LoginSignup
3
1

More than 1 year has passed since last update.

OpsRampAdvent Calendar 2021Day 24
@TetsuyaTakada

OpsRamp アラートの相関処理機能

Last updated at Posted at 2021-12-23

概要

OpsRampではオンプレミス機器、クラウド機器の資産管理、リモート接続、インシデント管理と様々な機能がありますが、監視機能ではアラートを検知して通知するというだけでなく特定の条件、または機械学習によりアラートを相関する機能もございます

本記事ではその相関処理機能とともに実際の使用例について説明します

■OpsRamp公式ページ
https://www.opsramp.com/

OpsRampの監視機能の仕組み

OpsRampの監視の仕組みは以下の4ステップに分かれます
①機器をOpsRamp上にオンボードする(オンボードとはOpsRamp上で管理できるようにすることを指します)
②監視用のモニターを機器に適用する
③監視閾値に従ってアラートを検知する
④条件に従ってメール通知/インシデント発行を行う

本記事の相関処理については③のアラート検知に関する内容になります。

アラートの動きについて

OpsRamp上で検知するアラートは一定のルールに従って処理されていきます。
アラートのステータス:Critical, Warning, OK, Information

■死活監視を行っていた場合
①Ping疎通不可の状態になるとCriticalまたはWarningアラートを検知します(ステータスは設定による)
②その後Ping疎通が取れるようになるとOKアラートを検知します

この時①と②のアラートは1個のアラートとしてOpsRamp上では表示されます。
image.png
OKアラートを検知した後に再度Ping疎通不可状態になると新規にアラートが生成されます

■Windows イベントログ監視を行っていた場合
①特定のイベントが発生した時にアラートを検知します
②再度同じイベントが発生した時にアラートを検知します

この時①のアラートを検知した後にアラートに対して何も処理を行わないと新規アラートは生成されずRepeatのカウント数が増加していきます
image.png

Alert Correalation機能

Alert Correlationは特定のアラートを条件または機械学習によって相関処理を行う機能です。

■機能の対象となるアラートを指定
Alert correlationの設定画面で以下のようにアラートにフィルターをかけることができます。
フィルターに当てはまるアラートに対して以下3パターンで相関処理を行います

・フィルターの画面キャプチャ(例)
image.png

▼時間指定での相関処理
フィルターの条件に合致したアラートを一定時間の間相関させます
image.png

例えば以下のようにアラートを検知した場合
フィルター:イベントログ,CPU,サービス監視のアラート
相関ルール:5分間
①09:00 イベントログ監視のアラートを検知
②09:01 Ping監視のアラートを検知
③09:02 CPU監視のアラート
④09:03 ポート監視のアラート
⑤09:04 サービス監視のアラート
⑥09:05 Ping監視のアラート
⑦09:06 イベントログ監視のアラート

結果として①③⑤のアラートは相関され1つのアラートとして表示されます

image.png

・実際の画面
image.png

▼機械学習での相関処理
フィルターに合致したアラートの発生履歴を機械学習し自動で相関ルールを作成します。
※機械学習の動作まで3か月間のアラートの学習が必要になります

作成されたルールは以下サンプルのように内容が確認できます。
※画像に記載の通りルールについては監視項目ベースでの表示になる

image.png

▼トポロジーベースでの相関処理
OpsRampではデバイスをトポロジーマップという機能でマッピングが行えます。
トポロジーベースでの相関処理ではそのマップでのコネクション情報からアラートを自動相関します。

・トポロジーマップについて(OpsRamp公式ドキュメント)
https://docs.opsramp.com/platform-features/feature-guides/service-topology-maps/using-topology-explorer/

例えば以下の画像のようにESXi上に複数の仮想マシン、データストアがある場合
image.png
仮想基盤が停止した際、その配下にいる仮想マシン全台からもアラートを検知することが想定されます。
そういった場合、自動的に上位のアラート(ここでは仮想基盤からのアラート)に同タイミングで検知した他全てのアラートが相関されます。
    

相関処理

OpsRampではポータル画面上で機器の状態、監視で取得したデータ、アラート情報が確認でき、さらにはリモート接続(接続時には動画が自動保存)機能を使用し実際の状態も確認できます。
アラートが一時的に大量に発生した場合、監視を行っているユーザーが対象に通知を受けることが想定されます。
そういった際に相関処理を使用することで通知数を減らすことができ、まとまったアラートは原因分析にも使用できます。

image.png

以上
OpsRampにおけるアラート相関処理機能の説明でした!

3
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
1