Коррелированные события
Применимо к:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Монитор коррелированных событий в Operations Manager использует два отдельных события в определенный период времени для обнаружения одна проблема. Этот тип монитора поддерживает условия, когда проблему не удается определить только одно событие.
При обнаружении первое событие срабатывает таймер. Если второе событие получено в течение этого периода, срабатывает изменения состояния. Если второе событие не получено в течение периода, таймер сбрасывается до получения первого события снова. Монитор могут быть настроены для улучшения настройки конкретных условий, которые должны быть выполнены для выполнения корреляции. К ним относятся следующие политики.
Является ли события должен находиться в хронологическом порядке. Одно из событий всегда может потребоваться до другой или они могут ожидать в любом порядке.
Использование первого или последнего вхождения первого события. Если первое вхождение, каждое вхождение первое событие будет иметь свой собственный интервал времени и выполните поиск соответствующих вхождения второе событие. Заданное для последнего вхождения указан Если первое событие повторяется с интервал времени, то окно времени расширяется на основе последнего события. Монитор также может использоваться для сброса каждый раз, когда происходит событие первый интервал времени. При сбросе временного окна всех вхождений предыдущего оба события учитываются.
Число вхождений второго события, которое должно быть получено для инициирования изменения состояния. Вместо изменения состояния работоспособности после получения одного экземпляра два события, может потребоваться несколько экземпляров второго события.
Свойства между первым и вторым событие, которое должно совпадать для корреляции для выполнения. Вместо обнаружение два вхождения каждого события, могут потребоваться дополнительные сравнения для определения связанных событий. Монитор например, проверить соответствие между двумя событиями, чтобы убедиться в том, что они соответствуют определенным параметром.
Пример коррелированных событий
Ниже приведен пример монитора коррелированных событий с помощью первого и последнего вхождения первого события. Монитор использует следующие сведения:
Журнал событий ответ. Событие 1
Журнал событий б. События 2
Интервал корреляции: 2 минуты
Количество вхождений события 2: 3
Состояние работоспособности на корреляции: Критические важное
Логика перезагрузки: Сбросить с помощью событий 3 события
Время |
Событие |
Первое вхождение |
Последнее вхождение |
|---|---|---|---|
00:00:00 |
- |
Работоспособно |
Работоспособно |
00:01:00 |
Событие 1 |
Работоспособно |
Работоспособно |
01:30 |
События 2 |
Работоспособно |
Работоспособно |
00:02:00 |
События 2 |
Работоспособно |
Работоспособно |
00:02:30 |
- |
Работоспособно |
Работоспособно |
00:03:00 |
Событие 1 |
Работоспособно |
Работоспособно |
00:03:30 |
События 2 |
Работоспособно |
Работоспособно |
00:04:00 |
События 2 |
Работоспособно |
Работоспособно |
00:04:30 |
Событие 1 |
Работоспособно |
Работоспособно |
00:05:00 |
События 2 |
Критические важное |
Работоспособно |
05:30:00 |
События 3 |
Работоспособно |
Работоспособно |
06:00:00 |
Событие 1 |
Работоспособно |
Работоспособно |
06:30:00 |
События 2 |
Работоспособно |
Работоспособно |
07:00:00 |
Событие 1 |
Работоспособно |
Работоспособно |
07:30:00 |
События 2 |
Работоспособно |
Работоспособно |
08:00:00 |
События 2 |
Критические важное |
Работоспособно |
08:30:00 |
События 2 |
Критические важное |
Критические важное |
09:00:00 |
События 3 |
Работоспособно |
Работоспособно |
Первое вхождение не вызывает критическое состояние при обнаружении события 2 00:03:00, поскольку сброса таймера в 00:03:00 которого — 2 минуты после первого вхождения событие 1 в 00:01:00.
Первое вхождение триггеры критическое состояние 00:05:00, так как обнаружено событие 2 3 раза в 2 минуты с момента первого вхождения событие 1 в 03:00:00. Событие 1 запускает новое окно времени 00:03:00, так как время в окне событие 1 в 00:01:00 истек.
Первое вхождение триггеры критическое состояние 08:00:00, так как обнаружено событие 2 3 раза в течение двух минут из событие 1 в 00:06:00.
Так как обнаружено событие 3 первое вхождение сбрасывает его состояние в работоспособное 00:05:30 и 00:09:00.