Correlación de eventos
Se aplica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Un monitor de eventos correlacionados en Operations Manager utiliza dos eventos independientes en un período de tiempo determinado para detectar un solo problema. Este tipo de monitor admite condiciones donde no se puede identificar un problema por un único evento por sí solo.
Cuando se detecta el primer evento, se desencadena un temporizador. Si se recibe el segundo evento dentro de ese período, se desencadena el cambio de estado. Si no se recibe el segundo evento en el período, se restablece el temporizador hasta que se reciba el primer evento de nuevo. El monitor puede configurarse para ajustar mejor las condiciones específicas que deben cumplirse para poder realizar la correlación. Entre las opciones disponibles se incluyen:
Si los eventos deben estar en orden cronológico. Uno de los eventos siempre se puede esperar antes de otro, o podría esperarse en cualquier orden.
Si se debe usar la aparición del primer o última del primer evento. Si se especifica la primera aparición, cada aparición del primer evento tendrá su propia ventana de tiempo y busque las apariciones correspondientes del segundo evento. Con la última repetición especificada, si vuelve a producir el primer evento con la ventana de tiempo y, a continuación, la ventana de tiempo se extiende según el último evento. El monitor también puede configurarse para restablecer el período de tiempo cada vez que se produce el primer evento. Cuando se restablece el período de tiempo, se omiten todas las instancias anteriores de ambos eventos.
El número de veces que el segundo evento que se deben recibir para desencadenar el cambio de estado. En lugar de cambiar el estado de mantenimiento después de recibir una única instancia de los dos eventos, varias instancias del segundo evento pueden ser necesarias.
Propiedades entre el evento primera y segunda que deben coincidir para que realizar la correlación. En lugar de dos apariciones de cada evento de detección, deberá comparación adicional para determinar si los eventos están relacionados. El monitor puede, por ejemplo, confirme que coincide con uno de los parámetros entre los dos eventos para asegurarse de que coinciden con.
Ejemplo de eventos correlacionados
En la tabla siguiente proporciona un ejemplo de un monitor de evento correlacionado con la primera y la última aparición del primer evento. El monitor utiliza los siguientes detalles:
Registro de eventos A: Evento 1
Registro de eventos B: Evento 2
Intervalo de correlación: 2 minutos
Número de apariciones del evento 2: 3
Estado de correlación: Crítica
Lógica de restablecimiento: Evento restablecer mediante el evento 3
Tiempo |
Evento |
Primera aparición |
Última repetición |
|---|---|---|---|
00:00:00 |
- |
Correcto |
Correcto |
00:01:00 |
Evento 1 |
Correcto |
Correcto |
01:30 |
Evento 2 |
Correcto |
Correcto |
00:02:00 |
Evento 2 |
Correcto |
Correcto |
00:02:30 |
- |
Correcto |
Correcto |
00:03:00 |
Evento 1 |
Correcto |
Correcto |
00:03:30 |
Evento 2 |
Correcto |
Correcto |
00:04:00 |
Evento 2 |
Correcto |
Correcto |
00:04:30 |
Evento 1 |
Correcto |
Correcto |
00:05:00 |
Evento 2 |
Crítica |
Correcto |
05:30:00 |
Evento 3 |
Correcto |
Correcto |
06:00:00 |
Evento 1 |
Correcto |
Correcto |
06:30:00 |
Evento 2 |
Correcto |
Correcto |
07:00:00 |
Evento 1 |
Correcto |
Correcto |
07:30:00 |
Evento 2 |
Correcto |
Correcto |
08:00:00 |
Evento 2 |
Crítica |
Correcto |
08:30:00 |
Evento 2 |
Crítica |
Crítica |
09:00:00 |
Evento 3 |
Correcto |
Correcto |
La primera aparición desencadenar un estado crítico cuando se detecta el evento 2 a 00:03:00 porque el temporizador se restablece a 00:03:00 es 2 minutos después de la primera aparición del evento 1 a 00:01:00.
La primera aparición desencadena un estado crítico a 00:05:00 porque se detecta el evento 2 3 veces dentro de los dos minutos desde la primera aparición del evento 1 a 00:03:00. Evento 1 inicia una nueva ventana de tiempo a las 00:03:00 porque habría expirado el período de tiempo del evento 1 a 00:01:00.
La primera aparición desencadena un estado crítico a 00:08:00 porque se detecta el evento 2 3 veces dentro de 2 minutos desde 1 evento 06:00:00.
La primera aparición se restablece su estado a correcto en 00:05:30 y 09:00:00 porque se ha detectado el evento 3.