントが生成されます。しかし、両方とも領域の枯渇に関連しています。また別のマシン・リソースのモニタリング例として、CPU使用状況、メモリー使用状況およびスワップ使用状況のイベントの同時生成があります。これらのイベントは1つにまとめられ、管理対象ホストに非常に高い負荷がかかっていることを示す1つのインシデントになります。次の図は、この例を示しています。

図5-2 複数イベントのインシデント

インシデントはインシデント内のすべてのイベントの最悪の重大度を継承します。インシデント・サマリーは、このインシデントが関心の対象である理由(この場合はマシンの負荷が高い)を示します。このメッセージは、このインシデントを参照するすべての管理者にとって直感的なインジケータです。デフォルトでは、インシデント・サマリーはインシデントの最後のイベントのメッセージから取得されますが、このメッセージはインシデントを操作している管理者が変更できます。

管理者はマシン全体の負荷に関心があり、これら2つのメトリック・イベントは両方ともホストの過負荷状況を表しているため、管理者Samは、この2つのイベントに対する1つのインシデントを作成しました。メモリーが一杯になり、消費されているCPUリソースが多すぎるため、管理者はアクションを実行する必要があります。現在の状態では、この条件はホストで実行されているアプリケーションに影響を与えます。