Eventos correlacionados
Aplica-se a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Um monitor de evento correlacionado em Operations Manager usa dois eventos separados em um determinado período de tempo para detectar um único problema. Esse tipo de monitor oferece suporte a condições em que um problema não pode ser identificado por um único evento sozinho.
Quando o primeiro evento é detectado, um timer é acionado. Se o segundo evento for recebido dentro desse período, a alteração de estado é disparada. Se o segundo evento não for recebido no período, o timer é reiniciado até que o primeiro evento é recebido novamente. O monitor pode ser configurado para ajustar melhor as condições específicas que devem ser atendidas para executar a correlação. Essas opções incluem:
Se os eventos devem estar em ordem cronológica. Um dos eventos sempre pode ser esperado antes de outro, ou podem ser esperados em qualquer ordem.
Se a primeira ou última ocorrência do primeiro evento deve ser usada. Se a primeira ocorrência for especificada, cada ocorrência do primeiro evento terá sua própria janela de tempo e procurar ocorrências correspondentes do segundo evento. Com a última ocorrência especificada, se o primeiro evento ocorrer novamente com a janela de tempo e, em seguida, a janela de tempo é estendido com base no último evento. O monitor também pode ser configurado para redefinir a janela de tempo sempre que o primeiro evento ocorre. Quando a janela de tempo for redefinida, todas as ocorrências anteriores de ambos os eventos são ignoradas.
O número de ocorrências do segundo evento que deve ser recebida para disparar a alteração de estado. Em vez de alterar o estado de integridade após o recebimento de uma única instância dos dois eventos, várias instâncias do segundo evento podem ser necessárias.
Propriedades entre o primeiro e o segundo evento que devem corresponder para correlação a ser executada. Em vez de detectar duas ocorrências de cada evento, comparação adicional pode ser necessário para determinar se os eventos estão relacionados. O monitor pode, por exemplo, confirme que um determinado parâmetro faz a correspondência entre os dois eventos para garantir que eles correspondam.
Exemplo de eventos correlacionados
A tabela a seguir fornece um exemplo de um monitor de evento correlacionado usando a primeira e a última ocorrência do primeiro evento. O monitor usa os seguintes detalhes:
Log de eventos a: Evento 1
Log de eventos b: Evento 2
Intervalo de correlação: 2 minutos
Número de ocorrências do evento 2: 3
Estado de integridade em correlação: Crítico
Redefina lógica: Evento de redefinição usando o evento 3
Hora |
Evento |
Primeira ocorrência |
Última ocorrência |
|---|---|---|---|
00:00:00 |
- |
Íntegros |
Íntegros |
00:01:00 |
Evento 1 |
Íntegros |
Íntegros |
01:30 |
Evento 2 |
Íntegros |
Íntegros |
00:02:00 |
Evento 2 |
Íntegros |
Íntegros |
00:02:30 |
- |
Íntegros |
Íntegros |
00:03:00 |
Evento 1 |
Íntegros |
Íntegros |
00:03:30 |
Evento 2 |
Íntegros |
Íntegros |
00:04:00 |
Evento 2 |
Íntegros |
Íntegros |
00:04:30 |
Evento 1 |
Íntegros |
Íntegros |
00:05:00 |
Evento 2 |
Crítico |
Íntegros |
05:30:00 |
Evento 3 |
Íntegros |
Íntegros |
06:00:00 |
Evento 1 |
Íntegros |
Íntegros |
06:30:00 |
Evento 2 |
Íntegros |
Íntegros |
07:00:00 |
Evento 1 |
Íntegros |
Íntegros |
07:30:00 |
Evento 2 |
Íntegros |
Íntegros |
08:00:00 |
Evento 2 |
Crítico |
Íntegros |
08:30:00 |
Evento 2 |
Crítico |
Crítico |
09:00:00 |
Evento 3 |
Íntegros |
Íntegros |
A primeira ocorrência não aciona um estado crítico quando o evento 2 é detectado em 00:03:00 porque o temporizador foi redefinido às 00:03:00 que é 2 minutos após a primeira ocorrência do evento 1 às 00:01:00.
A primeira ocorrência dispara um estado crítico às 00:05:00 como 2 do evento é detectado 3 vezes dentro de 2 minutos desde a primeira ocorrência do evento 1 às 00:03:00. Evento 1 inicia uma nova janela de tempo às 00:03:00 como a janela de tempo do evento 1 às 00:01:00 deve ter expirado.
A primeira ocorrência dispara um estado crítico às 08:00:00 como 2 do evento é detectado 3 vezes em 2 minutos de evento 1 às 00:06:00.
A primeira ocorrência redefine seu estado como Íntegro em 00:05:30 e 09:00:00 porque o evento 3 é detectado.