イベント管理 - イベントとは何か、およびイベントの処理 - Support and Troubleshooting

イベント管理 - イベントとは何か、およびイベントの処理 目次 概要 イベント管理の概要 イベントとは？ イベントソース イベント処理フロー。 スケジュール済みジョブ - イベント管理プロセスイベント 補足情報 概要 この記事では、イベントとは何か、イベントの作成方法、ServiceNow EM による処理方法、さまざまなイベントソースなどについて詳しく説明します。 イベント管理の概要 イベント管理アプリケーションは、 さまざまな監視ツール (SCOM、Nagios、SolarWinds など) から連携したイベントを統合し、イベントを処理してアクション可能なアラートを生成します。 単一の管理コンソールを使用してビジネスサービスとインフラストラクチャの健全性を監視し、発生した問題に適切に対応します。また、ビジネスサービスのパフォーマンスを確実に継続するためのインテリジェントなイベントと「アラート分析」を提供します。 イベント管理とサービスマッピングを使用すると、イベントの影響を受けるサービスを特定 できます。

イベントとは？ イベント は、システムの健全性を監視する手段です。 ServiceNow システムでは、イベントは IT システムまたはクラウド内の CI からの通知であり、 IT チームにとって認識すべき問題に関するもの。つまり失敗や警告などです。これは、外部モニタリングソリューションから収集されたレコードであり、これらのイベントを評価/認定するための追加のロジックを利用して CI に関連付けられます。 処理が正常に完了すると、イベントによってアクション可能なアラートが生成されます。 アプリケーション、サーバー、およびネットワーク機器が、さまざまなタイプのログメッセージを生成します。これによってイベントのグループ化と関連付けのために、ITOM イベント管理がさらに強化されます。 アラートは CI に [自動的に] 関連付けることができ、CI がビジネスサービスに関連している場合は、アラートの重大度を使用してビジネスサービスへの影響を検出できます。 アラートルールを使用すると、インシデント (または他のタスク) の作成を自動化し、アラートで報告された問題の修正 (または修復) を自動化することもできます。 イベントソース イベントは、直接インスタンスに送信することも、コネクタを使用して MID サーバー経由で送信することもできます。以下に例を示します。 SCOM、Nagios、SolarWinds などの外部監視ツール 。 SNMP トラップリスナー - デバイスから直接送信するのではなく、監視ツールを使用して SNMP トラップを送信します。 Web サービスまたは REST AP 統合 - データ連携用の Web サービス API を使用すると、必要なイベントルールの数を減らすことができます。このアクションにより、イベントを変換する必要がなくなります (準備されたデータはイベントでインスタンスに送信されます)。 CloudWatch - CloudWatch と ServiceNow のデータ連携には、専用の認証情報を使用します。 メール - ソースのボリュームが少なく、他のオプション (スクリプトの実行や SNMP トラップの転送など) が利用できない場合にのみ、メールを使用します。

これらのメカニズムを使用して、ServiceNow em_event テーブルにイベントレコードが作成され、データがイベント管理フローにフィードされます。 イベント処理フロー。 イベント管理フローには、スケジュール済みジョブやイベントルールを使用したイベントの処理も含まれます。次の図はフローを説明しています。

スケジュール済みジョブ - イベント管理プロセスイベント イベントは、ステータス = [準備完了] で em_event テーブルに格納され、5 秒ごとに実行されるスケジュール済みジョブ [sys_trigger] イベント管理プロセスイベントによって処理されます。したがって、「次のアクション」はそこから数秒後になります。 注意： 「次のアクション」が過去の時刻である場合は、ジョブが停止している可能性があります。ジョブがパッシブノードで要求されている場合、ジョブもスタックしています。 このジョブは、EvtMgmtEventProcessor Java クラスの process(); 関数を呼び出し、すべてのバケット内のイベントを処理します。マルチノード処理が有効になっている場合、このノードは下限と上限の間のバケットを処理します。

ヒント - バケット サービスを開始するイベントには、0 〜 99 の特定のバケットが割り当てられるようになりました。マルチノードイベント処理が各ノードで有効になっている場合、バケット範囲がスケジュール済みジョブ間で均等に分割されます。 例：イベントを処理するスケジュール済みジョブの数が 4 の場合、各ジョブは特定の範囲 ([0 - 24]、[25 - 49]、[50 - 74]、[75 - 99]) のそれぞれのイベントを処理します。 マルチノードイベント処理 「マルチノードイベント処理を有効にする = true」の場合、システムは次の式に従ってジョブを作成します ( * (1 + )) たとえば、ノードごとにイベントを処理するジョブを 4 つ含めるように構成したアクティブなワーカーノードが 6 つのインスタンスは、(4 * (1 + 6)) = 28 になります。 アクティブなワーカーノードの数に上記のように 1 が追加されるのは、システムの [アクティブなノード] に対してもジョブが作成されるためです。 イベントルール イベントルールメカニズムは、特定の基準に基づいたイベントの分類および処理に使用されます。定義される各ルールには、イベントのソースやメンテナンスステータスなどの条件があります。 条件が満たされたときにイベントの処理を続行するか、「そのイベントを無視」します。 処理の結果はアラートで表されます。 イベントルールの詳細については、 イベントルール を参照してください。 イベントフィールドマッピング イベント管理では、一般的に使用されているシステム監視ツールのデフォルトのイベントフィールドマッピングの利用が可能です。これを使用して、特定のフィールドの値を他のフィールドの値にマッピングします。 イベント管理は、イベントフィールドマッピング [ em_mapping_rule ] テーブルにイベントフィールドマッピングを保存します。 マッピングは、イベントルール処理の後、アラート生成の前に適用されます 。イベントマッピングのペア [em_mapping_pair] テーブルのマッピング値は、アラートに適用されます。 元のイベント重大度は変更されないままです 。 たとえば、イベントが「Up、Down、Warning」などの値を取る「ステータス」フィールドのある Solaewinds から取得され、アラートの重大度にその値が保持される場合は、フィールドステータスを重大度にマッピングするイベントフィールドマッピングルールを作成します。重大度は、アラートレコードの重大度フィールド値を示す 0 〜 5 の値になります。以下は、そのようなマッピングの例の 1 つです。

注意： ソースシステムから、[追加情報] フィールドペイロードの一部である値が送信され、この値が処理に使用されます。 マッピングされた、または渡された値に問題があり、イベントフォーム [Ex の重大度] の必須フィールドの場合、イベントは作成されず、そのステータスはエラーになります。 アラート 1 つ以上のイベントに注意を喚起する通知は、アラートと見なされます。アラートとその処理の詳細については、「 アラート処理の説明 」を参照してください。 補足情報 イベント管理構成設定