管理ガイドアクション アラート › 例: イベント フローの停止時に管理者に電子メールを送信

前のトピック: 例: 自己監視イベント用のアラートの作成

次のトピック: アクション アラート保持の設定

例: イベント フローの停止時に管理者に電子メールを送信

管理者は、どのエージェント上のどのコネクタがイベントの収集を停止したときにも通知を受け取る必要があります。 イベント収集の停止したことがインジケータで示されたときに、この通知を自動化できます。 収集サーバが任意のコネクタからイベントを受信してから、インジケータで示されるまでの経過時間を設定できます。 経過時間に、目的の分、時間または日数の数値を設定できます。 連携内のすべての収集サーバにクエリを拡張できます。

コネクタのダウン時に送信される電子メールの数を制限するには、今までにイベントを収集してきたコネクタだけを考慮します。 たとえば、1 時間以上前にはイベントを収集したが、この 1 時間以内にはイベントを収集しなかったコネクタについてのみ行を返すアラートを設定します。

このデータをキャプチャするには、事前定義済みの「ログ マネージャごとの収集モニタ エージェント コネクタ ダウン」クエリを選択します。 アラートの[結果の条件]で定義したとおり、イベントを受信しなかった場合、このクエリはコネクタ名とエージェント名を返します。 以下の例を参考にして、1 時間~ 2 時間前の期間にイベントを送信したコネクタから 1 時間以内にイベントを受信しなかった場合にアラートを生成します。 アラートの宛先には、通知対象の個人の電子メール アドレスを指定します。 クエリの実行スケジュールには、経過時間以上の間隔を指定します。

注: アラートの作成前に、[管理] - [レポート サーバ]以下の[電子メール設定]を設定する必要があります。

コネクタがイベント収集を停止した際に管理者に電子メールを送信する方法

  1. このアラートを実行するサーバを選択します。 ハブとスポークのアーキテクチャでは、収集サーバを選択して、できるだけ早く条件をキャプチャできるようにします。
  2. [アラート管理]タブを選択し、[アラートのスケジュール]サブタブを選択します。
  3. [アクション アラートのスケジュール]をクリックします。
  4. 「コネクタ ダウン」などのジョブ名を入力します。
  5. [使用可能なクエリ]から[ログ マネージャごとの収集モニタ エージェント コネクタ ダウン]を選択し、[選択されたクエリ]リストに移動させます。

    [ログ マネージャごとの収集モニタ エージェント コネクタ ダウン]クエリを選択します。

  6. [結果の条件]をクリックします。
  7. 時間を過去 2 時間に設定します。
    1. [事前定義済み範囲]で[過去 1 時間]を選択します。

      この選択によって、動的終了時間が「今すぐ」「-2 分」に設定されます。

    2. [動的開始時間]の[動的な時間文字列の編集]をクリックします。
    3. 動的な時間文字列で、「62」を「122」に置き換えます。
    4. [OK]をクリックします。

      範囲を編集して、[動的終了時間]を「今すぐ」「-1 分」に、[動的開始時間]を「今すぐ」「-121 分」に指定します。

  8. 結果の条件を設定します。
    1. [次の日付より前で最後にグループ化されたイベント]を選択して、[編集]をクリックします。
    2. [参照時間]で[今]を選択し、[動的時間文字列に参照時間を追加]をクリックします。
    3. [時間をシフト]のスピナーを 1 回クリックして「-1」を表示し、ドロップダウン リストから[時間]を選択して、[動的時間文字列に時間のシフトを追加]をクリックします。
    4. [OK]をクリックします。

      [次の日付より前で最後にグループ化されたイベント]を「今すぐ」「-1 時間」に指定します。

  9. [ジョブのスケジュール]の手順をクリックし、反復間隔を定義します。 たとえば、間隔を 1 時間に設定します。

    [反復間隔]で[1]を、[測定単位]で[時間]を選択します。

  10. [宛先]をクリックし、[電子メール]タブを入力します。
    1. [電子メール通知を有効化]を選択します。
    2. [電子メールの宛先]に管理者の電子メール アドレスを入力します。
    3. [電子メールの送信者]に自分の電子メール アドレスを入力します。
    4. [件名]フィールドに件名を入力します。 たとえば、「コネクタがダウンしている可能性があります」と入力します。
    5. 電子メール テキストを入力します。 たとえば、「過去 1 時間以内にコネクタがイベントの送信を停止しました。」と入力します。
  11. [サーバの選択]の手順をクリックし、必要に応じて[連携]をオフにします。
  12. [保存して閉じる]をクリックします。

このアラートを、日付範囲に時間ではなく日数を指定してクエリするよう定義し、1 日に 1 回実行されるようスケジュールすることもできます。 この場合、動的終了時間は「今すぐ」に、動的開始時間は「今すぐ」「-2」に、 [次の日付より前で最後にグループ化されたイベント]は「今すぐ」「-1 日」に設定されます。

詳細情報:

例: 中規模企業向けの連携マップ